Nuovi obblighi cybersicurezza in capo alle imprese. Dal 18 ottobre in vigore il D.Lgs. n. 138 del 2024 di recepimento della Direttiva UE 2022/2555 (NIS2). Quali obblighi in capo alle aziende interessate? Come possono agire gli Organismi di Vigilanza?

Abstract:
A partire dal 18 ottobre 2024 entrerà in vigore il nuovo decreto in materia di cybersicurezza, che istituisce nuovi obblighi di prevenzione informatica in capo alle aziende operanti in specifici e determinati settori imprenditoriali e che possiedono determinati requisiti dimensionali. Approfondiamo nella presente sede l’ambito di applicazione del Decreto, il contenuto ed i termini di insorgenza dei nuovi obblighi e le previsioni sanzionatorie applicabili alle imprese negligenti. Esaminiamo, infine, le indirette ricadute sulla responsabilità degli enti ex D.lgs. 231/01. 

1.     L’Ambito di applicazione del D.lgs. 138/2024 di recepimento della Direttiva NIS2

La riforma attuata dal D.lgs. 138 del 4 settembre 2024 si prospetta di sicuro impatto sul tessuto imprenditoriale italiano, e la sua applicazione comporterà la graduale insorgenza di numerosi obblighi informativi ed organizzativi in capo alle aziende e alle amministrazioni interessate. È quindi fondamentale prendere le mosse da un attento esame di quello che sarà l’ambito applicativo della nuova normativa.

L’ambito di applicazione della normativa è definito dall’art. 3, che richiama gli Allegati I, II, III e IV del Decreto. Il D.lgs. 138/24 si applica nei confronti dei soggetti giuridici, pubblici o privati, indicati all’interno dei suddetti allegati e soggetti alla giurisdizione italiana, in quanto stabiliti sul territorio dello Stato. All’interno degli Allegati sono espressamente definiti, con indicazione dei perimetri normativi, i settori operativi rispetto ai quali la normativa troverà applicazione. Viene definito, quindi, un criterio di applicazione di natura soggettiva. In particolare, l’Allegato numero I contiene l’elenco dei settori “Altamente Critici”, mentre l’Allegato II elenca i settori definiti “Critici”. Gli Allegati III e IV richiamano invece, rispettivamente, le Pubbliche Amministrazioni e le Ulteriori tipologie di soggetti cui si applica la disciplina ivi in esame.

Risultano inclusi, tra i settori “Altamente Critici” di cui all’Allegato I, i seguenti ambiti e sotto-ambiti di operatività:

1.     Energia (Energia elettrica; Teleriscaldamento e teleraffrescamento; Petrolio; Gas; Idrogeno);

2.     Trasporti (Trasporto aereo; Trasporto ferroviario; Trasporto per vie d’acqua; Trasporto su strada);

3.     Settore bancario;

4.     Infrastrutture dei mercati finanziari;

5.     Settore sanitario;

6.     Acqua potabile;

7.     Acque reflue;

8.     Infrastrutture digitali;

9.     Gestione dei servizi TIC (business-to-business);

10. Spazio.    

Rientrano, invece, tra i settori “Critici” di cui all’Allegato II:

1.     Servizi postali e di corriere;

2.     Gestione dei rifiuti;

3.     Fabbricazione, produzione e distribuzione di sostanze chimiche;

4.     Produzione, trasformazione e distribuzione di alimenti;

5.     Fabbricazione (di dispositivi medici e di dispositivi medico-diagnostici in vitro; di computer e prodotti di elettronica e ottica; di apparecchiature elettriche; di macchinari e apparecchiature n.c.a.; di autoveicoli, rimorchi e semirimorchi; di altri mezzi di trasporto);

6.     Fornitori di servizi digitali (mercati online; motori di ricerca online; piattaforme di social network; servizi di registrazione dei nomi di dominio);  

7.     Ricerca.

Secondo quanto previsto dall’Allegato III, le Pubbliche Amministrazioni alle quali risulta applicabile la nuova disciplina sono le seguenti:

1.     Amministrazioni centrali (Organi costituzionali e di rilievo costituzionale; Presidenza del Consiglio dei ministri e i Ministeri; Agenzie fiscali; Autorità amministrative indipendenti;

2.     Amministrazioni regionali (Regioni e Province autonome);

3.     Amministrazioni locali (Città metropolitane; Comuni con popolazione superiore a 100.000 abitanti; Comuni capoluoghi di regione; Aziende sanitarie locali);

4.     Altri soggetti pubblici: (Enti di regolazione dell’attività economica; Enti produttori di servizi economici; Enti a struttura associativa; Enti produttori di servizi assistenziali, ricreativi e culturali; Enti e le Istituzioni di ricerca; Istituti zooprofilattici sperimentali).

