Studio Legale Carlo Zaccagnini - Roma e Milano
09:00 - 20:00 Lun. - Ven. su appuntamento +39 06 68803339 Assistenza e Consulenze Linkedin YouTube
  >    >  Direttiva europea NIS 2 – Rafforzamento Cybersicurezza
TORNA A PAPERS

Direttiva europea NIS 2 (dir. 2555/2022)

STRATEGIE DI RAFFORZAMENTO DELLA CYBERSICUREZZA

La direttiva europea NIS 2 (dir. 2555/2022) è il principale strumento normativo comunitario teso a rafforzare la cybersicurezza. Tale disciplina è stata recepita dal legislatore italiano con il D.lgs. 138/2024, il cui scopo è quello di vincolare i soggetti pubblici e privati che operano i determinati settori considerati critici per il funzionamento del sistema economico e sociale all’adozione di determinate misure volte a prevenire, resistere e rimediare agli incidenti informatici.

 

AMBITO DI APPLICAZIONE

Il D.lgs. si applica a due grandi categorie di soggetti:

  1. Enti essenziali, ovverosia le autorità pubbliche o private che operano nel campo di energia, trasporti, mercati finanziari, sanità e spazio.
  2. ⁠Enti importanti: persone giuridiche attive nel settore dei rifiuti, delle spedizioni postali, dell’alimentazione, in ambito farmaceutico e, da ultimo, le pubbliche amministrazioni locali o regionali.

 

OBBLIGHI DI GESTIONE DEI RISCHI PER LA SICUREZZA INFORMATICA

L’art. 24 del Decreto impone misure tese a prevenire o minimizzare il rischio incidenti informatici:

  1. valutazione periodica rischio incidenti informatici;
  2. ⁠mappatura asset critici;
  3. ⁠introduzione di team interni o esterni con competenze in cybersecurity;
  4. ⁠prevedere strategie di backup dei dati;
  5. ⁠introdurre procedure di crittografia dei dati in transito;
  6. ⁠designare responsabili cybersecurity;
  7. ⁠valutare livello di sicurezza informatica dei fornitori;
  8. ⁠stipulare contratti con clausole di sicurezza in relazione ai dati informatici.

 

OBBLIGHI DI NOTIFICA DI INCIDENTI INFORMATICI

L’art. 25 introduce l’obbligo di notifica dell’incidente informatico al CSIRT (ente pubblico incorporato nell’Agenzia Nazionale di Cybersicurezza con sede in Roma, Via Santa Susanna, n. 15). Il CSIRT è competente a:

  1. fornire supporto tecnico in caso di incidente informatico;
  2. diffondere raccomandazioni in tema di cybersecurity;
  3. collaborare con gli altri CSIRT a livello europeo.

La procedura di notifica si articola in tre fasi:

  1. Entro 24 ore notifica generica dell’incidente al CRIST Italia;
  2. ⁠Entro 72 ore notifica aggiornata con informazioni tecniche su incidente;
  3. ⁠Entro 1 mese, report definitivo con cause e misure correttive adottate dalle società.

 

SANZIONI

Il mancato rispetto degli obblighi previsti dal decreto può comportare sanzioni:

  1. Pecuniarie
  • Fino ad un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto, per i soggetti essenziali (escluse le pubbliche amministrazioni).
  • Fino ad un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto per i soggetti importanti (escluse le pubbliche amministrazioni).

Obbligo per l’ente di adottare a proprie spese misure correttive entro un certo termine

Roma, 17 Aprile 2025                                                                                    Avvocato Carlo Zaccagnini

Dubbi o necessità?

DISCLAIMER