A seguito della pubblicazione in Gazzetta Europea del 27 dicembre 2020 L 333/80 della Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a “misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2)” sono stati approvati in Italia la Legge n. 90 del 28 giugno 2024 “Disposizioni in materia di rafforzamento della cybersicurezza e di reati informatici”, G.U. del 2 luglio 2024 n. 153, ed il Decreto Legislativo n. 138 del 4 settembre 2024 di “Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148” , G.U. del 1 ottobre 2024 n. 230.
AMBITO DI APPLICAZIONE DELLA NIS II:
I soggetti destinatari della Direttiva (UE) n. 2022/2555 NIS II, ai sensi dell’art. 2 e 3, sono:
- FORNITORI DI SERVIZI di cui all’allegato I (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC b2b) o II (servizi postali e corriere, gestione dei rifiuti, fabbricazione e produzione sostanze chimiche, produzione e trasformazione e distribuzione di alimenti, fabbricazione di dispositivi, fornitori di servizi digitali, enti di ricerca) qualora forniscano reti di comunicazione elettronica pubblica o di servizi di comunicazione elettronica accessibile al pubblico; Registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio; Prestatori di servizi di fiduciari.
- SOGGETTO FORNITORE UNICO DI UN SERVIZIO ESSENZIALE per il mantenimento di attività sociali o economiche fondamentali in uno Stato membro;
- SOGGETTO CRITICO in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nello Stato membro;
- ENTI DELLA PUBBLICA AMMINISTRAZIONE come segue:
Dell’amministrazione centrale quale definito da uno Stato membro conformemente al diritto nazionale; a livello regionale quale definito da uno Stato membro conformemente e al diritto nazionale che, a seguito di una valutazione basata sul rischio, fornisce servizi la cui perturbazione potrebbe avere un impatto significativo su attività sociali o economiche critiche. - SOGGETTI CRITICI AI SENSI DELLA DIRETTIVA (UE) 2022/2557 relativa alla resilienza dei soggetti critici , indipendentemente dalle loro dimensioni, identificati.
OBIETTIVI DELLA NIS II
Ravvicinare le legislazioni degli Stati membri; implementare il processo di condivisione delle informazioni tramite nuovi destinatari tra Pubbliche Amministrazioni e soggetti pubblici e privati; la diversificazione dei destinatari in: Soggetti essenziali e Soggetti importanti; la creazione di una rete europea di collegamento; l’adozione di un approccio multirischio.
AMBITO DI APPLICAZIONE DEL D.LGS. N. 138/2024 PIÙ AMPIO RISPETTO ALLA NIS II
Le PUBBLICHE AMMINISTRAZIONI individuate sulla base di un criterio di gradualità, dell’evoluzione del grado di esposizione al rischio della PA, della probabilità che si verifichino incidenti e della loro gravità; nonché indipendentemente dalle dimensioni (anche P.M.I.) (i) i soggetti che forniscono SERVIZI DI TRASPORTO PUBBLICO LOCALE, (ii) gli ISTITUTI DI ISTRUZIONE CHE SVOLGONO ATTIVITÀ DI RICERCA, (iii) i soggetti che svolgono ATTIVITÀ DI INTERESSE CULTURALE, (iv) le SOCIETÀ IN HOUSE, SOCIETÀ PARTECIPATE E SOCIETÀ A CONTROLLO PUBBLICO, come definite nel D.Lgs. 19 agosto 2016, n. 175
(Testo unico in materia di società a partecipazione pubblica).
Per l’elencazione completa si rimanda agli Allegati I, II, III e IV che ricomprende i settori altamente critici e critici, le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetti.
PRIMO ADEMPIMENTO PREVISTO DAL D.LGS. N. 138/2024:
La prima attività effettivamente richiesta alle aziende è quella di valutare l’applicabilità del Decreto Legislativo alla propria operatività. Sino alla fine del 2024 è richiesto preliminarmente alle aziende di effettuare un’analisi puntuale per comprendere se i propri servizi rientrano nell’ambito di applicazione del Decreto Legislativo, tenendo in considerazione i settori rilevanti, ma anche i criteri dimensionali e territoriali.
Successivamente, ai sensi dell’art. 6 del D.Lgs. 138 a partire dal 1° gennaio 2025 (fino a fine febbraio, fatto salvo il caso di alcune società la cui registrazione è necessario entro il 17 gennaio 2025) le società che ritengono di rientrare nell’ambito di applicazione del D.Lgs. dovranno registrarsi su un apposito portale in corso di adozione da parte di ACN fornendo una serie di informazioni rilevanti quali, la ragione sociale, l’indirizzo ed i recapiti aggiornati, la designazione di un punto di contatto, indicando il ruolo presso il soggetto, i pertinenti settori, sottosettori e tipologie di soggetto di cui agli Allegati I, II, III, IV.