 Infine, le “Ulteriori tipologie di soggetti” di cui all’Allegato IV ricomprendono:

1.     Soggetti che forniscono servizi di trasporto pubblico locale;

2.     Istituti di istruzione che svolgono attività di ricerca;

3.     Soggetti che svolgono attività di interesse culturale;

4.     Società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.

Oltre alle condizioni di natura soggettiva, l’art. 3 riporta anche criteri applicativi di natura oggettiva ai fini dell’applicazione della nuova disciplina alle aziende. Infatti, il comma secondo dell’art. 3 precisa che il Decreto trova applicazione nei confronti dei soggetti menzionati dagli Allegati I e II, qualora questi ultimi superino le soglie dimensionali indicate al Paragrafo 2 dell’art. 2 dell’Allegato 1 alla Raccomandazione 361/2003/CE, che profila i seguenti criteri: “Nella categoria delle PMI si definisce piccola impresa un’impresa che occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro”. Pertanto, il Decreto trova certa applicazione nei confronti dei soggetti operanti nei settori indicati dagli Allegati I e II che impieghino 50 o più dipendenti ovvero abbiano un fatturato superiore ai 10 milioni di euro. Ciò comporta una generale esenzione dalla disciplina in capo alle società che rientrino nella definizione di “piccola o media impresa” ai sensi dell’Allegato I alla Raccomandazione 361/2003/CE.

Sono, però, presenti espresse deroghe all’esonero sopra indicato, che prefigurano casi in cui il Decreto trova piena applicazione anche nei confronti delle PMI, in quanto prescindono da valutazioni di ordine dimensionale. In particolare, secondo il comma 5 dell’art. 3 il Decreto si applica sempre:

a)     ai soggetti che sono identificati come soggetti critici ai sensi del Decreto legislativo n. 134/2024, che ha recepito la direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022. Detti “soggetti critici” vengono qualificati come tali secondo quanto stabilito dall’art. 8 del Decreto 134/24, e sono selezionati entro le categorie operative indicate dall’Allegato A al medesimo Decreto. L’art. 8 prevede che le ASC (Autorità Settoriali Competenti di cui all’art. 5) procedano alla identificazione di detti soggetti entro il 17 gennaio 2026 e li comunichino al PCU (Punto di Contatto Unico) istituito presso la Presidenza del Consiglio dei ministri. Entro il 17 luglio 2026 sarà quindi adottato in via ufficiale l’elenco dei soggetti critici;

b)     ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;

c)     ai prestatori di servizi fiduciari;

d)     ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;

e)     ai fornitori di servizi di registrazione dei nomi di dominio.

Sono previste ulteriori ipotesi di deroga. Ai sensi del comma 9 dell’art. 3, infatti, il Decreto si applica sempre, a prescindere dalle soglie dimensionali, qualora:

a)     il soggetto sia identificato prima della data di entrata in vigore del presente decreto come operatore di servizi essenziali ai sensi del Decreto Legislativo 18 maggio 2018, n. 65;

b)     il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;

c)     una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;

d)     una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;

e)     il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;

f)       il soggetto sia considerato critico ai sensi del Decreto n. 138/24, quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti (come definiti ai sensi dell’art. 7 come vedremo di seguito).

Infine, ai sensi del comma 10 dell’art. 3, il Decreto si applica, indipendentemente dalle sue dimensioni, all’impresa collegata ad un soggetto essenziale o importante, qualora essa soddisfi almeno uno dei seguenti criteri:

a)     adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;

b)     detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;

c)     effettua operazioni di sicurezza informatica del soggetto importante o essenziale;

d)     fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

Alla luce dei criteri sopra indicati, è senz’altro auspicabile che ciascuna società che ritenga di essere anche solo possibilmente rientrante nell’ambito di applicazione della normativa (PMI incluse), si premuri di svolgere le dovute verifiche ed approfondimenti, anche con il supporto dei propri consulenti legali e tecnico-informatici, per comprendere se la nuova disciplina in materia Cybersicurezza di cui al Decreto qui in esame sia ad essa applicabile o meno. E ciò considerando con attenzione i particolari casi in cui la norma si applica anche alle PMI.

