Nel comunicato stampa relativo al Consiglio dei Ministri tenutosi lunedì 10 giugno viene data notizia che è stato svolto un esame preliminare sullo schema del decreto legislativo con cui l’Italia recepirà la direttiva (UE) 2022/2555, meglio nota come NIS2.
Il comunicato stampa indica che lo schema prevede:
- l’ampliamento dell’ambito soggettivo di applicazione della disciplina;
- distinzione tra “soggetti essenziali” e “soggetti importanti” e l’adozione di un criterio dimensionale per la loro individuazione;
- la razionalizzazione dei requisiti minimi di sicurezza e delle procedure di notifica obbligatoria;
- l’adozione di un approccio “multirischio”;
- la regolamentazione della divulgazione coordinata delle vulnerabilità (CVD) e le specifiche funzioni di coordinamento attribuite agli CSIRT nazionali;
- l’implementazione delle misure di cooperazione, al fine di sostenere la gestione coordinata a livello operativo degli incidenti e delle crisi di cybersicurezza su vasta scala.
L’esame delle bozze disponibili nel web ha evidenziato alcuni spunti interessati.
Tra questi la previsione di una piattaforma in cui i soggetti in perimetro dovranno registrarsi annualmente e che sarà il punto di partenza per le interazioni con l’Agenzia per la Cybersicurezza Nazionale. Ogni anno, decorso il periodo di registrazione (gennaio e febbraio), l’Autorità classificherà gli iscritti dividendoli tra soggetti essenziali e importanti.
Una prima lettura pare far emergere inoltre che L’Autorità avrà poteri ispettivi, ma che si baserà anche sull’oramai noto principio della responsabilizzazione.
L’autorità avrà potere di sanzionare gli enti che persistono nell’inosservanza delle disposizioni in materia di cybersicurezza e, a tale riguardo, emerge che l’Autorità avrà il potere di sanzionare le persone fisiche che possono essere ritenute responsabili dell’inadempimento in caso di violazione del decreto da parte del soggetto di cui hanno rappresentanza. Parrebbe infatti che tali persone potrebbero essere esposte all’applicazione della sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali all’interno del medesimo soggetto che rappresentano. Lo schema ipotizza che tale sospensione sarà temporanea ed applicata finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze o a conformarsi alle diffide formulate.
Nell’ambito dello schema sono per lo più assenti riferimenti alle misure tecniche di dettaglio e ai tempi che saranno definiti come termine per adeguarvisi. L’art. 24 rubricato “Obblighi in materia di misure di gestione dei rischi per la sicurezza informatica” riporta infatti l’elencazione degli elementi esposti dalla direttiva e prevede che soggetti essenziali e importanti adottino misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi. Sono per il momento individuati temi e criteri di applicazione quali l’adeguatezza e la proporzionalità, manca ancora però una effettiva individuazione di come interpretare tali criteri ad esempio in caso dei soggetti in perimetro “più piccoli”.
