Recepita la NIS2: facciamo chiarezza sui soggetti obbligati

Dopo un veloce iter parlamentare, approda in Gazzetta il decreto legislativo di recepimento della Direttiva NIS2. L’Italia così si pone tra i primi paesi ad adeguarsi alla Direttiva (UE) 2022/2555.

A seguito della pubblicazione sulla Gazzetta Ufficiale n. 230 del 1° ottobre 2024 del decreto legislativo 4 settembre 2024, n. 138 “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148” (D.lgs. 138/24), parte ora la complessa fase attuativa.

Tanti i temi da approfondire ma, in primo luogo, è necessario fare chiarezza sull’identificazione dei soggetti obbligati agli adempimenti, differenziati per grado di rischio, in linea con quanto abbiamo già avuto modo di vedere con la legge n. 90/24[1].

In primo luogo, tali soggetti dovranno provvedere alla registrazione sulla Piattaforma digitale che verrà messa a disposizione dall’Agenzia per la Cybersicurezza nazionale (ACN) che vede riconfermato il proprio ruolo di Autorità nazionale competente NIS, di Punto di contatto unico NIS e di CSIRT[2]  oltre a porsi quale soggetto incaricato del coordinamento tra i diversi soggetti coinvolti a vario titolo e Autorità deputata alla periodica valutazione della Strategia nazionale di cybersicurezza, nonché al suo aggiornamento.

Estensione degli Ambiti

Si passa dagli 8 settori interessati all’applicazione delle NIS1 ai nuovi 25 Settori (distinti in ben più numerosi sottosettori) di cui 10 altamente critici.

L’Allegato I individua i settori ad alta criticità (1. Energia, 2. Trasporti, 3. Settore bancario, 4. Infrastrutture dei mercati finanziari, 5. Settore sanitario, 6. Acqua potabile, 7. Acque reflue, 8. Infrastrutture digitali, 9. Gestione dei servizi TIC, 10. Spazio).

L’Allegato II individua ulteriori settori critici (1. Servizi postali e di corriere, 2. Gestione dei rifiuti, 3. Fabbricazione, produzione e distribuzione di sostanze chimiche, 4. Produzione, trasformazione e distribuzione di alimenti, 5. Fabbricazione, 7. Ricerca).

La registrazione o l’aggiornamento deve essere effettuato dal 1° gennaio al 28 febbraio di ogni anno. In fase di prima attuazione si potrà procedere a partire dal prossimo 17 ottobre, non appena la piattaforma sarà resa disponibile.

Le informazioni da comunicare sono riportate all’art.7 del D.lgs. 138/24.

L’ACN provvederà alla redazione dell’elenco e, sempre tramite la piattaforma, alle comunicazioni ai soggetti interessati dell’avvenuta iscrizione.

Sono gli allegati III e IV che ci riguardano più da vicino: descrivono, infatti, rispettivamente, le    categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetti su cui impatta il decreto.

L’Allegato III riporta le Amministrazioni centrali, regionali, locali e alcuni altri soggetti pubblici ai quali gli obblighi si applicano indipendentemente   dalle    loro    dimensioni, così ripartiti:

a) Amministrazioni centrali:

1. gli Organi costituzionali e di rilievo costituzionale;
2. la Presidenza del Consiglio dei ministri e i Ministeri;
3. le Agenzie fiscali;
4. le Autorità amministrative indipendenti.

b) Amministrazioni regionali:

1. le Regioni e le Province autonome.

 c) Amministrazioni locali

1. le Città metropolitane;
2. i Comuni con popolazione superiore a 100.000 abitanti;
3. i Comuni capoluoghi di regione;
4. le Aziende sanitarie locali.

d) altri soggetti pubblici:

1. gli Enti di regolazione dell’attività economica;
2. gli Enti produttori di servizi economici;
3. gli Enti a struttura associativa;
4. gli Enti produttori di servizi assistenziali, ricreativi e culturali;
5. gli Enti e le Istituzioni di ricerca;
6. gli Istituti zooprofilattici sperimentali.

