In un contesto quanto mai attuale che ha visto in questi giorni il settore trasporti e bancario italiano essere bersaglio di attacchi cyber di stampo filorusso, come rappresaglia per le parole del Presidente Mattarella, si avvicina la scadenza del 28 febbbraio per mettersi in regola con la normativa NIS2 (Network and Information Security) registrando la propria organizzazione sulla piattaforma messa a disposizione da ACN, Agenzia per la Cybersicurezza Nazionale, prima di incorrere in sanzioni, che secondo gli esperti legali in data protection di Rödl & Partner Italia “possono arrivare fino allo 0,1% del fatturato annuo aziendale”.

Recepita col Decreto Legislativo n. 138/2024 entrato in vigore a metà ottobre scorso, la normativa NIS2 mira a rafforzare la cybersecurity nell’Unione Europea - in un panorama che, secondo l’ultimo rapporto Clusit (Associazione Italiana per la Sicurezza Informatica), ha visto oltre 1.600 cyberattacchi rilevati nel mondo in un solo semestre, con l’Italia che ha rappresentato il 7,6% del totale degli incidenti; e con un costo globale dei cybercrimini che raggiungerà i 10,5 trilioni di dollari entro il 2025 per un tasso di crescita degli attacchi del 15% annuo (Cybersecurity Ventures Global Cybercrime Risks Report 2024).

La NIS2, che promuove un quadro normativo più uniforme e coordinato tra gli Stati membri, con l’obiettivo di elevare il livello di sicurezza informatica, ridurre le vulnerabilità e aumentare la resilienza delle infrastrutture critiche, sia pubbliche che private, si applica alle organizzazioni di medie e grandi dimensioni che operano in 18 settori considerati essenziali per il funzionamento della società e dell’economia per oltre 80 tipologie di soggetti (come energia, trasporti, sanità, spazio, digitale, cloud, data center, produzione e tanti altri ancora) e vede nel prossimo 28 febbraio 2025 la scadenza ultima per completare lo screening di applicabilità della normativa e quindi la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale.

“In caso di mancata registrazione o di tardiva registrazione sulla piattaforma digitale entro i termini stabiliti – sottolinea Nadia Martini, Partner e avvocato dello studio multidisclipinare Rödl & Partner Italia – si applicano le sanzioni amministrative pecuniarie previste dall’art. 38. Le violazioni relative alla mancata registrazione sono punite con sanzioni che, per i soggetti essenziali, possono arrivare fino allo 0,1% del fatturato annuo o per i soggetti importanti, lo 0,07% del fatturato annuo. Inoltre, in caso di mancata registrazione, potranno essere comunque contestate, ricorrendone i presupposti, anche le altre violazioni e in tal caso si applica la sanzione prevista per la violazione più grave aumentata fino al triplo.”

Le misure che le organizzazioni dovranno mettere in atto prevedono quindi che entro il 28 febbraio 2025, tutti gli altri soggetti essenziali e importanti identificati dal decreto dovranno completare la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale. E a partire dalla data della comunicazione di inserimento nell’elenco, i soggetti avranno un termine dai nove ai diciotto mesi per iniziare ad adempiere agli obblighi NIS2, tra cui l’effettuazione di un assessment delle misure tecniche ed organizzative, avviando anche programmi di formazione ai dipendenti sulla sicurezza informatica, l’adozione delle misure di notifica degli incidenti, nonché l’adozione di misure di gestione del rischio e delle misure tecniche di sicurezza non risultate adeguate. “In particolare per queste ultime – chiarisce l’avv. Martini di Rödl & Partner Italia – implementando piani interni per la gestione dei rischi ICT e di un framework basato su approcci risk-based, definendo strategie per garantire operatività anche in situazioni di crisi e per notificare gli incidenti aventi alto impatto nonché classificando i fornitori ICT e prevedendo obblighi contrattuali specifici.”