Cybersicurezza e compliance: nuovi obblighi per le imprese, anche nell'economia dei propri Modelli di Organizzazione, Gestione e Controllo
I recenti fatti di cronaca relativi all'indagine della DDA di Milano sul presunto sistema di dossieraggio illegale, che avrebbe comportato l'acquisizione di un enorme quantitativo di dati riservati da banche dati di Polizia e Istituzioni finanziarie, sta occupando l'opinione pubblica italiana, data la gravità delle minacce ipotizzate che, ad opinione degli stessi inquirenti, sarebbero tali da attentare all'ordine democratico del Paese.
In un simile contesto d'allarme, quantomai attuale si rivela il recepimento della Direttiva NIS2 (Network and Information Security 2), ad opera del D.Lgs. 138/2024, entrato in vigore lo scorso 16 ottobre.
Ma cosa significa concretamente per le imprese italiane? Entro quando dovranno adeguarsi a questa nuova normativa sulla cybersecurity?
Prima di rispondere a queste domande, proviamo, per punti, a fornire una breve panoramica dei principali contenuti delle nuove previsioni legislative.
1. Campo di applicazione
La Direttiva NIS2, a differenza della precedente NIS, estende significativamente la sua portata, mirando a proteggere un maggior numero di settori e organizzazioni considerati cruciali per il funzionamento della società e dell'economia. Per farlo, opera una distinzione in due categorie di soggetti obbligati:
A. Soggetti Essenziali:
Questa categoria comprende gli operatori di servizi essenziali (OSE), ovvero organizzazioni che forniscono servizi ritenuti indispensabili per il benessere sociale ed economico.
B. Soggetti Importanti:
Questa nuova categoria comprende organizzazioni che, pur non fornendo servizi essenziali, svolgono un ruolo significativo nell'economia e nella società, tale per cui la loro interruzione operativa potrebbe avere impatti negativi rilevanti.
Di seguito, invece, una tabella esemplificativa dei settori rilevanti per la normativa NIS2.
In sintesi, la NIS2 amplia il campo di applicazione rispetto alla precedente Direttiva, includendo non solo i settori critici tradizionali, ma anche quelli che, in un mondo sempre più digitalizzato e interconnesso, rivestono un ruolo cruciale per la stabilità e la sicurezza.
2. Adempimenti obbligatori
La NIS2 introduce una serie di adempimenti obbligatori per i soggetti "essenziali" e "importanti", volti a garantire un elevato livello di sicurezza delle reti e dei sistemi informativi. Tra i principali obblighi ad oggi previsti, come recepiti nel nostro ordinamento, si evidenziano:
- Valutazione del rischio: le aziende saranno chiamate ad effettuare una valutazione completa e aggiornata dei rischi informatici, tenendo conto delle minacce e vulnerabilità specifiche del settore e dell'organizzazione.
- Misure di sicurezza: si dovranno implementare misure tecniche e organizzative adeguate per mitigare i rischi identificati, tra cui:
- Gestione degli accessi.
- Gestione degli incidenti.
- Business continuity e disaster recovery.
- Sicurezza della supply chain.
- Criptografia.
- Monitoraggio e logging.
- Gestione degli incidenti: occorrerà, poi, definire procedure chiare per la gestione degli incidenti di sicurezza, nonché adottare misure per contenere l'impatto dell'incidente e ripristinare i sistemi.
- Notifica degli incidenti: sarà previsto l'obbligo di notificare al CSIRT Italia (incardinato presso l'Agenzia per la cybersicurezza nazionale – ACN) gli incidenti significativi che hanno un impatto sulla fornitura dei servizi.
- Sicurezza della supply chain: le aziende dovranno valutare e gestire i rischi informatici derivanti dalla catena di approvvigionamento, implementando misure di sicurezza adeguate per garantire la sicurezza dei prodotti e servizi forniti da terzi.
- Formazione del personale: occorrerà fornire al personale una formazione adeguata in materia di cybersecurity, al fine di sensibilizzarlo sui rischi e sulle best practice.
3. Sanzioni per la non conformità
Al netto di possibili conseguenze reputazionali per l'ente che incorre in violazioni della normativa NIS2, la stessa prevede sanzioni più severe rispetto al precedente regime NIS per le organizzazioni che non rispettano gli obblighi previsti. Sono infatti previste:
- Sanzioni amministrative pecuniarie: fino a 10 milioni di euro o al 2% del fatturato aziendale totale annuo dell'esercizio precedente, se superiore.
- Sanzioni interdittive: come la sospensione dell'attività per soggetti con ruoli dirigenziali o la revoca di autorizzazioni o certificazioni per l'ente.
