Il decreto legislativo 4 settembre 2024, n. 138, recepisce la direttiva (UE) 2022/2555, meglio conosciuta come Direttiva NIS 2, che stabilisce misure per un livello comune elevato di cibersicurezza nell’Unione europea.
Questo decreto rappresenta un passaggio chiave nel rafforzamento della sicurezza informatica a livello nazionale e comunitario, con l’obiettivo di creare un sistema armonizzato per proteggere le infrastrutture critiche e i settori strategici da attacchi informatici.
Il decreto si compone di sei capi principali, ciascuno articolato in vari articoli che coprono diversi aspetti del recepimento della Direttiva NIS 2, dalle definizioni e ambiti di applicazione, alla cooperazione internazionale, fino agli obblighi specifici per i soggetti interessati e le sanzioni in caso di mancato rispetto delle disposizioni.
Il provvedimento stabilisce, all’articolo 1, che il suo oggetto consiste nell’attuazione di misure finalizzate a garantire un elevato livello di sicurezza delle reti e dei sistemi informativi all’interno dell’Unione. Si pone come obiettivo centrale la protezione delle infrastrutture critiche e dei settori essenziali, con particolare attenzione alle misure di sicurezza informatica e alle strategie di gestione del rischio.
Vengono inoltre fornite le definizioni chiave utilizzate nel decreto, tra cui: “soggetti essenziali”, “soggetti importanti”, “autorità di settore NIS” e altri termini tecnici relativi alla cibersicurezza. Questi soggetti sono individuati in base all’importanza dei servizi che forniscono e alla criticità delle infrastrutture gestite.
Uno degli elementi fondamentali del decreto è l’istituzione di una strategia nazionale di cibersicurezza (articolo 9), che rappresenta il pilastro su cui si basa la protezione delle reti e dei sistemi informativi a livello nazionale. Questa strategia prevede misure di prevenzione, monitoraggio e risposta agli incidenti di sicurezza, con un focus particolare sulla cooperazione tra enti pubblici e privati.
Il decreto designa inoltre un’autorità nazionale competente (articolo 10) e un punto di contatto unico per le questioni legate alla sicurezza informatica. Questo ente ha il compito di coordinare le attività di prevenzione e risposta agli incidenti informatici, lavorando in stretta sinergia con le altre autorità di settore NIS e il CSIRT Italia, il team di risposta agli incidenti di sicurezza informatica (articolo 15). Questo team svolge un ruolo chiave nel monitoraggio e nella gestione degli incidenti di sicurezza informatica a livello nazionale.
La cooperazione a livello europeo è un altro tema centrale del decreto. Esso prevede la partecipazione dell’Italia al Gruppo di cooperazione NIS (articolo 18) e alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe) (articolo 19), il cui scopo è favorire lo scambio di informazioni e la collaborazione tra gli Stati membri per migliorare la capacità di risposta agli attacchi informatici su scala europea. Questa rete ha il compito di gestire le crisi informatiche transfrontaliere, in collaborazione con i CSIRT nazionali.
In aggiunta, il decreto prevede un meccanismo di revisione tra pari (articolo 21), per valutare le performance dei vari Stati membri nell’applicazione delle misure di sicurezza informatica previste dalla direttiva. Questo processo di revisione mira a garantire che tutti i Paesi aderenti rispettino standard elevati di protezione e reazione agli incidenti informatici.
Un aspetto cruciale del decreto è l’imposizione di obblighi specifici ai soggetti essenziali e importanti (articolo 23), che includono la necessità di adottare misure adeguate per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi (articolo 24). Tali misure devono essere proporzionali alla dimensione e alla portata delle attività del soggetto in questione, e devono essere periodicamente riviste per assicurare la loro efficacia nel prevenire e mitigare incidenti di sicurezza.
In caso di incidente, i soggetti interessati sono tenuti a notificare tempestivamente l’incidente alle autorità competenti (articolo 25), in modo da attivare le misure di risposta adeguate e minimizzare i danni. Viene inoltre introdotta la possibilità di notificare volontariamente incidenti che potrebbero non raggiungere la soglia di gravità prevista, ma che comunque rappresentano una minaccia potenziale (articolo 26).
Il decreto introduce l’uso di schemi di certificazione della cybersicurezza (articolo 27), che consentono ai soggetti di dimostrare la conformità ai requisiti di sicurezza informatica previsti dalla normativa europea. Questi schemi rappresentano uno strumento importante per rafforzare la fiducia nei servizi digitali e garantire la protezione dei dati personali e delle infrastrutture critiche.
Per garantire il rispetto delle disposizioni, il decreto prevede un sistema di monitoraggio e vigilanza (articolo 34), che viene esercitato dalle autorità competenti attraverso verifiche periodiche e ispezioni (articolo 36). Le autorità di settore NIS hanno il potere di adottare misure correttive (articolo 37), tra cui ordini di conformità e sanzioni amministrative (articolo 38), in caso di mancato rispetto delle disposizioni del decreto.
Il decreto legislativo n. 138 del 2024 rappresenta un importante passo avanti nell’armonizzazione delle normative nazionali con il quadro comunitario in materia di sicurezza informatica. Con l’introduzione di nuove misure obbligatorie per la gestione dei rischi, la notifica degli incidenti e la cooperazione a livello europeo, l’Italia si posiziona come un attore chiave nel rafforzamento della resilienza alle minacce informatiche. La sua attuazione richiederà uno sforzo congiunto da parte di soggetti pubblici e privati, che dovranno adottare nuove strategie e strumenti per proteggere le loro infrastrutture critiche e garantire la continuità dei servizi essenziali.