Decreto NIS, il ruolo del modello organizzativo di gestione della Cybersicurezza e le responsabilità delle organizzazioni

Il tema della cybersicurezza o cybersecurity viene spesso inteso come un tema prettamente tecnico coincidente con la sicurezza informatica. Chi sposa questa identità in termini rigorosi rischia tuttavia di perdere di vista gli obiettivi e metodi che il legislatore europeo ha scelto consapevolmente. Infatti, la cybersicurezza è l’insieme delle attività necessarie per proteggere le reti, i sistemi informativi, ma anche gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche.

La cybersicurezza abbraccia pertanto le attività necessarie a garantire un elevato livello di sicurezza informatica. In un contesto di crescita esponenziale dei crimini informatici ed in particolare di attacchi del tipo ransomware ove l’Italia viene collocata tra i Paesi più attaccati al mondo, si impone l’adozione di approccio multi-rischio, ovvero in primo luogo si impone di adottare metodologie di analisi dei rischi relative alle possibilità di incidenti di sicurezza anche relative a minacce potenziali (c.d. quasi incidenti), che tengano in conto dell’impatto sociale ed economico degli incidenti.

Infatti, come si specifica nel decreto legislativo 138 del 4 settembre 2024 (c.d. Decreto NIS) di recepimento della direttiva (UE) 2022/2555 (c.d. Direttiva NIS 2): “cosiddetto approccio all-hazards, l’approccio alla gestione dei rischi che considera quelli derivanti da tutte le tipologie di minaccia ai sistemi informativi e di rete nonché al loro contesto fisico, quali furti, incendi, inondazioni, interruzioni, anche parziali, delle telecomunicazioni e della corrente elettrica, e in generale accessi fisici non autorizzati;”.

Se da una parte occorre tenere in conto dei rischi di natura informatica, occorre anche tenere in conto dei rischi di natura organizzativa e quindi di natura fisica. Appare chiaro pertanto che le imprese e pubbliche amministrazioni dovranno individuare servizi multidisciplinari includendo personale tecnico informatico, personale esperto di processi organizzativi, personale legale. Poiché la prevenzione degli attacchi informatici non può essere gestita solo con soluzioni di applicativi software o hardware.

Infatti, la Direttiva NIS 2 impone l’adozione di un Modello Organizzativo di Gestione della Cybersecurity e connesso processo di adeguamento che per estrema semplicità può essere decritto con due macro-categorie di adempimenti, i nuovi obblighi relativi all’implementazione delle procedure per gestire la segnalazione tempestiva (entro 24 ore) di incidenti di sicurezza e l’adozione di un complesso di misure di sicurezza elevate e proporzionate al rischio specifico.

Come previsto dal decreto NIS, l’autorità per la Cybersicurezza nazionale (ACN), dovrà svolgere attività di monitoraggio, vigilanza, nonche’ l’esercizio di potere di esecuzione. In tale contesto, la ACN dovrà svolgere attività di vigilanza anche tramite analisi e supporto rivolti ai soggetti essenziali ed importanti, effettuare verifiche di ispezioni, adottare misure di esecuzione, quest’ultima attività potrà consistere nel richiedere i soggetti i dati e informazioni che dimostrino l’attuazione, per esempio, la corretta adozione delle politiche di Sicurezza Informatica, dei relativi audit di sicurezza e altri elementi di prova (art. 37 del decreto NIS). Nell’esercizio dei poteri di esecuzione ACN potrà quindi esaminare la corretta adozione delle misure di gestione del rischio per la sicurezza, degli obblighi di notificazione, anche intimando di effettuare audit di sicurezza periodici. Infine, nell’ambito dell’esercizio dei poteri di esecuzione, la ACN potrà diffidare i soggetti.

Sotto un profilo pratico, preme evidenziare che, al fine di avviare la complessa attività di adeguamento al quadro normativo anche in materia di Cybersicurezza, le imprese e le pubbliche amministrazioni potranno decidere di giovarsi almeno in parte del sistema di Gestione implementato sulla protezione dei dati personali nonché dei sistemi di gestione della sicurezza delle informazioni certificati ISO.

