Pubblicato in Gazzetta Ufficiale il Dlgs 138/2024 che recepisce la Direttiva UE Nis2
Parte il conto alla rovescia degli obblighi previsti dalla cybersicurezza a tinte Ue. Tra gli adempimenti più significativi spiccano l’adozione di policy multirischio e l’obbligo di pre-notifica, entro 24 ore, degli incidenti informatici alle autorità preposte alla cybersicurezza. Chiamate a revisionare il proprio apparato documentale e organizzativo, relativo alla sicurezza di dispositivi, reti e sistemi, saranno molte imprese e numerose pubbliche amministrazioni: dovranno percorrere un tragitto a tappe serrate, con le prime scadenze fissate già a gennaio 2025.
È quanto prevede il dlgs 138/2024, che ha recepito la direttiva Ue Nis2 n. 2022/2555 e che ha elencato, in quattro allegati, le categorie degli enti coinvolti nella realizzazione della sicurezza delle reti e dei sistemi informativi.
Il dlgs 138/2024 è stato pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024, entra in vigore il 16 ottobre 2024 e inizia ad avere efficacia dal 18 ottobre 2024: in questo quadro, si può ora fissare il cronoprogramma esecutivo degli adempimenti.
Un nuovo perimetro di sicurezza
Il dlgs 138/2024, in attuazione della direttiva 2022/2555, ha esteso la platea degli enti pubblici e privati tenuti a collaborare contro gli attacchi alle reti e alle infrastrutture informatiche.
Il nuovo perimetro di sicurezza comprende tra gli altri, i seguenti settori: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi Tic e spazio; fornitori di reti pubbliche e i fornitori di servizi di comunicazione elettronica; pubbliche amministrazioni centrali, regionali e locali.
Delimitato l’ambito di applicazione, il decreto legislativo ha selezionato, utilizzando la nuova nomenclatura della direttiva Nis2, i soggetti “essenziali” e “importanti”, in base ai requisiti dimensionali e alla tipologia di prodotti o servizi forniti. Per esempio, nella categoria dei soggetti essenziali ricadono i soggetti presenti nei settori ad alta criticità che superano i massimali per le medie imprese.
Il provvedimento, peraltro, non solo ha ridisegnato la platea dei soggetti pubblici e privati, ma ha anche imposto agli enti coinvolti di dotarsi di un sistema di gestione efficace contro i criminali informatici e di collaborare con le autorità.
I soggetti essenziali e i soggetti importanti devono, dunque, alzare adeguate barriere per la gestione dei rischi per la sicurezza informatica (articolo 24), tra cui assicurare la continuità dei servizi, secondo un approccio che viene definito nel provvedimento “multi-rischio” e cioè teso a proteggere i sistemi informativi e di rete e anche il loro ambiente fisico da incidenti.
Sempre i soggetti essenziali e importanti sono tenuti a notificare alle autorità di settore gli incidenti informatici significativi. L’articolo 25 del decreto legislativo prevede termini rapidi per la notifica degli incidenti. In prima battuta, si deve mandare una pre-notifica senza ingiustificato ritardo, e comunque entro 24 ore, cui far seguire, al massimo entro 72 ore dalla conoscenza del fatto, una notifica completa, corredata da una valutazione iniziale dell’incidente, della sua gravità e del suo impatto.
Il decreto legislativo, infine, prevede uno specifico apparato sanzionatorio allo scopo di garantire una maggiore uniformità e deterrenza in tutta l’Ue contro condotte lassiste che mettono in pericolo la comunità nazionale: all’articolo 38 sono previste sanzioni amministrative pecuniarie (tra le altre per la violazione degli obblighi di notificazione degli incidenti) fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato, comunque graduate per i diversi illeciti e peri diversi soggetti obbligati (essenziali, importanti, pubbliche amministrazioni, ecc.).
Una piattaforma digitale dei soggetti coinvolti
Il dlgs prevede una piattaforma digitale dei soggetti tenuti agli adempimenti di cybersicurezza. Si tratta di un registro dei soggetti che sono tenuti agli obblighi previsti dal dlgs 138/2024.
Il termine per la registrazione o l’aggiornamento dell’iscrizione è fissato dal 1° gennaio al 28 febbraio di ogni anno.
Dal 1° gennaio al 28 febbraio 2025, dunque, i soggetti tenuti agli adempimenti di cybersicurezza (chiamati soggetti essenziali e importanti) dovranno registrarsi su una piattaforma digitale messa a disposizione dalle autorità di cybersicurezza (articolo 7).
In fase di prima attuazione, il termine per la registrazione è fissato al 17 gennaio 2025 per fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network (articolo 42).
Via ogni anno a un elenco dei soggetti essenziali e importanti – Entro il 31 marzo 2025 e, a seguire entro il 31 marzo di ogni anno successivo, l’Autorità nazionale competente Nis, redigerà l’elenco dei soggetti essenziali e dei soggetti importanti, sulla base delle registrazioni pervenute e verificate. La stessa autorità, tramite la piattaforma, comunicherà ai soggetti registrati l’inserimento nell’elenco e la qualifica.
Dal 15 aprile al 31 maggio 2025 e, poi di ogni anno successivo, i soggetti che hanno ricevuto la comunicazione, integrano le informazioni, sempre tramite la piattaforma digitale, indicando spazio IP, nomi di dominio disponibili, ambito territoriale di fornitura dei servizi, rappresentanti legali (che sono anche responsabili degli inadempimenti in caso di violazioni), punti di contatto.
Notifica degli incidenti tempestiva
Il dlgs dedica gli articoli da 23 a 33 alla disciplina degli obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente. Sono obblighi di pianificazione, di adeguamento organizzativo e tecnologico, di collaborazione e coordinamento con le autorità di sicurezza. Tra questi obblighi è compreso, all’articolo 25 del dlgs 138/2024, l’obbligo di notifica di tutti gli incidenti che hanno un impatto significativo sull’erogazione dei servizi.
In fase di prima applicazione e cioè fino al 31 dicembre 2025, il dlgs prevede una applicazione graduale. In particolare, l’articolo 42 del dlgs 138/2024 stabilisce che il termine per l’adempimento degli obblighi dettati dal citato articolo 25 è fissato in nove mesi dalla ricezione della comunicazione da parte dell’autorità nazionale dell’inserimento nell’elenco dei soggetti essenziali o importanti.
Decorso il termine, gli enti devono notificare gli incidenti seguendo le modalità previste dal dlgs in commento.
[…]
Per leggere l’articolo completo Fonte: Italia Oggi – di Antonio Ciccia Messina
Fonte Articolo: FederPrivacy