Entro il 28 febbraio 2025 i soggetti che rientrano nell’ambito di applicazione del Decreto legislativo 138/2024, che ha recepito la Direttiva (UE) 2022/2555 (“Direttiva NIS2”), devono registrarsi presso l’Autorità nazionale competente NIS, identificata in Italia nell’Agenzia per la cybersicurezza nazionale (“ACN”), utilizzando la piattaforma ACN dedicata.
La Direttiva NIS2 ha sostituito la precedente Direttiva NIS del 2016, ampliando il suo ambito di applicazione e introducendo nuovi obblighi per i soggetti pubblici e privati in Italia quali, ad esempio, in materia di sicurezza e segnalazione degli incidenti.
Il continuo sviluppo delle tecnologie e il loro utilizzo nelle attività ordinarie di gestione e funzione delle attività pubbliche e private, insieme all’inasprirsi delle tensioni geopolitiche, hanno aumentato il rischio e pericolo di attacchi cyber. Eventi di questo tipo potrebbero esporre i soggetti pubblici e privati a nuovi rischi come la momentanea o continuativa interruzione dell’attività causata dal blocco dei sistemi, perdita di dati personali e dati in generale (e.g. brevetti, know-how), che potrebbero avere un impatto non solo sul singolo soggetto ma anche sull’intero sistema di sicurezza.
Per tali motivi si è sentita l’esigenza di tutelare i sistemi di sicurezza nazionali, prevedendo, prima a livello europeo tramite l’adozione della Direttiva NIS2, e poi tramite l’implementazione a livello nazionale, l’estensione dell’applicazione della NIS a nuovi settori, e l’inasprimento degli obblighi di sicurezza e prevenzione.
In tale contesto, l’Italia è stata tra i primi Paesi membri dell’Unione Europea ad implementare la Direttiva NIS2, pubblicando in data 1 ottobre 2024 il decreto legislativo n. 138/2024 (“d.lgs 138/2024”), entrata in vigore il 16 ottobre 2024. Il d.lgs 138/2024 introduce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, in modo da contribuire a propria volta ad aumentare il livello comune di sicurezza nell’UE e ad un migliore funzionamento del mercato interno.
L’estensione del perimetro di applicazione di NIS2
Come anticipato, con la Direttiva NIS2 ed il d.lgs 138/2024, si amplia la rosa dei settori rilevanti. In particolare, il d.lgs 138/2024, ricalcando il testo della Direttiva NIS2, identifica nell’Allegato I i settori ad alta criticità. Originariamente la Direttiva NIS del 2016 prevedeva otto settori critici (ossia energia, trasporti, bancario, sanitario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acque potabili ed infrastrutture digitali), a cui la Direttiva NIS2 ha aggiunto i settori delle acque reflue, gestione dei servizi TIC (business-to-business) e spazio.
La Direttiva NIS2 ha poi aggiunto un ulteriore Allegato II, che identifica gli “altri settori critici”, non previsti nella Direttiva NIS del 2016, tra cui troviamo i settori dei servizi postali, della gestione dei rifiuti, della fabbricazione, produzione e distribuzione di sostanze chimiche e alimenti, della fabbricazione di varie tipologie di prodotti e apparecchiature specifiche, della fornitura di servizi digitali e della ricerca.
Nell’implementare la Direttiva NIS2, il d.lgs. 138/2024 ha poi ampliato ulteriormente le categorie di settori, prevedendo in Allegato III le amministrazioni centrali, regionali, locali e altri soggetti pubblici, ed in Allegato IV ulteriori tipologie di soggetti quali soggetti che forniscono servizi di trasporto pubblico locale, istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale e società in house, società partecipate e società a controllo pubblico.
I soggetti che operano nei settori sopra individuati sono poi classificati sulla base di requisiti soggettivi, quali il fatturato ed il numero di dipendenti, operando un’ulteriore distinzione in soggetti essenziali e soggetti importnati (distinzione questa per lo più rilevante sotto il profilo sanzionatorio).
Dalla lettura della Direttiva NIS2 ed in particolare del suo ambito di applicazione emerge chiaramente l’intento del legislatore di estendere l’applicazione degli obblighi di sicurezza per minimizzare il più possibile il margine di rischio. Tuttavia, uno dei principali punti di attenzione riguarda l’effettiva capacità delle autorità nazionali di monitorare efficacemente l’effettivo adempimento ai numerosi obblighi previsti da parte di un numero così ampio di soggetti pubblici e privati.
L’obbligo di registrazione sulla piattaforma ACN
A differenza della precedente normativa, il d.lgs. 138/2024 prevede che i soggetti che ritengono di rientrare nel perimetro di applicazione della Direttiva NIS2 debbano proattivamente registrarsi al portale ACN dedicato. Tale iniziale autovalutazione, tuttavia, potrebbe avere un significativo impatto sui lavori di monitoroaggio e controllo dell’ACN: ci si aspetta infatti che un elevatissimo numero di società proceda alla registrazione anche in ipotesi di incertezza circa l’effettiva applicabilità della Direttiva NIS2, al fine di scongiurare l’eventuale applicazione di sanzioni.