2.     I Soggetti Essenziali ed i Soggetti Importanti, profili definitori

È ora opportuno approfondire un ulteriore profilo di distinzione che la normativa propone e che risulta impattante sia sulla definizione degli obblighi normativi vertenti sulla società interessata, sia sull’ammontare delle sanzioni amministrative previste dal Decreto in caso di eventuali violazioni.

Più specificamente, all’art. 6 il Decreto introduce una distinzione definitoria tra i “Soggetti essenziali” ed i “Soggetti importanti”. Sono Soggetti Essenziali:

-          tutti coloro che operano nei settori indicati all’Allegato I del D.lgs. 138/2024 (come sopra elencati) e che superino i massimali per le “medie imprese” secondo le soglie di 250 dipendenti impiegati e 50 milioni di fatturato o 43 milioni totali di bilancio;

-         indipendentemente dalle loro dimensioni, gli enti identificati come soggetti critici ai sensi del Decreto Legislativo 134/2024 che recepisce la Direttiva (UE) 2022/2557;

-         i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico di cui all'articolo 3, comma 5, lettera b), che si considerano “medie imprese” ai sensi dell’articolo 2 dell’allegato alla raccomandazione 2003/361/CE;

-         indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio di cui all’art. 3, comma 5, lettere c) e d);

-         indipendentemente dalle loro dimensioni, le pubbliche amministrazioni centrali di cui all’Allegato III, comma 1, lettera a), ossia le amministrazioni centrali.

Sono, invece soggetti “Importanti” tutto coloro che rientrano nell’ambito di applicazione definito dall’art. 3, ma che non soddisfano i requisiti di cui sopra per essere definiti “essenziali”.

Il Decreto disciplina specificamente l’iter di assegnazione all’una o all’altra categoria (o a nessuna delle due), secondo le modalità che verranno descritte nel successivo Paragrafo.

3.     Gli obblighi normativi in capo alle aziende e la loro decorrenza

La normativa introduce molteplici nuovi obblighi a carico dei soggetti interessati e prevede, inoltre, scadenze specifiche per l’esecuzione dei relativi adempimenti. Alcune di dette scadenza, come vedremo, risultano mitigate nel corso della iniziale fase di applicazione del Decreto, anche al fine di dare tempo alle aziende di adeguarsi.

In particolare, sia i soggetti Essenziali che i soggetti Importanti hanno l’obbligo, ai sensi dell’art. 7 del Decreto, di registrarsi od aggiornare la propria posizione sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS.

Il termine previsto per dare seguito a tali adempimenti va dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del Decreto. La prima iscrizione dovrà quindi avvenire entro il 28 febbraio 2025. Le aziende dovranno comunicare, in sede di prima iscrizione o di aggiornamento annuale (negli anni successivi all’iscrizione), le seguenti informazioni: a) la ragione sociale; b) l’indirizzo e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono; c) la designazione di un punto di contatto, indicando il ruolo presso il soggetto e i recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono; d) ove applicabile, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli Allegati I, II, III e IV al Decreto.

Le Autorità nazionali competenti NIS[1], entro il successivo 31 marzo, provvederanno a valutare le informazioni trasmesse ed a svolgere i necessari controlli documentali, per poi procedere ad inserire i soggetti iscrittisi alla piattaforma nella corretta lista dei Soggetti Essenziali o dei Soggetti Importanti, in modo da rendere chiaro quali obblighi gravino in capo alla persona giuridica iscritta (si veda l’art. 40 comma 5 del Decreto sulle modalità attuative del Decreto). Infatti, l’Autorità dovrà avere cura di comunicare tramite la piattaforma digitale, a tutti i soggetti registrati: la eventuale iscrizione all’elenco dei soggetti essenziali; l’eventuale iscrizione all’elenco dei soggetti importanti; l’espunzione dall’elenco dei soggetti. L’ente interessato avrà quindi piena contezza del registro presso cui risulterà iscritto, potendo così valutare il contenuto dei propri obblighi e l’impatto di eventuali sanzioni in caso di trasgressione delle regole normative sul medesimo vigenti.

In una successiva fase, dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del Decreto, tramite la medesima piattaforma digitale, i soggetti che abbiano ricevuto la comunicazione di iscrizione a uno dei due elenchi di cui sopra, hanno l’obbligo di fornire od aggiornare quanto meno le informazioni di seguito indicate: a) lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto; b) ove applicabile, l’elenco degli Stati membri in cui forniscono servizi che rientrano nell’ambito di applicazione del Decreto; c) i responsabili di cui all’articolo 38, comma 5 del Decreto (ossia il Legale Rappresentante in carica), indicando il ruolo presso il soggetto e i loro recapiti aggiornati, compresi gli indirizzi e-mail e i numeri di telefono; d) un sostituto del punto di contatto indicato in occasione dell’iscrizione alla piattaforma, specificando il ruolo esercitato presso l’ente e i recapiti aggiornati, compresi indirizzi e-mail e i numeri di telefono.