L’Allegato IV, infine, contiene ulteriori tipologie di soggetti quali:

1. Soggetti che forniscono servizi di trasporto pubblico locale.
2. Istituti di istruzione che svolgono attività di ricerca.
3. Soggetti che svolgono attività di interesse culturale.
4. Società in house, società partecipate e società a controllo pubblico, come definite nel
5. decreto legislativo 19 agosto 2016, n. 175.

La gradualità

Con decreto del Presidente del Consiglio dei ministri, secondo la procedura prevista dall’articolo 40, c. 2, del D.lgs. 138/24[3] potranno essere individuate ulteriori categorie di pubbliche amministrazioni al fine di adeguare l’elenco di categorie di cui all’allegato III, con gradualità, in relazione all’evoluzione del grado di esposizione al rischio della pubblica amministrazione, alla probabilità che si verifichino incidenti e alla loro gravità, compreso l’impatto sociale ed economico.

Sempre indipendentemente dalle loro dimensioni, il D.lgs. 138/24 potrà essere applicato anche ai soggetti delle tipologie di cui all’allegato IV, sulla base dei criteri indicati all’art. 3 D.lgs. 138/24.

come individuati dall’Autorità nazionale competente NIS, su proposta delle Autorità di settore, secondo le modalità di cui al citato articolo 40, comma 4. Sarà sempre l’ACN a notificare a tali soggetti la loro individuazione affinché possano provvedere alla registrazione sulla Piattaforma.

La cooperazione tra le Autorità: la tutela dei dati personali

Elemento chiave per il raggiungimento degli obiettivi della Direttiva la cooperazione e la collaborazione reciproca tra le tante Autorità e Amministrazioni coinvolte, a tutti i livelli, senza pregiudicare la competenza e i compiti di controllo di ciascuno.

Sul punto l’art. 8 “Protezione dei dati personali” del D.lgs. 138/24 richiama l’ACN, le Autorità di settore NIS e tutti i soggetti obbligati indicati di cui all’articolo 3, all’obbligo di trattare “i dati personali nella misura necessaria ai fini del presente decreto” (limitazione delle finalità) e in conformità al Regolamento (UE) 2016/679 (GDPR).  

Qualora l’Autorità nazionale competente NIS, in sede di vigilanza o di esecuzione, venga a conoscenza del fatto che una violazione degli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica possa comportare una violazione dei dati personali, ne informa il Garante per la protezione dei  dati  personali (Garante). Non solo: il medesimo art. 14 D.lgs. 138/24, al comma 2, lettera c) ci pone di fronte ad una chiara e aprioristica applicazione di prevalenza secondo il principio di ne bis in idem: qualora il Garante o  un’analoga autorità europea impongano   una   sanzione amministrativa pecuniaria ai sensi dell’articolo  58,  paragrafo  2,lettera  i),  del GDPR,   l’Autorità   nazionale competente   NIS   non   procede   all’irrogazione   delle   sanzioni amministrative  pecuniarie  ai  sensi  dell’articolo   38   per   una violazione prevista dall’art. 24 del D.lgs. 138/24, se imputabile  al medesimo comportamento. L’Autorità nazionale competente NIS può tuttavia esercitare i poteri di esecuzione in base all’art. 37 del D.lgs. 138/24.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] Legge 28 giugno 2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.

[2] Il CSIRT Italia, Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale, istituito presso l’ACN. I compiti come definiti dal Decreto Legislativo 18 maggio 2018, n. 65 e dal Decreto del Presidente del Consiglio dei ministri 8 agosto 2019 art. 4, includono:

• il monitoraggio degli incidenti a livello nazionale;
• l’emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;
• l’intervento in caso di incidente;
• l’analisi dinamica dei rischi e degli incidenti;
• la sensibilizzazione situazionale;
• la partecipazione alla rete dei CSIRT.

[3] Art. 40 D. Lgs 138/24: “Con uno o più decreti del Presidente del Consiglio dei ministri, adottati anche in deroga all’articolo 17 della  legge  23 agosto 1988, n. 400, su proposta dell’Agenzia per la cybersicurezza nazionale, d’intesa con le  Autorità  di  settore  NIS  interessate, sentito il Tavolo per l’attuazione  della  disciplina  NIS e previo parere del Comitato interministeriale per la cybersicurezza”.