Le crescenti minacce di cybersecurity ed attacchi informatici hanno indotto i legislatori nazionali ed europei ad innalzare le difese contro le minacce informatiche. La nuova Direttiva NIS2, approvata alla fine dello scorso anno dal Parlamento europeo, è lo strumento legislativo individuato, a livello europeo, per aumentare i sistemi di sicurezza e la resilienza di un numero sempre crescente di settori produttivi e di erogazione di servizi e mira ad incrementare la sicurezza informatica delle reti e dei sistemi informativi nei Paesi membri dell’UE.
Essa costituisce una revisione significativa della precedente direttiva NIS (acronimo di “Network and Information Systems), la quale prevede ad oggi che le società rientranti nel suo ambito di applicazione siano tenute ad adottare misure tecniche ed organizzative adeguate e proporzionate rispetto alla gestione dei rischi cyber, dovendo altresì prevenire e minimizzare l’impatto degli eventuali incidenti di sicurezza subìti.
La direttiva NIS 2 dovrà essere recepita dai singoli Stati membri entro il 17 ottobre 2024 e questo implicherà l’implementazione di misure avanzate di sicurezza informatica tese alla protezione di reti e sistemi informativi conformi in tutto il territorio europeo.
Detta Direttiva supera l’eccesiva genericità della precedente norma, ampliando i settori di applicazione a nuovi ambiti quali:
Ad oggi i settori non coinvolti sono ormai molto limitati.
Gli obblighi definiti dalla NIS2 sono dettagliati e stringenti, in particolare gli attori destinatari della direttiva devono sviluppare ed implementare una serie di azioni e tecnologie, quali:
La Direttiva NIS2 prevede, altresì, un obbligo di notifica al CSIRT e alle autorità competenti, senza ritardo, di qualsiasi incidente che può avere un impatto significativo sulla fornitura di un servizio, e stabilisce che la notifica debba avvenire anche a beneficio dei destinatari del servizio impattato dal cyber attacco, con indicazione delle misure che detti destinatari devono adottare per reagire all’attacco.
La direttiva pone l’accento, in maniera molto marcata, anche sul ruolo dei fornitori: nell’analisi della adeguatezza delle misure di sicurezza si dovrà tener conto anche delle misure adottate dai fornitori delle società rientranti nell’ambito della Direttiva NIS2, perché gli obblighi in materia di cybersecurity si estendono indirettamente anche a loro.
Per quanto attiene alle sanzioni, nel caso in cui un’azienda non si conformi agli obblighi della direttiva NIS2, è prevista la possibilità di sospenderne l’attività e di imporre specifici divieti; inoltre sono previste sanzioni fino a € 10 milioni o al 2% del fatturato globale dell’anno precedente in caso di società essenziali, mentre sanzioni fino a € 7 milioni o al 1,7% del fatturato globale in caso di società importanti.
In ambito nazionale, invece, è stata pubblicata nella Gazzetta Ufficiale n. 153 del 2 luglio 2024 la L. 28 giugno 2024, n. 90 con “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (per semplificare, “Legge sulla Cybersicurezza”), che ha come obiettivo quello di introdurre e armonizzare un ventaglio molto ampio e variegato di temi legati al mondo della cybersecurity: dalla governance agli obblighi di notifica degli incidenti, dai requisiti di cybersicurezza nei contratti pubblici alle preclusioni per l’assunzione di alcune tipologie di professionalità provenienti dal mondo della cybersecurity pubblica e della sicurezza nazionale, dalla normativa 231 fino all’ampia novella sui reati informatici.
La Legge sulla Cybersicurezza si applica a diverse tipologie di soggetti, tra cui:
– Pubbliche Amministrazioni: individuate puntualmente dalla norma, queste includono una vasta gamma di enti che devono implementare misure di sicurezza cibernetica conformi ai nuovi requisiti.
– Soggetti nel perimetro di sicurezza nazionale cibernetica: entità che operano in settori critici per la sicurezza nazionale e che sono pertanto soggette a stringenti obblighi di sicurezza.
– Soggetti sottoposti alla Direttiva NIS e NIS2, i quali devono conformarsi agli standard europei di sicurezza delle reti e dei sistemi informativi.
– Organi dello Stato essenziali per la cybersicurezza: tra cui il Comitato Interministeriale per la Sicurezza della Repubblica (CISR), gli Organismi di informazione per la Sicurezza e l’Agenzia per la Cybersicurezza Nazionale (ACN) con il suo Nucleo per la Cybersicurezza.
La Legge sulla Cybersicurezza interviene anche sul catalogo dei reati presupposto in materia di responsabilità amministrativa degli enti, contemplati nel decreto legislativo n. 231 del 2001, con modifiche (sostanziali e processuali) in relazione ai reati informatici, prevedendo l’innalzamento delle pene, l’ampliamento dei confini del dolo specifico, l’inserimento di aggravanti e/o il divieto di attenuanti per diversi reati commessi mediante l’utilizzo di apparecchiature informatiche e finalizzati a produrre indebiti vantaggi per chi li commette, a danno altrui o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche, l’introduzione del reato di estorsione informatica.
L’ampia riforma dei reati informatici e gli adempimenti cui sono tenuti in tema di cybersicurezza impongono alle imprese di svolgere un ruolo attivo nella protezione dei propri sistemi informativi per ridurre al minimo gli attacchi informatici, garantire la continuità aziendale ed assicurare un presidio continuo della sicurezza dei dati e delle reti.
Le stesse, infatti, in adempimento degli obblighi previsti dalla nuova normativa oggi oggetto di disamina, sono tenute ad adottare le seguenti misure:
Misure, queste, che dovranno trovare una piena armonizzazione con i sistemi di compliance aziendali, ed in particolare con l’adozione di modelli di organizzazione, gestione e controllo, di cui al Decreto Legislativo 231/2001, che includano azioni specifiche per prevenire e rilevare i reati informatici, al fine di evitare il configurarsi di ipotesi di responsabilità amministrativa in capo all’azienda.