Sugli enti iscritti alla piattaforma vige anche l’obbligo di comunicare ogni eventuale modifica delle informazioni trasmesse all’Autorità nazionale competente NIS senza ritardo e in ogni caso non oltre i 15 giorni.  

Nella definizione degli obblighi in capo ai soggetti interessati dalla disciplina, il Capo IV (artt. 23 - 33) del D.lgs. 138/2024 assume un ruolo fondamentale. Il Capo IV disciplina, infatti, una serie di obblighi vigenti in capo agli organi amministrativi dei Soggetti Essenziali e Importanti ed in capo agli enti stessi.

L’art. 23 disciplina gli obblighi di natura amministrativa, gravanti su amministratori e vertici direttivi degli enti.

Ai sensi dell’art. 23 comma I ricade sugli organi amministrativi e direttivi dei soggetti essenziali od importanti:

a)     L’obbligo di approvare le modalità adottate dall’ente al fine di implementare le misure di gestione dei rischi per la sicurezza informatica, adottata dall’ente ai sensi dell’art. 24;

b)     L’obbligo di sovrintendere la procedura di iscrizione alla piattaforma telematica, come sopra descritto;

c)     Assumere la responsabilità delle violazioni delle disposizioni di cui al Decreto 138/2024.

Inoltre, prevede il comma II, che in capo ai medesimi gravino anche:

a)     L’obbligo di seguire corsi di formazione specifici in materia di sicurezza informatica;  

b)     L’obbligo di promuovere la programmazione di una periodica formazione in materia di cybersicurezza in favore dei dipendenti dell’ente, che sia sufficiente a garantirne l’acquisizione di conoscenze e competenze utili a individuare e valutare le pratiche di gestione dei rischi per la sicurezza informatica ed il relativo impatto sui servizi offerti dall’ente.

Infine, il comma III prevede che l’organo amministrativo e direttivo debba essere tempestivamente (o periodicamente, secondo gravità) informato degli incidenti informatici verificatisi all’interno del soggetto essenziale od importante. È quindi auspicabile che i soggetti interessati dall’applicazione della normativa provvedano ad elaborare specifici flussi informativi devoluti alla puntuale informazione del vertice amministrativo in merito ogni qualsivoglia incidente informatico passibile di compromettere od ostacolare la normale attività operativa dell’ente interessato.

Si noti molto bene che, ai sensi dell’art. 42 del Decreto, che disciplina la fase di prima applicazione, sino al 31 dicembre 2025 il termine per adempiere ai suesposti obblighi di cui all’art. 23 è di 18 mesi a decorrere dalla comunicazione di iscrizione nella lista dei soggetti essenziali o in quella dei soggetti importanti effettuata ai sensi dell’art. 7, comma 3, lettere a) e b).

L’art. 24 disciplina gli obblighi di natura tecnica vigenti a carico dei soggetti essenziali ed importanti, mirati alla implementazione delle misure di gestione e contenimento dei rischi per la sicurezza informatica.

La disposizione prevede che i soggetti essenziali ed i soggetti importanti debbano adottare, entro i termini e secondo le modalità definite dal Decreto, misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi gravanti sulla sicurezza dei sistemi informativi e di rete dai medesimi utilizzati nell’esercizio delle proprie attività e nella fornitura dei propri servizi. Ciò anche allo scopo di ridurre al minimo l’impatto di eventuali incidenti e il conseguente pregiudizio a carico dei destinatari e fruitori di detti servizi. Tali misure debbono rispondere a determinati requisiti, e, in particolare:

a)     Assicurare un livello di sicurezza dei sistemi informativi di rete che sia adeguato ai rischi esistenti, tenendo conto delle conoscenze più aggiornate e dello stato dell’arte e della tecnica in materia di sicurezza informatica. Ove possibile aderendo agli standard imposti da norme nazionali, europee od internazionali. Si dovrà tenere altresì conto dei costi di attuazione. Si presume, pertanto, che un indebito risparmio correlato ad un inadeguato investimento nelle misure di sicurezza possa essere ragione di una possibile insorgenza della responsabilità a carico dell’ente gravato dall’obbligo. L’investimento dovrà pertanto essere proporzionato alle risorse economiche possedute dall’ente ed al livello di rischio rilevato, considerandone il possibile impatto sui fruitori dei servizi;

b)     Ed invero, le misure dovranno essere “proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto e alla probabilità che si verifichino incidenti, nonché alla loro gravità, compreso il loro impatto sociale ed economico”.

