La Direttiva NIS 2 trasforma la Cybersecurity da tema tecnico a tema di vigilanza della governance aziendale.

Sono trascorsi 10 anni dall’intervista profetica all’ideatore del software McAfee, nella quale dichiarò che la terza guerra mondiale sarebbe stata vinta con l’arma dell’informatica[1]. L’evoluzione tecnologica espone oggi le aziende a minacce cyber sempre più sofisticate, con conseguenze potenzialmente devastanti sul piano economico, reputazionale e legale.

Dal 2015 ad oggi la previsione del programmatore John McAfee si rivela più che attuale: nel contesto della digitalizzazione dei processi aziendali la sicurezza informatica, un tempo appannaggio esclusivo dei reparti specializzati, è oggi una priorità strategica che richiede un coinvolgimento diretto del top management. In questo scenario, la Direttiva NIS 2 ridefinisce il ruolo degli organi di amministrazione e direttivi, attribuendo loro una responsabilità chiave nella supervisione e nell’implementazione delle misure di sicurezza informatica.

Questo cambiamento segna un passaggio fondamentale: la cybersecurity non è più un tema tecnico relegato all’IT, ma un elemento essenziale della governance aziendale, su cui i vertici devono vigilare attivamente.

L’attuazione della Direttiva NIS 2 attraverso il D.lgs. 138/2024 rappresenta un cambiamento significativo per le aziende italiane, imponendo un approccio strutturato alla sicurezza informatica e una maggiore responsabilità per gli organi direttivi. L’obbligo di conformità, unito a sanzioni severe e alla necessità di una gestione tempestiva degli incidenti, rende evidente come la cybersecurity non sia più un aspetto marginale, ma una componente essenziale della strategia aziendale. Le imprese dovranno quindi adottare un modello di governance più solido e proattivo per garantire la resilienza dei propri sistemi informativi e la protezione dei dati, rafforzando così la fiducia di clienti, partner e istituzioni.

Aspetti chiave e requisiti

La NIS 2 adottando misure per proteggere reti e sistemi informativi, valorizza il ruolo della supervisione aziendale nell’attuazione delle misure di sicurezza. Tra gli aspetti chiave della strategia aziendale si attestano l’analisi continua dei rischi, la gestione strutturata degli incidenti, l’uso di crittografia e multi-autenticazione per proteggere i dati e l’implementazione di protocolli di sicurezza standardizzati. È facile comprendere come per l’attuazione di una tale gestione occorra un programma di formazione del personale addetto che sia strutturato e multidisciplinare, formato a recepire l’ormai nuovo ruolo che la sicurezza informatica ha assunto dal 2022 in poi nel contesto dell’EU-CyCLONe, rete europea di organizzazioni di collegamento per le crisi informatiche per la gestione coordinata di incidenti e crisi di sicurezza informatica su larga scala. Inoltre, la formazione del personale è essenziale per rafforzare la cultura aziendale in materia di cybersecurity e prevenire minacce informatiche.

Responsabilità, misure di gestione e attuazione

Il D.lgs. 138/2024, che recepisce in Italia la Direttiva NIS 2, disciplina con l’art. 23 le responsabilità degli organi di amministrazione e direttivi dei soggetti “essenziali” e “importanti”[2] in materia di gestione dei rischi per la sicurezza informatica. In particolare, stabilisce che tali organi siano tenuti ad approvare le misure di gestione dei rischi informatici e supervisionarne l’attuazione, assicurandosi che siano adeguate a prevenire e mitigare le minacce alla sicurezza delle reti e dei sistemi informativi utilizzati per l’erogazione di servizi essenziali o importanti.

Formazione specifica obbligatoria, Comunicazione e monitoraggio

Il medesimo articolo include anche l’obbligo di formazione specifica per i membri degli organi di amministrazione e direttivi, al fine di assicurare una conoscenza adeguata dei rischi per la sicurezza informatica e delle misure necessarie alla loro gestione. Inoltre, prevede che la mancata adozione delle misure richieste possa comportare responsabilità per tali organi, in conformità con la normativa vigente. Di conseguenza, i soggetti italiani identificati come essenziali o importanti e altri soggetti che rientrano nell’ambito di applicazione del D.lgs. 138/2024, dovranno implementare processi interni più strutturati e articolati, caratterizzati da canali di comunicazione chiari tra i diversi livelli di governance. Questo obbligo potrebbe richiedere una riorganizzazione interna delle strutture aziendali e delle responsabilità, con l’introduzione di figure professionali specifiche incaricate della supervisione e del monitoraggio delle misure di sicurezza informatica.

