Cybersicurezza: pubblicato il decreto legislativo di recepimento della Direttiva NIS2
Autori
Counsel
Italia
Sono un avvocato delle tecnologie dell'informazione, membro del Tech & Comms Group di Milano.
Associate
Italia
Sono un avvocato del Dipartimento di Information Technology e di Proprietà Intellettuale.
Practice
Settori
Aree geografiche
Paesi
Il 1° ottobre 2024 è stato pubblicato il decreto legislativo che recepisce in Italia la Direttiva NIS2. A decorrere dal 18 ottobre 2024, si applicano le nuove regole e vengono abrogate quelle della Direttiva NIS1 (Direttiva UE 1148/2016).
La Direttiva NIS2 (Direttiva UE 2555/2022) – recepita in Italia con decreto legislativo no. 138/2024 (“Decreto Legislativo”) - stabilisce misure atte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo al contempo ad incrementare il livello comune di sicurezza nell'Unione europea in modo da migliorare il funzionamento del mercato interno.
Rispetto alla Direttiva NIS1 (che prevedeva una distinzione tra operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD)), l’ambito di applicazione soggettivo è stato esteso e si parla di c.d. soggetti essenziali e soggetti importanti.
Possono rientrare in questa ultima categoria i soggetti (che non siano già soggetti essenziali) operanti nei settori "ad alta criticità" e "altri settori critici":
| Settori ad alta criticità | Altri settori critici |
|---|---|
|
1. Energia |
a. Servizi postali e di corriere |
In caso di risposta affermativa o di dubbio, occorre registrarsi sulla piattaforma digitale resa disponibile dall’Agenzia Nazionale per la Cybersicurezza (l’ “ACN”). Sarà l’ACN a comunicare ai soggetti registrati l’inclusione o meno nell’ambito di applicazione delle nuove regole.
In capo ai soggetti essenziali e ai soggetti importanti sono previsti, tra gli altri, obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e obblighi di notifica degli incidenti, più ampi e dettagliati rispetto alla disciplina di NIS1.
La violazione degli obblighi previsti, tra le altre, può essere sanzionata, per i soggetti essenziali, fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale dell’esercizio precedente, a seconda di quale importo sia maggiore e, per i soggetti importanti, fino a 7 milioni di euro o fino all’1,4% del fatturato annuo mondiale dell’esercizio precedente, a seconda di quale importo sia maggiore.
***
Il nostro team è a disposizione per fornirVi assistenza nell’attività di implementazione interna delle previsioni del Decreto Legislativo, nella attività di self-assessment sopra indicata, di assistenza nella implementazione delle misure previste, di formazione interna e di redazione della documentazione specifica (sotto forma di policy, vademecum, protocolli) per una corretta applicazione del Decreto Legislativo.
Ultimi approfondimenti
Ulteriori approfondimenti
La nuova direttiva sulla responsabilità per danno da prodotti difettosi: le novità legate alla nuova economia digitale
nov 19 2024
Data Center & Valutazioni di Impatto Ambientale: tra linee guida MASE e Decreto Legge Ambiente n. 153/2024
nov 01 2024