Il comma II definisce le caratteristiche minime che il sistema di prevenzione dei sistemi informativi deve possedere, secondo un approccio multirischio. In particolare, le misure debbono prevedere i seguenti elementi:

a)     Sviluppo di politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete;

b)     Predisposizione di Procedure interne destinate alla gestione degli incidenti, anche al fine di eseguirà prontamente le notifiche di eventuali incidenti alle Autorità competenti;

c)     Predisposizione di Procedure volte a perseguire la continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro (c.d. disastre recovery), ove applicabile, e gestione delle crisi;

d)     Accertamento della sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;

e)     Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, ivi comprese la gestione e la divulgazione delle vulnerabilità;

f)       Sviluppo di Politiche e Procedure interne volte a valutare ciclicamente l’efficacia delle misure di gestione dei rischi per la sicurezza informatica, secondo un sistema di audit interni;

g)     Sviluppo di pratiche di formazione in materia di sicurezza informatica;

h)     Implementazione di Politiche e Procedure relative all’uso della crittografia e, ove opportuno, della cifratura;

i)       Sviluppo di prassi per la sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti;

j)       Uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Il Decreto prevede che, qualora il soggetto obbligato rilevasse di non essere adempiente rispetto alla adozione delle misure di cui sopra, lo stesso sia chiamato a adeguarsi e a adottare, senza indebito ritardo, tutte le misure correttive necessarie.  

Si noti molto bene che, ai sensi dell’art. 42 del Decreto, che disciplina la fase di prima applicazione, sino al 31 dicembre 2025 il termine per adempiere ai suesposti obblighi di cui all’art. 24 è di 18 mesi a decorrere dalla comunicazione di iscrizione nella lista dei soggetti essenziali o in quella dei soggetti importanti effettuata ai sensi dell’art. 7, comma 3, lettere a) e b).

L’art. 25 disciplina l’obbligo di notifica degli incidenti informatici, disponendo che i soggetti essenziali ed importanti debbono comunicare senza ritardo al CSIRT Italia ogni incidente che abbia un impatto significativo sulla fornitura dei loro servizi[2]. Si noti che il Decreto fornisce una bene la specifica definizione di “incidente”, quale: “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi.

Si noti molto bene che, ai sensi dell’art. 42 del Decreto, che disciplina la fase di prima applicazione, sino al 31 dicembre 2025 il termine per adempiere ai suesposti obblighi di cui all’art. 25 è di 9 mesi a decorrere dalla comunicazione di iscrizione nella lista dei soggetti essenziali o in quella dei soggetti importanti effettuata ai sensi dell’art. 7, comma 3, lettere a) e b).

L’art. 26 disciplina la possibilità, in capo ai soggetti essenziali od importanti, di trasmettere informazioni pertinenti al CSIRT[3] su base volontaria.

L’art. 27 disciplina i casi in cui l’Autorità nazionale competente NIS, secondo le modalità di cui all'articolo 40, comma 5, può imporre ai soggetti essenziali e ai soggetti importanti di utilizzare categorie di prodotti TIC, servizi TIC e processi TIC, al fine di dimostrare il rispetto di determinati obblighi di cui all’art. 24. Inoltre, ai sensi dell’art. 28, l’Autorità nazionale competente NIS può promuovere l’utilizzo di specifiche tecniche europee e internazionali relative alla sicurezza dei sistemi informativi e di rete.

L’art. 29 disciplina gli obblighi di registrazione in capo ai gestori di registri dei nomi di dominio di primo livello e ai fornitori di servizi di registrazione dei nomi di dominio.

Si noti molto bene che, ai sensi dell’art. 42 del Decreto, che disciplina la fase di prima applicazione, sino al 31 dicembre 2025 il termine per adempiere ai suesposti obblighi di cui all’art. 29 è di 18 mesi a decorrere dalla comunicazione di iscrizione nella lista dei soggetti essenziali o in quella dei soggetti importanti effettuata ai sensi dell’art. 7, comma 3, lettere a) e b).

