Direttiva Ue n. 2555 del 2022 (NIS2)
Lo schema di decreto legislativo attualmente in discussione per l’attuazione della direttiva UE 2555/2022 (NIS2) rappresenta un passo cruciale per rafforzare la cybersecurity nell’Unione Europea. Questa normativa, articolata in 44 articoli suddivisi in 6 capi, ha l’obiettivo di innalzare notevolmente il livello di sicurezza informatica, ponendo al centro l’Agenzia per la Cybersicurezza Nazionale (ACN) come ente di verifica, vigilanza e supporto, in coordinamento con le autorità di settore.
Tra gli aspetti più rilevanti del decreto vi sono:
- Ambito di Applicazione: Il decreto si applica a una vasta gamma di soggetti pubblici e privati, suddivisi in quattro allegati che determinano i settori coinvolti. Per due di questi allegati, la dimensione dell’impresa (oltre 50 dipendenti e fatturato annuo superiore a 10 milioni di euro o bilancio annuo superiore a 43 milioni di euro) è un criterio rilevante, ma sono previste eccezioni. Per gli altri due allegati, che includono le pubbliche amministrazioni e altri soggetti specifici, non esiste un criterio dimensionale.
- Distinzione tra Soggetti Essenziali e Importanti: La normativa distingue tra “soggetti essenziali” e “soggetti importanti”, con obblighi e sanzioni che variano a seconda della loro classificazione.
- Sanzioni Severe: Le sanzioni previste per la mancata conformità sono molto elevate. Per i soggetti essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, mentre per i soggetti importanti si può arrivare a 7 milioni di euro o all’1,4% del fatturato annuo mondiale. Inoltre, i dirigenti responsabili possono essere temporaneamente interdetti dall’esercizio delle loro funzioni.
- Ruolo dell’ACN: L’ACN avrà un ruolo centrale non solo nella vigilanza e nell’irrogazione delle sanzioni, ma anche nel fornire supporto e guida ai destinatari del decreto. Questo ruolo di supporto è particolarmente importante per le piccole e medie imprese e la Pubblica Amministrazione, che potrebbero affrontare difficoltà nell’adeguarsi agli stringenti requisiti imposti dalla normativa.
- Cooperazione e Condivisione delle Informazioni: Il decreto promuove la cooperazione tra imprese e istituzioni, oltre a stabilire obblighi di condivisione delle informazioni sulla cybersecurity tra gli Stati membri dell’UE.
Nonostante l’ambizione del decreto, restano alcune sfide, soprattutto riguardo alla capacità delle istituzioni di gestire l’ampio spettro di attività previste (normazione, coordinamento, vigilanza, formazione e repressione) con le risorse attualmente disponibili. Questa preoccupazione si estende anche alle autorità locali e agli enti pubblici territoriali, che potrebbero necessitare di ulteriori supporti finanziari e tecnici per l’attuazione efficace della normativa.
In conclusione, lo schema di decreto rappresenta un passo decisivo verso una maggiore sicurezza informatica in Europa, ma la sua implementazione richiederà un significativo impegno da parte di tutti i soggetti coinvolti.