- Misure correttive: adozione obbligatoria di specifiche misure per ripristinare la conformità.
È peraltro interessante sottolineare, nella prospettiva del futuro enforcement della normativa NIS2, che il Decreto di recepimento prevede che i proventi delle sanzioni amministrative pecuniarie irrogate dall'ACN siano utilizzati per incrementare la dotazione del bilancio della stessa ACN.
4. Aggiornamenti dei Modelli di Organizzazione, Gestione e Controllo
La NIS2 ha significativi riflessi nella strutturazione dei Modelli di Organizzazione, Gestione e Controllo (MOG) adottati dalle aziende ai sensi del D.Lgs. 231/2001.
In particolare, la Direttiva implica che le organizzazioni debbano integrare le misure di cybersecurity nei propri MOG, al fine di prevenire la commissione di reati informatici e gestire il rischio cibernetico in conformità con le normative vigenti.
Ciò significa che i MOG dovranno essere aggiornati per includere, tra l'altro:
- Definizione di ruoli e responsabilità in materia di cybersecurity.
- Procedure specifiche per la gestione dei rischi informatici.
- Protocolli per la gestione degli incidenti di sicurezza.
- Sistemi di controllo per verificare l'efficacia delle misure di sicurezza.
- Programmi di formazione del personale sui rischi informatici e sulle procedure di sicurezza.
L’Organismo di Vigilanza sarà chiamato ad estendere i propri compiti di monitoraggio sull'idoneità preventiva ed efficace attuazione del sistema di controllo anche rispetto ai profili di cybersicurezza, assumendo un ruolo proattivo, che prevederà anche la collaborazione con nuove figure aziendali come il Security Officer.
Dicevamo sopra, quando, in concreto, le aziende dovranno adeguarsi?
Il regime temporale di applicazione dei nuovi obblighi è previsto dal Decreto di recepimento della NIS2.
La prima scadenza cruciale è il 28 febbraio 2025 (eccezion fatta per specifiche categorie di soggetti, come, ad esempio, i fornitori di servizi di social network, per cui la scadenza è al 17 gennaio 2025). Entro queste date, a partire dal 1° gennaio 2025, le organizzazioni che ritengono di rientrare - tema che, come è facile intuire, comporterà non poche tensioni interpretative - nell'ambito di applicazione della NIS2, come implementata in Italia, dovranno registrarsi su un'apposita piattaforma messa a disposizione dall'ACN.
L'ACN, a sua volta, dovrà analizzare le entità registrate e pubblicare l'elenco dei soggetti "essenziali" e " importanti" entro il 31 marzo 2025. Questa classificazione, basata su criteri come il numero di utenti, il volume d'affari e l'impatto sull'economia, determinerà a quali organizzazioni si applicheranno gli obblighi della normativa.
Solo le organizzazioni che avranno ricevuto dall'ACN adeguata comunicazione dell'inserimento nell'elenco anzidetto dovranno poi, entro il 31 maggio 2025, fornire e/o aggiornare una serie di informazioni rilevanti, tra cui, per esempio, lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto.
In aggiunta, a partire dalla comunicazione di cui sopra, decorreranno i seguenti termini:
- 9 mesi (quindi, orientativamente, fino a gennaio 2026), per adeguarsi agli obblighi di notifica degli incidenti all'ACN;
- 18 mesi (quindi, orientativamente, fino a ottobre 2026), per conformarsi agli obblighi:
- inerenti agli organi di amministrazione e direttivi in materia di cybersecurity, che, per esempio, dovranno sovrintendere, sotto la loro responsabilità, all'implementazione degli obblighi NIS2 e fornire adeguata formazione in materia;
- di adozione di misure di sicurezza adeguate e proporzionate alla gestione dei rischi;
- di predisposizione di un banca dati di registrazione dei nomi a dominio, che prevederà la raccolta di informazioni sui relativi gestori di registri e fornitori di servizi di registrazione.
L'adeguamento alla NIS2 rappresenta una sfida importante per le imprese italiane, ma anche un'opportunità per rafforzare la propria sicurezza informatica e migliorare la propria resilienza agli attacchi cyber. La collaborazione con l'ACN e l'adozione di un approccio proattivo saranno fondamentali per affrontare questa sfida con successo e garantire la protezione di infrastrutture e servizi critici.
In quest'ottica, rivedere e aggiornare i propri Modelli di Organizzazione, Gestione e Controllo (MOG) assume un'importanza fondamentale. Integrare le misure di cybersecurity nel MOG, definendo ruoli, responsabilità e procedure efficienti, non solo aiuta a prevenire i reati informatici e a ridurre il rischio di sanzioni, ma consentirà alle imprese italiane di cogliere un'opportunità di crescita e di sviluppo.