L’art. 30 disciplina gli obblighi di elencazione, caratterizzazione e categorizzazione delle attività e dei servizi svolti dal soggetto essenziale od importante. Più specificamente, dal 1° maggio al 30 giugno di ogni anno, a partire dalla ricezione della prima comunicazione di cui all'articolo 7, comma 3, lettera a), i soggetti essenziali e i soggetti importanti hanno l’obbligo di comunicare o aggiornare, tramite la piattaforma digitale di cui all’articolo 7, comma 1, un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza. Si noti che ai sensi dell’art. 42 del Decreto, tale obbligo decorrerà solo a partire dal 1° gennaio 2026. Sarà poi cura dell’Autorità nazionale competente NIS stabilire le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi. In ogni caso, successivamente alla esecuzione della summenzionata comunicazione ad opera dell’ente, spetterà alla Autorità nazionale competente NIS fornire riscontro ai soggetti essenziali e ai soggetti importanti, entro 90 giorni, circa la conformità di quanto comunicato rispetto alle modalità e ai criteri dalla medesima definiti. Detto termine potrà essere prorogato, una sola volta, per ulteriori 60 giorni. L’Autorità avrà altresì facoltà di richiedere all’ente comunicante eventuali integrazioni e chiarimenti rispetto alla prima comunicazione dell’elenco attività.

Si noti che l’Autorità nazionale competente NIS, ai sensi dell’art. 31, stabilirà obblighi proporzionati in capo alle imprese, tenuto debitamente conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico. Nella definizione di termini, modalità, specifiche e tempi graduali di implementazione degli obblighi gravanti su ciascuna Società iscritta l’Autorità NIS dovrà tenere conto, altresì: della categoria di rilevanza; del settore-sottosettore del soggetto; della tipologia di soggetto; del grado di maturità iniziale del medesimo nell’ambito della sicurezza informatica; della individuazione del soggetto quale essenziale o importante.

4.     Monitoraggio, vigilanza ed esecuzione

Il Capo V del Decreto regola le modalità di svolgimento delle attività di supervisione e controllo circa la corretta applicazione della nuova disciplina in materia di cybersicurezza da parte dei soggetti obbligati.

In particolare, è bene evidenziare che all’Autorità competente nazionale NIS sono assegnati i compiti di monitorare e valutare il corretto adempimento agli obblighi di iscrizione e trasmissione delle informazioni previsti ai sensi dell’art. 7 del D.lgs. 138/2024. L’Autorità svolge tale funzione attraverso diversi poteri e facoltà, quali il potere di monitoraggio, di analisi e di supporto ai soggetti essenziali e ai soggetti importanti (art. 35); la facoltà di svolgere verifiche e ispezioni (art. 36); il potere di adottare misure di esecuzione (art. 37); la possibilità di irrogare sanzioni amministrative pecuniarie e accessorie (art. 38 e cfr. Par. 5). Qualora sussistano specifiche necessità, l’Autorità competente nazionale NIS coopera e assiste le autorità competenti degli altri Stati membri interessati, ed ha la facoltà di richiedere la cooperazione e l’assistenza reciproca alle medesime. Ciò nell’ottica dello sviluppo di una cooperazione a livello europeo intesa a coordinare e omogeneizzare gli standard di sicurezza informatica all’interno dell’Unione.

5.     Le sanzioni amministrative applicate ai casi di violazione

Il D.lgs. 138 del 2024 prevede anche delle sanzioni nei confronti dei soggetti essenziali od importanti che si rendano inadempienti rispetto agli obblighi ed alle prescrizioni operative sopra descritte.

I poteri sanzionatori sono in capo all’Autorità nazionale competente NIS, che ha la facoltà di erogare sanzioni di natura amministrativa, secondo quanto previsto dall’art. 38 del Decreto. In base a quanto disposto dalla norma, l’Autorità nazionale competente NIS dovrà esercitare in maniera ponderata il proprio potere sanzionatorio, e a tal fine dovrà tenere anche conto degli esiti delle attività di monitoraggio, supporto e analisi disciplinati dall’art. 35 del Decreto, delle risultanze dell’esercizio dei poteri di verifica e ispettivi di cui all’art. 36, nonché dell'’esercizio dei poteri di esecuzione di cui all’articolo 37. È prevista in capo all’Agenzia per la cybersicurezza nazionale la facoltà di specificare, con una o più determinazioni, i criteri per la determinazione dell’importo delle sanzioni per le violazioni di cui ai commi 8 e 10 dell’art. 38, adottando tutte le misure necessarie per assicurarne l’effettività, la proporzionalità, la dissuasività e l’applicazione.