Infatti, la non conformità agli obblighi della NIS2 può comportare sanzioni amministrative significative, che pert la mancata registrazione possono arrivare fino allo 0.1% o 0.07% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto (rispettivamente, per i soggetti essenziali ed importanti). Ma soprattutto, una particolare spinta propulsiva è data dalla previsione di cui agli articoli 23, comma 1, e 38, comma 5, del d.lgs. 138/2024, ai sensi dei quali gli organi di amministrazione e gli organi direttivi nonché i legali rappresentanti dei soggetti NIS possono essere ritenuti direttamente responsabili degli inadempimenti in caso di violazione del d.lgs. 138/2024 da parte del soggetto di cui hanno rappresentanza.
Queste previsioni destano diversi problemi interpretativi: non è infatti chiaro il perimetro di tale responsabilità person ale né come, in pratica, tale responsabilità sarà valutata dall’ACN. Ad esempio, non è chiaro se tale responsabilità potrebbe anche comportare l’applicazione in capo agli organi di amministrazione ed agli organi direttivi delle sanzioni amministrative di natura economica previste dall’art. 38 (con particolare riferimento, ad esempiol, alla violazione degli obblighi gravanti proprio sugli organi di amministrazione e sugli organi direttivi).
La responsabilità personale, se da una parte garantisce una maggiore proattività da parte dei soggetti rilevanti nella conformità con i dettami normativi, dall’altra impone una competenza tecnica in capo a tali soggetti che non erano tipicamente tenuti ad avere. La conseguenza è che la rilevanza della formazione e competenza in materia di cybersicurezza diverrà sempre più centrale ed essenziale per i soggetti che ricoprono ruoli apicali. Tuttavia, il rischio è che coloro che si trovano oggi ad affrontare le richieste e gli obblighi dettati dalla nuova normativa siano investiti di una responsabilità che, anche a seconda del settore in cui operano, non erano preparati ad affrontare e che soprattutto non siano stati messi nella posizione di poter correre ai ripari entro tempi ragionevoli. Inoltre, ci si cheide se il riconoscimento della responsabilità personale potrebbe portare anche a un proliferare di casistica partendo dall’applicazione dell’art. 40, comma 2 del codice penale italiano che riconosce il rapporto causale nella figura del reato commissivo mediante omissione tramite l’applicazione della formula “non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo”.
Tali rischi e conseguenze si prevede porteranno un gran numero di imprese, che si trovano in un’area grigia rispetto alla possibile qualifica come soggetto NIS, o che comunque nutrano anche il minimo dubbio rispetto alla loro qualificazione, a inoltrare comunque la comunicazione per la richiesta di registrazione all’ACN. L’ACN dovrà dunque affrontare e gestire un numero molto elevato di comunicazioni rallentando inevitabilmente la sua attività.
Conclusioni
La Direttiva NIS2 e il d.lgs. 138/2024 rappresentano un importante passo avanti nella protezione delle infrastrutture critiche a livello sia nazionale che europeo, imponendo ai soggetti rientranti nell’ambito di applicazione della disciplina di adottare misure di sicurezza più rigorose e di essere pronte a rispondere rapidamente agli incidenti cibernetici.
Una volta effettuata la registrazione sulla piattaforma ACN, le società che ritengono di ricadere nel perimetro di applicazione della normativa dovranno prepararsi, in caso di conferma della loro rilevanza da parte dell’ACN, a rendere conformi i propri sistemi di sicurezza oltre a definire nuove policy in materia e formare il personale in modo da essere reattivi ed efficienti nell’affrontare eventuali attacchi e gestire i rischi relativi alla sicurezza. Prima di poter comprendere appieno la portata delle misure di sicurezza che i soggetti NIS saranno tenuti ad implementare edegli altri obblighi correlati, sarà però necessario attendere la pubblicazione degli ulteriori decreti attuativi del d.lgs. 138/2024, prevista per il mese di aprile 2025. Fino ad allora, gli operatori avranno tempo per incrementare la propria consapevolezza in materia di cybersecurity per prepararsi a quella che ci si aspetta sarà la nuova normalità in materia di sicurezza delle reti.
Andrea Mezzetti
Andrea Mezzetti è of Counsel e membro della practice Technology Transactions di Orrick. Lavora da oltre 20 anni nel mondo dell’Information Technology & Communications, e fornisce consulenza a clienti nazionali ed internazionali sia in materia regolamentare che su tematiche di natura commerciale. Con una comprovata esperienza in materia di contrattualistica nel mondo tech, Andrea affianca primari player di settore con particolare riferimento agli aspetti normativi delle nuove tecnologie e alla redazione e negoziazione di contratti strategici per il lancio di nuove tipologie di servizi e accordi specifici di settore.
Caterina Chiari
Caterina Chiari è membro della practice Technology Transactions di Orrick. Supporta il team nell’attività di consulenza a clienti nazionali ed internazionali su questioni regolamentari e commerciali nel settore tecnologico, offrendo consulenza e assistenza stragiudiziale e giudiziale in merito a questioni legate alla tecnologia, ai dati e ai servizi digitali. La sua attività si focalizza in particolare sugli ambiti della protezione dei dati, cybersecurity, accessibilità, diritti dei consumatori, regolamentazione in materia di telecomunicazioni, e di intelligenza artificiale.
