Prima denuncia di attacchi informatici entro 24 ore e, a seguire, notifica completa entro 72 ore: sono questi alcuni degli obblighi specifici, in caso di data breach, previsti dallo schema di decreto legislativo di recepimento della direttiva UE 2022/2555 (nota con l’acronimo NIS 2) licenziato, in via preliminare, del consiglio dei ministri di ieri 10/6/2024. La nuova disciplina si aggiunge a quella relativa al perimetro di sicurezza nazionale e amplia la platea dei soggetti, cui è chiesto di adoperarsi per la sicurezza delle reti e dei sistemi informativi. Le novità interesseranno moltissime imprese e altrettante pubbliche amministrazioni, inserite nelle macro-categorie dei soggetti “essenziali” ed “importanti”, elencati per settori in quattro allegati allo schema del d.lgs. in commento.
Aree critiche e molto critiche
Alcuni soggetti operano in aree classificate “altamente critiche” (tra cui imprese dei settori energia, trasporti, banche e mercati finanziari, sanità, infrastrutture digitali), altri in aree “critiche” (tra cui servizi postali, gestione rifiuti, imprese del settore alimentare, fabbricazione dispositivi medici, apparecchiature elettriche, macchinari, computer, fornitura servizi digitali, organizzazioni di ricerca). Negli altri due gruppi si trovano pubbliche amministrazioni (la legge delega 15/2024 prevede la possibilità di includere comuni e province), servizi di trasporto pubblico locale, istituti di ricerca, esercenti attività di interesse culturale, società in house, società partecipate e società a controllo pubblico.
Incombenze in arrivo
Questa amplissima schiera di soggetti pubblici e privati sarà tenuta a una serie di incombenze, punite anche con sanzioni pecuniarie in caso di inosservanza. Un compito da sentinella è la segnalazione degli incidenti informatici allo CSIRT Italia (gruppo di gestione degli incidenti di sicurezza informatica, presso l’agenzia per la cybersicurezza nazionale)
Nello schema di d.lgs. si delinea una procedura in due tempi:
- una pre-notifica senza ingiustificato ritardo, e comunque entro 24 ore dalla conoscenza dell’incidente significativo;
- la notifica entro 72 ore, con una valutazione della gravità e dell’impatto dell’attacco.
Di volta in volta si deciderà se e come debbano essere avvisati anche gli utenti dei servizi interessati dall’incidente. Questo obbligo si inserisce in un quadro di adempimenti che comprende pianificazione delle misure di sicurezza, formazione del personale e degli organi di vertice, adozione di misure tecniche e organizzative.
Le misure tecniche devono comprendere anche l’incremento dell’uso della crittografia e garanzie di continuità operativa, l’uso delle specifiche tecniche elaborate dall’Enisa, l’approvvigionamento di servizi e prodotti certificati. La filiera della sicurezza deve riguardare anche i fornitori di servizi degli enti elencati negli allegati allo schema di d.lgs.
Obbligo di segnalazione
L’obbligo della segnalazione di incidenti informatici, previsto dallo schema di d.lgs. in esame, può sovrapporsi con l’analogo obbligo di notificazione previsto dal Regolamento Ue sulla privacy n. 2016/679 (Gdpr). Al riguardo lo schema di d.lgs. prevede la disciplina di raccordo: se l’incidente riguarda anche dati personali, dovrà essere informato subito il Garante della privacy; se quest’ultimo applicherà una sanzione del Gdpr, non si applicheranno le sanzioni previste dal d.lgs. in esame. In ogni caso imprese ed enti dovranno adempiere sia agli obblighi previsti dal Gdpr sia a quelli previsti dal provvedimento in esame. La direttiva 2022/2555 deve essere recepita entro il 17/10/2024, e le disposizioni del d.lgs. attuativo si applicheranno a partire dal 18/10/2024.