Gestione delle emergenze, trasparenza e obblighi di notifica

In caso di un incidente che abbia un impatto significativo sulla fornitura dei servizi, è fondamentale informare tempestivamente l’autorità competente o il CSIRT (Computer Security Incident Response Team). Questa procedura garantisce non solo una gestione rapida ed efficace dell’emergenza, ma anche una piena trasparenza nei confronti le autorità competenti, contribuendo a una risposta coordinata e alla mitigazione tempestiva dei rischi.

A tal proposito, l’Articolo 25 del Decreto Legislativo n. 138/2024, stabilisce gli obblighi per i soggetti essenziali e importanti riguardo alla notifica di incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. Questi soggetti devono notificare tali incidenti al CSIRT Italia senza ingiustificato ritardo, seguendo una procedura articolata in tre fasi:

1. Pre-notifica: entro 24 ore da quando vengono a conoscenza dell’incidente significativo, i soggetti devono inviare una pre-notifica che, ove possibile, indichi se l’incidente possa essere il risultato di atti illegittimi o malevoli o avere un impatto transfrontaliero.
2. Notifica completa: entro 72 ore dalla conoscenza dell’incidente significativo, deve essere inviata una notifica completa che aggiorni le informazioni precedentemente fornite e includa una valutazione iniziale dell’incidente, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione.
3. Relazione finale: entro un mese dalla trasmissione della notifica completa, i soggetti devono inviare una relazione finale con dettagli approfonditi sull’incidente e sulle misure adottate.

Archiviazione e tracciamento

Le aziende sono tenute a mantenere una documentazione interna relativa agli incidenti e alle misure adottate. Questo consente di tracciare ogni evento e valutare eventuali miglioramenti da apportare. Inoltre, devono essere sempre pronte a collaborare con le autorità competenti, fornendo le informazioni necessarie quando richiesto.

Sanzioni amministrative

In caso di mancato rispetto degli obblighi sopra menzionati, il Decreto prevede sanzioni amministrative significative in caso di non conformità. Per i soggetti essenziali, con esclusione delle pubbliche amministrazioni, le sanzioni possono raggiungere 10.000.000 di euro o il 2% del fatturato globale annuo; per i soggetti importanti, sempre escludendo le pubbliche amministrazioni, le sanzioni possono raggiungere 7.000.000 di euro o il 1,4% del fatturato globale annuo.

Per la violazione degli altri obblighi, come la mancata collaborazione con ACN (Agenzia per la cybersicurezza nazionale) o l’omessa registrazione sulla piattaforma dedicata[3], sono previste sanzioni proporzionate. Per i soggetti essenziali, la sanzione può arrivare fino allo 0,1% del fatturato annuo globale dell’impresa, mentre per i soggetti importanti l’importo massimo previsto è pari allo 0,07%. In caso di reiterazione, la sanzione può essere aumentata fino al doppio o, nei casi più gravi, fino al triplo della sanzione originaria.

Responsabilità personale e sospensione

Oltre alle sanzioni amministrative pecuniarie, è prevista una responsabilità personale per le persone fisiche che ricoprono ruoli di rilievo all’interno dei soggetti essenziali o importanti. Questa responsabilità si estende agli organi di amministrazione e direttivi, così come a coloro che esercitano funzioni dirigenziali in qualità di amministratore delegato o rappresentante legale. In caso di mancata conformità alle prescrizioni stabilite dall’ACN, tali soggetti possono essere sospesi dalle proprie funzioni dirigenziali fino al ripristino della conformità.

Il presente articolo ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.

Per chiarimenti o informazioni potete contattare gli autori oppure il Vostro Professionista di riferimento all’interno dello Studio.

Gianmatteo Nunziante, Partner
E: g.nunziante@nmlex.it
T.: +39 06695181

Egenaz Erçetin, Trainee
E: e.ercetin@nmlex.it
T.: +39 06695181

[1] John McAfee: la Terza guerra mondiale sarà informatica.
[2] Per una definizione dettagliata di “soggetti essenziali” e “soggetti importanti”, si rimanda all’articolo “Cybersecurity e catene di approvvigionamento” pubblicato sul sito di Nunziante Magrone.
[3] I soggetti italiani identificati come essenziali o importanti e altri soggetti che rientrano nell’ambito di applicazione della Direttiva NIS 2 dovevano registrarsi sulla piattaforma digitale fornita dall’ACN entro il 28 febbraio 2025.

 

Pubblicato il: 26/03/2025