Oggi 6 agosto 2024 si è tenuta la riunione preparatoria del CdM e tra i temi oggetto di discussione c’è anche lo schema del decreto legislativo per recepire la NIS2, schema che ha già ricevuto i pareri del Senato e della Camera dei deputati. Manca quindi solo l’approvazione del Consiglio dei ministri.
Dopo l’approvazione del CdM, il decreto legislativo viene emanato dal Presidente della Repubblica e pubblicato sulla Gazzetta Ufficiale. Entra in vigore dopo 15 giorni dalla pubblicazione.
Secondo la bozza attualmente a disposizione le disposizioni del decreto legislativo di recepimento della NIS2 si applicheranno, ai soggetti che ricadono nel perimetro della NIS2, a decorrere dal 18 ottobre 2024
Il direttore generale dell’ACN Bruno Frattasi ha parlato di 50.000 nuovi operatori che saranno interessati dalla nis2.
A chi si applica la NIS2?
La novità principale della Direttiva NIS 2 è proprio il suo ambito di applicazione, decisamente più ampio rispetto a quello dell’originaria Direttiva NIS. In particolare, le nuove disposizioni normative si applicano a due categorie di soggetti definiti come “essenziali” e “importanti”, quindi non solo i servizi essenziali (settori dell’energia, dei trasporti, della sanità, così come quello bancario e dei mercati finanziari, etc.), ma anche servizi altrettanto critici, come, ad esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legati alla grande distribuzione alimentare o al settore chimico.
Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.
Quali obblighi?
Gli operatori inclusi nell’ambito applicazione della nis2 dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti.
Inoltre, la Direttiva NIS 2 prevede che siano i membri degli “organi di gestione” degli operatori inclusi ad approvare le suddette misure, sovraintendendo alla loro applicazione e implementazione. E’ evidente, quindi, la volontà del legislatore di responsabilizzare i vertici della società alla corretta applicazione della normativa prevedendo pesanti sanzioni per gli stessi in caso di non applicazione della normativa.
A ciò si aggiunga che i soggetti essenziali e importanti saranno obbligati a notificare all’autorità competente, senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi. In particolare, il legislatore prevede la trasmissione di un preallarme entro le 24 ore dalla conoscenza dell’incidente, nonché l’inoltro di un’ulteriore notifica entro 72 ore che, se opportuno, aggiorni le informazioni precedentemente fornite.
Gli operatori rientranti nel perimetro NIS2 potranno, inoltre, essere soggetti ad attività di vigilanza, tra cui ispezioni in presenza e controlli a distanza, nonché audit sulla sicurezza periodici e mirati, effettuati da organismi indipendenti o dall’autorità competente.
Quali consigli dare agli operatori?
Il primo consiglio è quello di fare un’analisi dettagliata sull’applicabilità o meno della normativa al singolo operatore. È il primo passo fondamentale e imprescindibile.
Dopo aver ‘scoperto’ che si rientra nel perimetro NIS2 occorrerà ben comprendere la reale situazione dell’azienda ovvero le misure rientranti nella NIS2 già applicabili nell’azienda.
Ricordo che la NIS2 prevede una serie di policy e procedure che spesso le aziende non hanno. Credono di avere (c.d. Buone prassi) ma che non hanno!
E nell’applicazione di questa normativa sarà importante non solo quello che si fa ma sarà fondamentale documentare e dimostrare ciò che si fa con procedure, policy dettagliate, diagrammi di flusso e molto altro ancora.
Fondamentale sarà l’effettuazione di audit e la verbalizzazione degli stessi.
Il mio consiglio, infine, è quello di non prendere sotto gamba questa normativa. Dati i continui attacchi informatici e data breach che si verificano le autorità di vigilanza intensificheranno i controlli soprattutto per chi rientra nell’ambito di applicazione.
E se arriva il controllo a loro potrà arrivare ai fornitori di cui l’azienda rientrante nel perimetro nis2 si avvale (c.d. Catena di fornitura o supply chain).
Ma di questo ne parleremo nel prossimo articolo.
Avv. Clementina Baroni
Commenti recenti