È stato pubblicato in Gazzetta Ufficiale, Serie Generale, n. 230 del 1° ottobre 2024, il d.lgs. 4 settembre 2024, n. 138, le cui disposizioni si applicano a decorrere dal 18 ottobre 2024 (art. 41). Le nuove regole rientrano nella strategia nazionale di cybersicurezza e recepiscono la Direttiva 2022/2555, NIS 2 (Network and Information Security 2), volta a preservare e incrementare il livello di cybersicurezza. Molti sono i soggetti coinvolti, distinti tra soggetti essenziali (settori ad alta criticità), tra i quali troviamo i settori dell’energia e dei trasporti, nonché il settore bancario e le infrastrutture dei mercati finanziari, e i soggetti importanti (altri settori critici), tra i quali figurano la ricerca e le società in house, le società partecipate e le società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175. Inoltre, il decreto si applica, indipendentemente dalle dimensioni, all’impresa collegata ad un soggetto essenziale o importante, in presenza delle circostanze indicate nell’art. 3, comma 10.
Ai soggetti essenziali e ai soggetti importanti sono imposti numerosi obblighi: essi devono adottare misure tecniche operative e organizzative, adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete, deve essere previsto o ridotto al minimo l’impatto degli incidenti per i destinatari dei servizi e deve essere monitorata la sicurezza dell’intera catena di approvvigionamento (art. 24). È prevista una serie di obblighi a carico degli “organi di amministrazione” e degli “organi direttivi” dei soggetti essenziali e dei soggetti importanti (art. 23): essi devono approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica; sono tenuti a seguire una formazione in materia di sicurezza informatica; devono promuovere l’offerta periodica di formazione ai loro dipendenti e devono essere informati su base periodica o, se opportuno, tempestivamente, degli incidenti e delle notifiche di cui agli articoli 25 e 26 del decreto.
L’art. 11, inoltre, individua le autorità di settore NIS che supportano l’autorità nazionale competente NIS e collaborano con essa. Si segnala, tra l’altro, che la Presidenza del Consiglio dei ministri è designata come autorità di settore NIS per le società in house e le società partecipate o a controllo pubblico, mentre il Ministero dell’economia e delle finanze è designato quale autorità di settore NIS per i settori bancario e delle infrastrutture dei mercati finanziari, di cui ai numeri 3 e 4 dell’allegato I, sentite le autorità di vigilanza di settore, Banca d’Italia e Consob.
Per quanto riguarda i servizi finanziari, è necessario coordinare le nuove norme con il Regolamento 2022/2554, DORA (Digital Operational Resilience Act), che sarà vincolante a partire dal 17 gennaio 2025 e che prevede una serie di misure di sicurezza obbligatorie per il settore finanziario. A questo proposito, l’art. 3, comma 14, interviene stabilendo che l’art. 17 (Accordi di condivisione delle informazioni sulla sicurezza informatica) e i Capi IV e V (rispettivamente: “Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente” e “Monitoraggio, vigilanza ed esecuzione”) non si applicano ai soggetti identificati come essenziali o importanti dei settori 3 e 4 di cui all’allegato I (vale a dire il settore bancario e il settore delle infrastrutture dei Settore mercati finanziari), ai quali si applica il Regolamento Dora.
[Ilaria Capelli, 3 ottobre 2024]