Prima di descrivere alcuni dei nuovi adempimenti e delle relative scadenze, finalizzate ad assicurare un elevato livello di sicurezza, giova ricordare che anche la continua ricerca di un’adeguata protezione dei dati è connessa con la continua ricerca di protezione delle reti e dei sistemi informativi disciplinata dal decreto legislativo del 4 settembre 2024 n. 138 emanato in recepimento della Direttiva UE 2022/2555 (c.d. Direttiva NIS 2), il Decreto NIS individua l’Agenzia per la Cybersicurezza Nazionale come Autorità nazionale competente in materia con specifici compiti anche di vigilanza e sanzionatori in ordine ai nuovi adempimenti previsti. In tale contesto, le imprese dovranno adottare un Modello Organizzativo di Gestione della Cybersicurezza, ove la Governance viene affidata proprio all’Organismo amministrativo e agli Organi direttivi imposti dal Decreto NIS e dovrebbero essere visti come un adempimento prioritario sin da subito, altrimenti il rischio sarà di relegare la cybersicurezza a Dipartimenti e unità operative senza una pianificazione e senza aver una visione di insieme, senza pertanto una corretta valutazione e gestione dei rischi e con conseguenze e responsabilità gravi per le organizzazioni.

Più nel merito l’articolo 23 del Decreto NIS prescrive quanto segue: “Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti: a) approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica adottate da tali soggetti ai sensi dell’articolo 24; b) sovrintendono all’implementazione degli obblighi di cui al presente capo e di cui all’articolo 7; c) sono responsabili delle violazioni di cui al presente decreto.”. Pertanto, il legislatore delegato da una parte ha imposto ai soggetti NIS di definire la governance sulla cybersecurity tramite l’obbligo di definire predetti organi, i cui componenti saranno responsabili della conformità al decreto e pertanto saranno eventualmente sanzionabili, dovranno anche sovraintendere agli adempimenti di cui all’art. 7 del Decreto NIS e pertanto anche all’imminente adempimento relativo alla registrazione del soggetto NIS sulla piattaforma digitale gestita dalla ACN e alla designazione del punto di contatto ACN.

L’articolo 24 comma 2 del decreto legislativo 138 del 2024, include nell’ambito dell’obbligatorietà delle misure di gestione dei rischi i soggetti essenziali e i soggetti importanti (cc.dd. soggetti NIS) i quali sono tenuti a svolgere un’analisi multi rischio volta ad individuare le misure di gestione del rischio adeguate ed efficaci, per assicurare la “sicurezza della catena di approvvigionamento Ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i diretti e fornitori o fornitori di servizi”. Successivamente il comma 3 articolo 24 stabilisce che i soggetti essenziali e i soggetti importanti nello svolgimento della valutazione dei rischi tengano in conto di quanto segue:

Qualora un soggetto rilevi di non essere conforme alle misure prescritte deve adottare senza indebito ritardo tutte le misure appropriate e proporzionate correttive necessarie.

Pertanto, i soggetti NIS dovranno verificare che tutti i loro fornitori di servizi e di prodotti siano conformi al Decreto NIS attraverso anche questionari e verifiche sul campo.

Infatti, il comma 4 dell’articolo 38 del decreto NIS, prevede che qualora il progetto NIS venga diffidato per l’adempimento di alcune attività, la ACN potrà sospendere temporaneamente un certificato o un’autorizzazione relativa a una parte o alla totalità dei servizi e delle attività pertinenti svolte, sospensione che si potrà protrarre fino a che non si pongano in essere le azioni correttive prescritte. Il comma 5 in combinato disposto con il comma 6 dell’articolo 38, inoltre, prescrivono che a qualsiasi persona fisica responsabile del soggetto essenziale o che agisca in qualità di legale rappresentante, qualora il soggetto NIS non adempia a quanto richiesto da ACN, la stessa potrà disporre nei loro confronti, e dei componenti degli organismi di gestione amministrativa e direttivi per la cybersicurezza, l’applicazione delle sanzioni amministrative accessorie consistenti nell’inibire lo svolgimento delle funzioni direttive per tutto il periodo di inadempimento dell’organizzazione.

