La Direttiva NIS 2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, estende le misure di sicurezza informatica ad un maggior numero di settori strategici, imponendo obblighi stringenti ai soggetti interessati.
L’obiettivo è proteggere le infrastrutture critiche e i servizi essenziali, contrastando le minacce ai sistemi informatici che potrebbero avere impatti economici e sociali gravi per tutto il sistema.
- Ambito di applicazione.
La normativa si applica, in primo luogo, ai soggetti qualificati come medie e grandi imprese (più di 50 dipendenti e fatturato superiore a 10 milioni di euro).
Dette imprese per essere soggetti alla direttiva NIS 2 dovranno altresì operare nei seguenti settori descritti agli allegati 1 e 2 del D.Lgs 138/2024:
- Settori altamente critici (soggetti essenziali):
Energia: produzione, gestione, trasmissione e distribuzione di elettricità, gas, petrolio e idrogeno.
Trasporti: trasporto aereo, ferroviario, marittimo e stradale, compresi i gestori delle relative infrastrutture.
Settore bancario e infrastrutture dei mercati finanziari: enti creditizi ossia imprese la cui attività consiste nel raccogliere depositi o altri fondi rimborsabili dal pubblico e nel concedere crediti per proprio conto.
Settore sanitario: prestatori di assistenza sanitaria, laboratori, fabbricazione di prodotti farmaceutici e dispositivi medici.
Acqua potabile e acque reflue: fornitori e distributori di acque destinate al consumo umano, imprese che raccolgono, smaltiscono o trattano acque reflue urbane o industriali.
Infrastrutture digitali: fornitori di servizi cloud, data center e reti di distribuzione internet.
Spazio: aziende operanti nel settore satellitare e della navigazione spaziale.
- Altri settori critici (soggetti importanti):
Poste e corrieri: servizi di consegna e distribuzione logistica.
Gestione dei rifiuti: raccolta, trattamento e smaltimento di rifiuti pericolosi e no.
Industrie strategiche: fabbricazione, produzione e distribuzione di sostanze chimiche, alimenti, dispositivi medici, computer, apparecchiature elettriche e mezzi di trasporto.
Servizi digitali: fornitori di mercati online, di motori di ricerca, di piattaforme di social network e di servizi di registrazione di nomi di dominio.
Tuttavia, la normativa si applicherà a prescindere dal criterio dimensionale, alle società collegate a soggetti essenziali e importanti salvo che non dimostrino l’indipendenza dei propri sistemi informativi e di rete da quelli del soggetto essenziale o importante collegato.
2. Tempistiche e sanzioni
La fase di adeguamento alla normativa seguirà un preciso calendario, entro aprile 2025, l’ACN notificherà alle aziende l’eventuale inserimento nell’elenco dei soggetti NIS, permettendo così di conoscere gli obblighi specifici applicabili a ciascuna impresa. A partire da gennaio 2026, le aziende rientranti nell’ambito della normativa dovranno iniziare a notificare eventuali incidenti di sicurezza informatica, mentre entro ottobre dello stesso anno sarà necessario completare l’implementazione delle misure di sicurezza previste.
Il mancato rispetto degli obblighi comporterà sanzioni significative. Per i soggetti essenziali, le sanzioni pecuniarie potranno arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale, mentre per i soggetti importanti le sanzioni potranno raggiungere i 7 milioni di euro o l’1,4% del fatturato. Inoltre, i dirigenti responsabili potrebbero incorrere in provvedimenti di interdizione dai ruoli amministrativi in caso di gravi inadempienze.
3. Prossimi passi.
Alla luce di tutto ciò il primo passo da compiere da parte delle imprese soggette alla normativa NIS 2 è rappresentato dalla registrazione nella piattaforma messa a disposizione dall’ACN all’indirizzo https://www.acn.gov.it>portale>nis che dovrà essere effettuata entro il 28 febbraio 2025. Accedendo al portale, si potranno trovare tutte le istruzioni per la registrazione.
È fondamentale che le imprese pianifichino e attuino tempestivamente le misure necessarie per garantire la conformità alla normativa, evitando sanzioni e contribuendo attivamente alla sicurezza informatica nazionale.
Prepararsi per tempo è fondamentale per gestire con successo l’implementazione della nuova normativa.
Lo Studio resta a disposizione per eventuali chiarimenti.
Cordiali saluti.
(Avv. Giampiero Pino) (Dott. Andrea Giorgi)
