Pubblicato il d.lgs. n. 138/2024 che recepisce in Italia la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148, secondo la metodologia dell’approccio basato sul rischio.

Verrà implementata una piattaforma digitale – che renderà disponibile l’Autorità Nazionale per la Cybersicurezza – dove i soggetti di cui sotto devono registrarsi e aggiornare i propri dati e designare un punto di contatto e le proprie attività.

 

A chi si applica?

Il d.lgs. 138/2024 si applica ai soggetti di cui all’Allegato I e II al decreto, che superano i massimali per le PM ai sensi dell’articolo 2, paragrafo 2, dell’allegato alla Raccomandazione 2003/361/CE (vale a dire che supera i 50 occupati e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro):

  • i soggetti di cui agli allegati I (settori ad alta criticità) e II (altri settori critici) del d.lgs. in commento, quali: settore energia; trasporti; bancario; infrastrutture dei mercati finanziari; sanitario; acqua potabile; acque reflue; infrastrutture digitali (tra cui fornitori di punti di interscambio internet; fornitori di servizi di cloud computing, data center);
  • fornitori di servizi postali e di corriere;
  • fornitori di Imprese che si occupano della gestione dei rifiuti quali definite all’articolo 3, punto 9), della direttiva 2008/98/CE, escluse quelle per cui la gestione dei rifiuti non è la principale attività economica;
  • fabbricazione, produzione e imprese che si occupano della distribuzione di sostanze chimiche;
  • imprese alimentari (quali definite dal reg. 178/2002 come ogni soggetto pubblico o privato, con o senza fini di lucro, che svolge una qualsiasi delle attività connesse ad una delle fasi di produzione, trasformazione e distribuzione degli alimenti) che si occupano della distribuzione all’ingrosso e della produzione industriale e della trasformazione;
  • fabbricazione (di dispositivi medici; computer, prodotti di elettronica e ottica; di apparecchiature di cui alla sezione C, divisioni 27 – 28 – 29 -30 della NACE Rev. 2 (qui allegata);
  • fornitori di servi digitali quali mercati online, social network, motori di ricerca, servizi di registrazione nomi e dominio;
  • ricerca.

Si applica, indipendentemente dalle loro dimensioni, anche:

  • ai soggetti che sono identificati come soggetti critici ai sensi del decreto legislativo, che recepisce la direttiva (UE) 2022/2557;
  • ai fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • ai prestatori di servizi fiduciari;
  • ai gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • ai fornitori di servizi di registrazione dei nomi di dominio;
  • alle pubbliche amministrazioni (di cui all’articolo 1, comma 3, della legge n. 196/2009, ricomprese nelle categorie elencate nell’allegato III;
  • ai soggetti delle tipologie di cui all’allegato IV, individuati secondo le procedure di cui al comma 13;
  • all’impresa collegata ad un soggetto essenziale o importante, se soddisfa almeno uno dei seguenti criteri di cui all’art. 3 comma 10 del decreto legislativo in commento;
  • anche qualora il soggetto sia considerato critico ai sensi del presente decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti.

 

Obblighi

I soggetti di cui sopra, devono adottare misure tecniche, operative e organizzative adeguate e proporzionate, secondo le modalità e i termini di cui al decreto medesimo (articoli 30, 31 e 32) alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi.

Gli organi amministrativi e direttivi hanno obblighi specifici quali approvare le modalità di implementazione delle misure di cybersicurezza, sovraintenderne l’applicazione e sono responsabili delle violazioni previste dal decreto.

Obbligo di notifica al CSIRT Italia ogni incidente che incidente è considerato significativo in quanto: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Obbligo di registrarsi alla piattaforma digitale ANC e inserire/aggiornare annualmente, dal 1° maggio al 30 giugno, tramite la piattaforma digitale di cui sopra, un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza. Successivamente ANC comunica, sempre tramite la piattaforma, ai soggetti registrati se sono inseriti nell’Elenco dei soggetti essenziali o importanti, la permanenza o meno in tali elenchi, l’espunzione dall’elenco dei soggetti.

Potranno essere previste da ANC misure settoriali specifiche.

 

Ispezioni e sanzioni

L’ANC, quale autorità NIS nazionale, ha poteri di verifica e ispettivi ed esercita il potere sanzionatorio. Le sanzioni colpiscono le seguenti violazioni:

  1. mancata osservanza degli obblighi imposti agli organi di amministrazione e agli organi direttivi, nonché degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente;
  2. inottemperanza alle disposizioni adottate dall’ANC e alle relative diffide.

Sanzione prevista per questo tipo di violazioni: fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale, per i soggetti essenziali mentre fino a un massimo di euro 7.000.000 o dell’1,4% del totale del fatturato annuo, per i soggetti importanti e per le P.A. da euro 25.000 a euro 125.000.

  1. mancata registrazione, comunicazione o aggiornamento delle informazioni;
  2. inosservanza delle modalità stabilite dall’ANC;
  3. mancata comunicazione o aggiornamento dell’elenco delle attività e dei servizi nonché della loro categorizzazione; f) mancata implementazione o attuazione degli obblighi relativi all’uso di schemi di certificazione, alla banca dei dati di registrazione dei nomi di dominio nonché alle previsioni settoriali specifiche; g) mancata collaborazione con ANC nello svolgimento delle attività e nell’esercizio dei poteri; h) mancata collaborazione con il CSIRT Italia;

Sanzione prevista per questo tipo di violazioni: fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale, per i soggetti essenziali, mentre fino a un massimo dello 0,07% del totale del fatturato annuo, per i soggetti importanti e per le P.A. da euro 10.000 a euro 50.000.

 

Termini di applicazione delle disposizioni

Le disposizioni del decreto si applicano a decorrere dal 18 ottobre 2024, ma hanno un’applicazione diversificata (art. 42):

  • entro il 17 gennaio 2025, i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del presente decreto, si registrano sulla piattaforma digitale, gli altri soggetti essenziali e importanti si registrano a partire dalla data di pubblicazione della piattaforma;
  • dal termine il cui ANC comunica ai soggetti se e in quale elenco sono inseriti, decorre il termine di 18 mesi per implementare le misure di cybersicurezza;
  • i soggetti che hanno ricevuto comunicazione relativa all’inserimento in elenco, dal 15 aprile al 31 maggio di ogni anno successivo alla data di entrata in vigore del presente decreto, tramite la piattaforma digitale, forniscono o aggiornano le informazioni;
  • l’obbligo di inserimento in piattaforma delle attività svolte dai soggetti iscritti va fatta a partire dal 1° gennaio 2026, successivamente va fatto annualmente nel periodo dal 1° maggio al 30 giugno di ogni anno.