Il decreto NIS prevede una serie di adempimenti scadenzati secondo principi di gradualità e proporzionalità, questo nel tentativo di non onerare eccessivamente sul piano economico le piccole e medie imprese. L’articolo 7 del decreto NIS prescrive che entro il 28 di febbraio di ciascun anno, i soggetti NIS provvedono a registrarsi sulla piattaforma digitale gestita da ACN, nello stesso termine ciascun soggetto dovrà quindi aggiornare su base annuale qualora necessario le informazioni fornite.

In particolare, entro il 28 febbraio 2025, i soggetti NIS, dovranno registrarsi sulla piattaforma digitale designando il proprio punto di contatto ACN. Tale adempimento oggetto della determinazione del Direttore Generale dell’ACN del 26 novembre 2024 e in vigore dal 1 dicembre, prevede una serie di attività in primo luogo effettuare una valutazione preliminare dell’organizzazione in ordine ai settori di attività elencati nel decreto NIS, per poi verificare l’applicabilità dei criteri dimensionali previsti. 

E’ importante rilevare che già la scadenza del 28 febbraio 2025, prevede sanzioni e precisamente, la mancata registrazione e l’indicazione del punto di Contatto entro il termine previsto può determinare un’applicazione della sanzione amministrativa pecuniaria nella misura di 0,1% o dello 0,07% del fatturato mondiale annuo rispettivamente per i soggetti essenziali e per i soggetti importanti. 

Per le pubbliche amministrazioni i criteri sanzionatori sono diversi, si va da un importo minimo di 10 mila euro a 50 mila euro. Tuttavia, per ragioni di completezza è bene ricordare che il decreto NIS prevede poi delle sanzioni molto più elevate per le prossime scadenze relative all’obbligo di adottare le procedure di gestione degli incidenti di sicurezza (entro gennaio 2026 - entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), misure di gestione dei rischi e obbligo di istituire un organismo di gestione amministrativa e organismi direttivi sulla cybersicurezza (a partire da ottobre 2026 - entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS).

In questo contesto, la sanzione amministrativa irrogabile da parte di ACN arriverà ad importi elevatissimi nel massimo edittale fino a 10 milioni di euro o in alternativa se superiore il 2% risultato mondiale annuo dell’impresa qualificata come soggetto essenziale. Mentre l’importo massimo sarà di 7 milioni di euro e di 1,4% fatturato mondiale annuo realizzato dall’impresa qualificata come soggetto importante, ove il criterio percentuale si applica se l’importo è superiore. Per le pubbliche amministrazioni le sanzioni sono più ridotte e vanno da 25 mila euro a 125 mila euro.

In tale contesto normativo, nonostante l’intenso impegno continuo dell’Autorità per la Cybersicurezza Nazionale, permangono criticità e incertezze normative, non ultima la scelta non coerente di rendere prima obbligatorio e sanzionabile il punto di contatto ACN e successivamente l’Organismo di Gestione (entro gennaio 2026) che è organismo deputato a sovraintendere anche a tale adempimento. Infatti, la scelta coerente sarebbe stata, una volta che è stato deciso che all’interno delle organizzazioni doveva essere individuato formalmente un organismo responsabile del percorso di adeguamento normativa (articolo 23), partire sin da subito da questo rendendolo obbligatorio per gli ulteriori adempimenti e non lasciare alle organizzazioni libertà di scegliere se definire un Organismo di Gestione entro l’inizio del 2026.

In conclusione, finalmente ma con molto ritardo, si sta avviando il processo di adeguamento normativo delle organizzazioni pubbliche e private che dovranno adottare dei modelli organizzativi di gestione della cybersicurezza efficaci e funzionanti per essere in grado di prevenire e gestire gli incidenti di sicurezza, l’auspicio è che questo percorso di adeguamento sia visto come l’opportunità di prevenire e gestire rischi concreti di incidenti di sicurezza che sono sempre più probabili dato il livello di digitalizzazione dei servizi nel nostro Paese, anziché vedere questo percorso come un mero adempimento.

_______

*Prof. Avv. Fabio Di Resta, Università Niccolò Cusano di Roma, Dip. scienze politiche, giuridiche e sociologiche - DPO in ambito Ospedaliero e Enti Pubblici - Presidente Centro Europeo per la Privacy (EPCE)

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più