NIS 2: L’articolato quadro normativo in materia di cybersicurezza volge verso una nuova rivoluzione.

Pubblicata in Gazzetta Ufficiale dell’Unione Europea l’attesa Direttiva NIS 2.

Quali novità?

Avv. Alessio Cicchinelli, Avv. Luca D’Agostino

L’articolato quadro normativo in materia di cybersicurezza volge verso una nuova rivoluzione.

Nella Gazzetta Ufficiale dello scorso 27 dicembre è stata pubblicata l’attesa Direttiva 2022/2555/UE del (nota come “NIS 2”) che, nel sostituire la Direttiva 1148/2016/UE, persegue l’obiettivo di una maggiore armonizzazione nel settore della cybersicurezza. La direttiva entrerà in vigore il prossimo 17 gennaio 2023, ma gli Stati membri avranno termine per recepirla entro il 17 ottobre 2024.

Tra le principali novità vi è, anzitutto, il più esteso campo di applicazione degli obblighi di prevenzione e notifica degli incidenti, che si rivolgono a due nuove categorie di soggetti, definiti come “essenziali” e “importanti”.

Ai sensi dell’art. 3 della Direttiva NIS 2, sono considerati “essenziali” i seguenti operatori:
a) soggetti di cui all’allegato I che superano i massimali per le medie imprese;

b) prestatori di servizi fiduciari qualificati e registri dei nomi di dominio di primo livello, nonché prestatori di servizi
DNS, indipendentemente dalle loro dimensioni;

c) fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;

d) gli enti dell’amministrazione centrale dello Stato, conformemente al diritto nazionale o, a livello regionale quelli che, a seguito di una valutazione basata sul rischio, forniscono servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche;

e) qualsiasi altro soggetto di cui all’allegato I o II della Direttiva che uno Stato membro identifica come soggetti essenziali;

f) soggetti identificati come infrastrutture critiche ai sensi della direttiva 2022/2557/UE (c.d. Direttiva CER);

g) i soggetti che prima del 16 gennaio 2023 sono stati designati come OSE ai sensi della direttiva 2016/1148/UE o del diritto nazionale.

Sono invece considerati soggetti “importanti” quelli di cui agli allegati I o II che non rientrano tra i soggetti “essenziali”.

Rientrano dunque tra i soggetti obbligati non soltanto gli operatori nei settori indicati dalla prima direttiva (OSE e FSD), ma anche quelli che prestano servizi altrettanto critici (es. servizi postali e di consegna, gestione dei rifiuti, fabbricazione di dispositivi medici o sistemi informatici, operatori della grande distribuzione alimentare, servizi fiduciari qualificati di cui regolamento (UE) n. 910/2014 etc.). Ai fini della designazione tra i destinatari della disciplina, si prevede il limite dimensionale della “media impresa” ai sensi della raccomandazione 2003/361/CE, derogabile soltanto in presenza di particolari condizioni.

In linea con le disposizioni della precedente direttiva, la NIS 2 dispone gli operatori inclusi nel suo campo di applicazione debbano adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza. L’adempimento è presidiato, oltre che dalle sanzioni amministrative applicabili all’ente, anche da una inedita forma di responsabilità diretta degli organi di governance della società.

Ai sensi dell’art. 20 della Direttiva, gli Stati membri dovranno provvedere affinché gli organi di gestione dei soggetti essenziali e importanti:

• approvino le misure di gestione dei rischi di cybersicurezza;
• sovraintendano alla loro attuazione;
• e possano essere ritenuti responsabili in caso dell’inosservanza degli obblighi sanciti dall’art. 21.

Sono inoltre introdotte regole più chiare e precise sull’assolvimento dell’obbligo di notifica degli incidenti significativi, prevedendo la trasmissione di un preallarme entro le 24 ore dalla conoscenza dell’incidente, seguito dall’inoltro di un’ulteriore notifica, al CSIRT o all’Autorità NIS, entro 72 ore per aggiornare le informazioni precedentemente fornite.

Venendo infine alle novità sul versante punitivo, l’art. 35 della Direttiva prevede una risposta sanzionatoria diversificata in base alla categoria di appartenenza dei destinatari della disciplina . Per l’omessa adozione delle misure di sicurezza e l’inosservanza dell’obbligo di notifica, i soggetti “importanti” saranno soggetti a sanzioni pecuniarie fino a Euro 7.000.000 o, se superiore, fino all’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente. Gli importi sono elevati, rispettivamente a Euro 10.000.000 o al 2% del totale del fatturato mondiale annuo per i soggetti qualificati come “essenziali”.

Sebbene l’applicazione delle sanzioni richieda il previo recepimento della direttiva, l’art. 35, par. 8, sancisce una sorta di meccanismo di diretta applicabilità, prevedendo che

«se l’ordinamento giuridico di uno Stato membro non prevede sanzioni amministrative pecuniarie, lo Stato membro in questione provvede affinché il presente articolo possa applicarsi in maniera tale che l’azione sanzionatoria sia avviata dall’autorità competente e la sanzione pecuniaria sia irrogata dalle competenti autorità giurisdizionali nazionali».

Tali sanzioni saranno irrogate tenendo conto dei criteri di cui all’articolo 32, par. 7, vale a dire:

• la gravità della violazione e l’importanza delle disposizioni violate;
• la durata della violazione;
• eventuali precedenti violazioni pertinenti commesse dal soggetto interessato;
• la causazione di un danno materiale o immateriale, incluse le perdite finanziarie o economiche, gli effetti sugli altri servizi e il numero di utenti interessati;
• un’eventuale condotta intenzionale o negligenza da parte dell’autore della violazione;
• l’adozione di misure per prevenire o attenuare il danno materiale o immateriale causato;
• l’adesione a codici di condotta o meccanismi di certificazione;
• la collaborazione con le autorità competenti.

Tenuto conto dell’entità delle sanzioni, è opportuno che gli operatori interessati inizino quanto prima a predisporre un piano di adeguamento, che tenga conto di tutti gli adempimenti richiesti dal legislazione europeo, con particolare riguardo alle misure di sicurezza di cui all’art. 21 della direttiva.