È stata recepita il 1° ottobre la direttiva NIS2 con D.lgs. 138 del 2024. Finalmente, dopo un’attesa durata mesi, ha tagliato il traguardo il testo definitivo della normativa, chiarendo destinatari e tempistiche di applicazione.

Sul piano delle tempistiche occorre ricordare che i precedenti destinatari della NIS andranno in continuità con la normativa vigente che dal 18 ottobre 2024 sostituisce la precedente, per gli altri i tempi di finalizzazione per la segnalazione degli incidenti saranno al 31 dicembre 2025.

Per quanto riguarda i soggetti destinatari, la versione italiana della norma ha ampliato l’alveo dei settori interessati, confermando anche quelli coinvolti dalla precedente versione NIS1, ponendosi di fatto in continuità con quest’ultima. Nel concreto, il recepimento della NIS2, prevede un allargamento del perimetro dei soggetti, non escludendone nessuno dei precedenti.

Quel che preme sottolineare, a parere di chi scrive, è che il testo individua, quali destinatari per la NIS2, anche tutte le organizzazioni – a prescindere dalle dimensioni – che rappresentino un elemento sistemico della catena di approvvigionamento, anche digitale, dei soggetti essenziali o importanti.

Come si legge al Capo 3, punto 10:

“Il presente decreto si applica, infine, indipendentemente dalle sue dimensioni, all’impresa collegata ad un soggetto essenziale o importante, se soddisfa almeno uno dei seguenti criteri:

    a) adotta decisioni o esercita una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;

    b) detiene o gestisce sistemi informativi e di rete da cui dipende la fornitura dei servizi del   soggetto   importante o essenziale;

    c) effettua operazioni di sicurezza informatica del soggetto importante o essenziale;

    d) fornisce servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale”.

Gli step di adeguamento

Al di là delle tempistiche previste per l’applicazione è necessario evidenziare che la Gap Analysis deve essere immediata e rappresenta il primo step, non procrastinabile, considerato l’impegno di realizzazione che tale attività richiede per intraprendere il percorso di adeguamento. Questo risulta ancora più evidente se si considerano le valutazioni e gli investimenti necessari.

Eventuali valutazioni rispetto al coinvolgimento di determinati soggetti – per le quali l’autorità si riserva di dare riscontro entro il marzo 2025 – riguardano solo quelli richiamati all’Articolo 9 comma 3 e non i soggetti essenziali, importanti o critici (come definiti nel decreto 2557 del 23 settembre).

Proprio queste ultime tre categorie sono tenute a muoversi rapidamente e, una efficace presa di coscienza, passa necessariamente da un’analisi preliminare dello stato dell’arte dell’organizzazione dal punto di vista delle misure tecniche ed organizzative in uso in materia di sicurezza informatica. Per poter comunicare i punti di contatto a gennaio 2025, inoltre, l’organizzazione dovrà aver già definito una struttura di governance, stabiliti dei ruoli e aver compreso quale sia il livello di rischio a cui è esposta. Questo per ponderare quali tipi di azioni devono essere intraprese in modo da imbastire e costruire il sistema di prevenzione e riduzione del rischio.

Il Legislatore non ha stabilito dilatazioni funzionali a ritardare la validità degli obblighi, ha piuttosto scandito dei tempi per i soggetti importanti e per quelli “nuovi”, ovvero non inclusi nella precedente versione della NIS. Il fine è dar loro il tempo di costruire – in maniera attenta ed efficace – il percorso di applicazione di una norma che porta con sé una sanzione che può variare tra 1,4 e 2% del fatturato globale e può comportare l’interdizione temporanea dei vertici.

La Gap Analysis assume dunque priorità massima anche in considerazione della comunicazione dei punti di contatto da effettuare entro il 28 febbraio 2025, deadline che richiede alle organizzazioni di chiudere l’anno in corso con un quadro ben definito rispetto a: budget da prevedere, posizionamento dei sistemi informativi, regolarizzazione della catena di approvvigionamento e relativi contratti da implementare (o eventuale valutazione di nuovi fornitori) e – in ultima istanza, non certo per ordine di importanza – tema formativo. Non dimentichiamo, infatti, che la NIS2 prevede espressamente l’obbligo formativo per i vertici e gli organi direttivi-decisionali.