Le novità della c.d. “NIS 2: la sfida digitale e la cybersicurezza

Il tema della cybersicurezza è stato oggetto di vari interventi normativi nel corso dell’ultimo periodo.

Il più recente in ordine di tempo è il decreto legislativo 4 settembre 2024, n. 138 con cui l’Italia ha recepito la direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell’Unione abrogando la precedente direttiva la c.d. “NIS 2”, ossia Network Information Security.

Questo decreto (“NIS 2”) si aggiunge, in ordine di tempo, al decreto-legge recante “Misure urgenti per la semplificazione e l’innovazione digitale” (D.L. del 16 luglio 2020 n. 76 convertito con modificazioni dalla L. 11 settembre 2020, n. 120) che ha introdotto sostanziali novità per il sostegno e la diffusione dell’amministrazione digitale, rafforzando le misure già contenute nel Codice dell’Amministrazione Digitale (C.A.D.) adottato attraverso il D. Lgs. n. 82/2005. Uno dei pilastri è assicurare un elevato livello di cybersicurezza.

Nel corso dello scorso anno vi sono state, poi, le indicazioni della legge n. 90 del 28 giugno 2024 recante “disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”. Il Capo I si concentra sulla resilienza delle pubbliche amministrazioni e sui contratti pubblici di beni e servizi informatici. Il Capo II modifica il Codice Penale, migliorando il coordinamento degli interventi in caso di attacchi informatici.

In particolare, uno degli aspetti chiave della L. 90/2024 riguarda la necessità di integrare criteri di cybersicurezza nei processi di approvvigionamento pubblico, affinché gli enti acquistino soluzioni tecnologiche che garantiscano elevati standard di protezione e affidabilità. A tal fine la legge impone alle amministrazioni di adottare criteri di premialità per le offerte che prevedono l’impiego di tecnologie sviluppate in Italia nei Paesi dell’Unione Europea, nei Paesi NATO o in Stati terzi che abbiano accordi di collaborazione con l’UE o la NATO in materia di cybersicurezza.

Tale aspetto trova piena applicazione nell’articolo 108 del D.Lgs. 36/2023 (Nuovo Codice di Contratti Pubblici), che rappresenta lo strumento normativo concreto per l’attuazione di tali principi all’interno del sistema degli appalti pubblici. La disposizione, infatti, disciplina i criteri specifici per l’aggiudicazione degli appalti pubblici che garantiscano un adeguato livello di cybersicurezza, quale fattore determinante nelle scelte di acquisto della Pubblica Amministrazione. In particolare:

• Quando viene applicato il criterio del minor prezzo (art. 108, co. 3), gli elementi di cybersicurezza devono essere requisiti minimi dell’offerta.
• Se viene adottato il criterio dell’offerta economicamente più vantaggiosa (art. 108, co. 4), nella valutazione dell’elemento qualitativo si stabilisce un tetto massimo del 10% per il punteggio economico, per garantire che la cybersicurezza non sia sacrificata a favore del solo risparmio economico.
• Le Stazioni Appaltanti possono escludere offerte che non rispettino gli elementi di cybersicurezza, esercitando la facoltà prevista dagli artt. 107, co. 2 e 108, co. 10 del D.Lgs. 36/2023.
• Devono essere previsti criteri di premialità per offerte che utilizzano tecnologie di cybersicurezza italiane, dell’UE, della NATO o di Paesi terzi che collaborano con l’UE o la NATO in materia di cybersicurezza.

Queste disposizioni si applicano non solo alle amministrazioni pubbliche, ma anche ai soggetti privati inseriti nell’elenco di cui all’art. 1, comma 2-bis del D.L. 205/2019, garantendo una protezione omogenea per il settore strategico della sicurezza digitale.

Restano infine vigenti le disposizioni dell’art. 1 del D.L. 105/2019, per quanto riguarda l’approvvigionamento di beni e servizi ICT (information and communication technology) impiegati nelle infrastrutture critiche nazionali, assicurando un coordinamento normativo [sul punto si veda l’articolo del 25 settembre 2024 ]

Ultimo, ma solo in ordine di tempo, arriva il Decreto “NIS 2” che rafforza ulteriormente il tema della centralità della Cybersicurezza. 