Di rilevante importanza è la previsione del comma 5 dell’art. 38, che pone l’accento sulle responsabilità delle persone fisiche che abbiano la rappresentanza degli enti soggetti alla disciplina del Decreto. In particolare, la norma prevede che “qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso, assicura il rispetto delle disposizioni di cui al presente decreto. Tali persone fisiche possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente Decreto da parte del soggetto di cui hanno rappresentanza”.

La normativa prevede, altresì, che l’Autorità nazionale competente NIS possa assumere iniziative sanzionatorie nei confronti delle suddette persone fisiche, qualora il soggetto interessato si sia reso inadempiente rispetto agli obblighi previsti dal Decreto e non abbia ulteriormente dato seguito alle diffide ed alle intimazioni emanate nei suoi confronti dall’Autorità stessa ai sensi dell’art. 37 del Decreto. In particolare, ai sensi del comma 6 dell’art. 38, in tali ipotesi è facoltà dell’Autorità di disporre l’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del soggetto interessato. Si tratta di una sospensione temporanea che viene applicata fino a che il soggetto interessato non provveda a adottare le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide formulate dall’Autorità ai sensi all’articolo 37, commi 6 e 7.

Le sanzioni amministrative previste a carico dei soggetti essenziali od importanti sono intese a perseguire le seguenti violazioni, come definite dal comma 8 dell’art. 38:

a)     mancata osservanza degli obblighi imposti dall’articolo 23 agli organi di amministrazione e agli organi direttivi, nonché degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente, di cui agli articoli 24 e 25, così come disciplinati ai sensi dell’articolo 3;

b)     inottemperanza alle disposizioni adottate dall’Autorità nazionale competente NIS ai sensi dell’articolo 37, commi 3 e 4, e alle relative diffide.

In detti casi vengono applicate, agli enti del settore privato, le sanzioni previste dal comma 9 dell’art. 38:

a)     per i soggetti essenziali, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, se tale importo è superiore, il cui minimo edittale è fissato nella misura di un ventesimo del massimo edittale;

b)     per i soggetti importanti, escluse le pubbliche amministrazioni, con sanzioni amministrative pecuniarie fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE, se tale importo è superiore, il cui minimo edittale è fissato nella misura di un trentesimo del massimo edittale.

Il Decreto prevede ulteriori sanzioni amministrative, meno gravi, volte a punire le violazioni descritte dal comma 10 dell’art. 38, di seguito richiamate:

a)     mancata registrazione, comunicazione o aggiornamento delle informazioni presso la piattaforma telematica istituita dalle autorità competenti, come disciplinate ai sensi dell'articolo 7 del Decreto;

b)     inosservanza delle modalità stabilite dall’Autorità nazionale competente NIS per il corretto utilizzo della piattaforma telematica ai sensi dell’articolo 7;

c)     mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione ai sensi dell’articolo 30, comma 1;

d)     mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche di cui agli articoli 27, 29 e 32, così come disciplinati ai sensi dell'articolo 31;

e)     mancata collaborazione con l’Autorità nazionale competente NIS nello svolgimento delle attività e nell'esercizio dei poteri di monitoraggio, controllo ed ispezione istituiti dal Decreto in capo alla medesima;

f)       mancata collaborazione con il CSIRT Italia.

In base a quanto previsto dall’art. 38 comma 11, le violazioni di cui al comma 10, fermi restando i minimi edittali di cui al comma 9, sono punite:

a)     per i soggetti essenziali, con sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE;

b)     per i soggetti importanti, con sanzioni amministrative pecuniarie fino a un massimo dello 0,07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, calcolato secondo le modalità previste della raccomandazione 2003/361/CE.

Per i casi di reiterazione specifica della violazione è prevista l’applicazione della sanzione aumentata sino al doppio. Nei casi di reiterazione non specifica, invece, si applica la sanzione prevista per la violazione più grave aumentata sino al triplo.

Si noti bene che, in caso di mancata o tardiva registrazione alla piattaforma di cui all’articolo 7, sono comunque contestate tutte le violazioni previste dai commi 8 e 10 del presente articolo, e si applica la sanzione prevista per la violazione più grave, aumentata fino al triplo.

6.     I nuovi obblighi di cui al D.lgs. 138 del 2024 ed il rapporto con la responsabilità degli enti da reati ex D.lgs. 231/01. Le attività di verifica dell’OdV.

Le violazioni disciplinate dal Decreto non sono assurgono a rilevanza penale, ma vengono punite solo tramite l’applicazione di sanzioni amministrative. E, pertanto, non costituiscono oggi e nemmeno potenzialmente, in futuro, potrebbero costituire presupposto per l’applicazione della responsabilità degli enti da reato ex D.lgs. 231/01.