A chi si applica la nuova normativa sulla sicurezza informatica?

Il Decreto “NIS 2” modifica il meccanismo di identificazione dei soggetti importanti o essenziali prevedendo un criterio omogeneo basato sulla dimensione (cosiddetto “size-cap rule”) che estende l’applicazione della normativa a tutte le medie e grandi imprese operanti nei settori identificati (in taluni casi, anche a piccole e microimprese), nonché a numerose pubbliche amministrazioni.

Sono coinvolti i seguenti settori:

i) Settori ad alta criticità, come energia, trasporti;

ii) Fornitori di servizi digitali e settori ICT, incluse piattaforme di cloud computing, data center e servizi di gestione IT;

iii) altri settori strategici, quali produzione e distribuzione di prodotti chimici, gestione delle acque, gestione rifiuti,  servizi postali e di corriere;

iv) alcuni tipi di Pubbliche Amministrazioni (tra cui Città Metropolitane e Comuni con più di 100.000 abitanti).

Resta ferma la possibilità per l’Agenzia per la Cybersicurezza Nazionale, su proposta delle Autorità di settore, di individuare ulteriori soggetti ritenuti critici (es, società in house, partecipate e in controllo pubblico).

Quali sono gli obblighi per le aziende che rientrano in questi settori?

Le aziende che  rientrano in questi settori devono verificare il loro livello di “allineamento” con gli obblighi fissati dalla normativa e adottare misure di sicurezza adeguate. In particolare, occorre assicurare il rispetto dei seguenti requisiti:

– adottare misure di sicurezza adeguate per la gestione dei rischi cyber e per la protezione dei dati;

– notificare eventuali incidenti di sicurezza alle autorità competenti entro le tempistiche stabilite;

– implementare politiche per la gestione del rischio e per garantire la formazione del personale (compresa quella degli “Organi di amministrazione” e degli “Organi direttivi”) in materia di cybersecurity;

– Sottoporsi a controlli e audit periodici per verificare la conformità alla normativa.

Il mancato rispetto della normativa può comportare sanzioni severe e limitazioni operative.

Quali sono le scadenze da rispettare per le aziende?

La NIS 2 impone un calendario rigoroso per l’adeguamento:

– per i fornitori di servizi digitali (cloud, data center, motori di ricerca, social network) occorre effettuare la registrazione sulla piattaforma ACN entro il 17 gennaio 2025;

– per tutte le altre aziende soggette alla normativa la registrazione su piattaforma deve esser effettuata entro il 28 febbraio 2025.

– entro il 31 marzo di ogni anno l’Agenzia per la Cibersicurezza Nazionale redige l’elenco dei “soggetti essenziali” e dei “soggetti importanti” sulla base delle registrazioni e delle ulteriori individuazioni (art. 7, co 2);

– entro metà maggio 2025, occorre trasmettere e aggiornare tempestivamente (comunque non oltre 14 giorni dalla modifica) le informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7);

– dal 1° maggio al 30 giugno di ogni anno i “soggetti essenziali” e i “soggetti importanti” comunicano e aggiornano l’elenco delle proprie attività e dei propri servizi comprensivo di tutti gli elementi necessari alla loro caratterizzazione e alla relativa categoria di rilevanza;

– entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente;

– entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di sicurezza informatica.

Cosa devono fare le aziende per adeguarsi?

Per le aziende che rientrano nel perimetro e per quelle che sono state incluse dell’Agenzia occorre;

i) condurre un assesment della cybersecurity per individuare eventuali vulnerabilità e aree di miglioramento;

ii) adeguare le politiche e procedure aziendali alle nuove prescrizioni normative e

iii) formare il personale e predisporre un piano di gestione degli incidenti.

Questo articolo ti è stato utile?

Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.