Ciononostante, la novella normativa in esame ben può coinvolgere aspetti indirettamente correlati alla disciplina della responsabilità dei soggetti collettivi, per le ragioni che di seguito si indicano. In primo luogo, in quanto i reati informatici, che presentano stretta attinenza con la novella normativa, costituiscono presupposto per l’applicazione della responsabilità di cui al Decreto 231, ai sensi dell’art. 24-bis (Delitti informatici e trattamento illecito di dati); in secondo luogo perché eventuali inadempimenti o violazioni gravi della disciplina in materia di sicurezza informatica restituirebbero l’evidenza di una scarsa attitudine organizzativa e di una inadeguata gestione della compliance normativa in materia cybersicurezza all’interno della Società interessata. È, inoltre, doveroso considerare che la nuova disciplina normativa introduce una serie di cogenti e specifici obblighi giuridici di protezione dei dati e dei sistemi informativi utilizzanti dall’ente, in capo ai soggetti essenziali ed importanti ed ai loro amministratori e legali rappresentati. Obblighi che non possono e non debbono essere disattesi da una Società ben strutturata e solerte nella gestione degli aspetti correlati alla compliance normativa. È quindi auspicabile che detti presidi siano valutati e attenzionati anche dagli Organismi di Vigilanza degli enti dotati di un Modello organizzativo ex D.lgs. 231/01, e, parimenti, che le Procedure e le Policies implementate ai fini della gestione dei nuovi obblighi derivanti dal D.lgs. 138/2024 siano regolarmente richiamati e inseriti nei Modelli organizzativi 231 delle società che manifestino profili di rischio di verificazione di reati informatici. E ciò in quanto dette Policies rappresenteranno, prevedibilmente, elevati standard in chiave di prevenzione proprio di tali illeciti.

Sotto questo profilo, quindi, una ratio di coordinamento tra la Parte Speciale del Modello incentrata sulla prevenzione dei reati informatici ai sensi dell’art. 24-bis del D.lgs. 231/01 e le Procedure adottate in chiave NIS2 e cybersicurezza appare estremamente utile, se non imprescindibile, per le società interessate.

Un Organismo di Vigilanza virtuoso sarà quindi chiamato ad accertare se la Società dal medesimo monitorata ai fini 231 sia soggetta all’applicazione del Decreto Legislativo 138/2024, nonché a verificare che la stessa provveda con solerzia a adempiere agli obblighi di iscrizione, informazione e ove necessario all’adeguamento tecnico delle proprie misure di protezione informatica. Ciò al fine di prevenire che l’ente possa, anche a causa di una inadeguata organizzazione, omettere con grave negligenza di adottare presidi proporzionati e adeguati ai livelli di rischio caratterizzanti i propri servizi e, così, innescare un pericolo di verificazione di incidenti informatici di sensibile rilevanza. Inoltre, l’Organismo di Vigilanza, se lo riterrà necessario, ben potrà esortare la società vigilata a procedere a un aggiornamento del proprio Modello organizzativo ex D.lgs. 231/01, accludendo al medesimo specifici controlli e verifiche periodiche afferenti alla concreta osservanza degli obblighi istituiti dalla disciplina NIS2.   

Credits: Avv. Alexis Bellezza


[1] La definizione di Autorità competente nazionale NIS è fornita dall’art. 10 del D.lgs. 138/2024, secondo il quale l’Agenzia per la cybersicurezza nazionale è l'Autorità nazionale competente NIS di cui all’articolo 8, paragrafo 1, della Direttiva (UE) 2022/2555, e, pertanto: a) sovrintende all'implementazione e all'attuazione del decreto; b) predispone i provvedimenti necessari a dare attuazione al presente decreto; c) svolge le funzioni e le attività di regolamentazione di cui al presente decreto, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti; d) individua i soggetti essenziali e i soggetti importanti ai sensi degli articoli 3 e 6, nonché redige l’elenco di cui all'articolo 7, comma 2; e) partecipa al Gruppo di cooperazione NIS, nonché ai consessi e alle iniziative promosse a livello di Unione europea relativi all’attuazione della direttiva (UE) 2022/2555.

 


[2] L’impatto si considera significativo, ai sensi del comma IV dell’art. 25, allorché lo stesso: “ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato” oppure “ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.


[3] Il Gruppo nazionale di risposta agli incidenti di sicurezza informatica ai sensi dell'articolo 15, comma 1, operante all’interno dell’Agenzia per la cybersicurezza nazionale.