Le Direttive europee NIS2 e CER di attuazione del Regolamento DORA sono state trasposte in Italia attraverso i Decreti Legislativi 134 e 138 del 2024, per recepire nell’ordinamento nazionale gli aggiornamenti normativi emanati dall’Unione Europea in materia di Cyber Security
Come sono state recepite le Direttive europee NIS2 e CER sulla Cyber Security in Italia?
Prima di approfondire come siano state recepite nell’ordinamento italiano le Direttive europee di attuazione del Regolamento DORA – il Digital Operational Resilience Act, l’Atto sulla Resilienza Operativa Digitale per il settore finanziario –, è necessario risalire ai contenuti principali degli stessi testi emanati dall’UE.
Innanzitutto, la Direttiva (UE) 2022/2555, nota come “NIS2” (da Network and Information Security), è il documento relativo alle misure volte ad assicurare un livello comune elevato di sicurezza informatica all’interno dell’Unione Europea.
La NIS2 stabilisce infatti misure volte a garantire un livello elevato di sicurezza informatica, le quali dovranno essere attuate dai soggetti già obbligati al rispetto del Regolamento DORA, ovvero gli operatori bancari e finanziari, al fine di migliorare il funzionamento del mercato interno all’UE.
Oltre alla NIS2, anche la Direttiva (UE) 2022/2557, identificata con l’acronimo “CER” (da Critical Entities Resilience), si esprime sulla resilienza dei soggetti critici (ovvero soggetti che forniscono servizi essenziali di importanza fondamentale per il mantenimento di funzioni vitali della società, di attività economiche, della sicurezza e della salute pubbliche e dell’ambiente), stabilendo delle norme volte a garantire la fornitura di servizi essenziali nel mercato interno, aumentare la resilienza dei soggetti critici e la cooperazione transfrontaliera tra le autorità competenti.
Inoltre, la direttiva CER stabilisce le norme relative alla vigilanza sui soggetti critici e l’individuazione dei soggetti critici di particolare rilevanza a livello europeo.
Decreto Legislativo 134/2024: il recepimento della Direttiva europea CER in Italia
Chiariti questi elementi chiave delle due Direttive europee, è possibile introdurre i due documenti normativi che le hanno recepite nell’ordinamento italiano.
Il primo è il Decreto Legislativo 4 settembre 2024, n. 134, Pubblicato in Gazzetta Ufficiale n. 223 del 23 settembre 2024.
Questo documento, infatti, è il decreto di recepimento della Direttiva CER in Italia, nel quale viene istituito presso la Presidenza del Consiglio dei Ministri il Comitato Interministeriale per la Resilienza (CIR), che indirizza le politiche di resilienza ed esercita l’alta sorveglianza sull’attuazione della strategia nazionale per la resilienza dei soggetti critici.
Lo stesso Decreto, inoltre, definisce le Autorità Settoriali Competenti (ASC), ovvero i ministeri competenti per ogni area, dall’energia ai trasporti, dalla sanità alle acque, passando per il settore bancario e le infrastrutture dei mercati finanziari.
Le ASC hanno il compito di identificare per ciascun settore e sottosettore i soggetti ritenuti critici entro il 17 gennaio 2026 e di comunicarli al PCU (Punto di Contatto Unico) nell’ambito della Presidenza del Consiglio dei Ministri.
Le ASC e il PCU sono anche i destinatari delle segnalazioni di eventuali incidenti rilevanti – che perturbano o possono perturbare in modo significativo la fornitura di servizi essenziali – da parte dei soggetti critici.
In particolare, la rilevanza degli incidenti deve essere valutata in base al numero e alla percentuale di utenti interessati, alla durata della perturbazione e all’area geografica interessata, considerando l’eventuale isolamento geografico della stessa.
Oltre a ciò, le ASC sono preposte alla vigilanza sull’attuazione delle misure di resilienza da parte dei soggetti critici, oltreché alla comminazione di sanzioni per la mancata attuazione del Decreto di recepimento della Direttiva CER. Le ASC, infatti, possono applicare una sanzione amministrativa pecuniaria, da 25.000 euro a 125.000 euro, nei confronti dei soggetti critici che si dimostreranno non conformi.
In questa sede è importante chiarire anche che le disposizioni relative alla resilienza dei soggetti critici, all’individuazione dei soggetti critici di particolare rilevanza europea e alla vigilanza non si applicano ai soggetti critici del settore bancario, delle infrastrutture dei mercati finanziari e delle infrastrutture digitali, ai quali si applica la specifica disciplina settoriale.
Decreto Legislativo 138/2024: il recepimento della Direttiva europea NIS2 in Italia
Decreto Legislativo 138/2024: il recepimento della Direttiva europea NIS2 in Italia
Subito dopo l’emanazione del Decreto Legislativo n. 134, è stato pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024, anche il Decreto Legislativo 4 settembre 2024, n. 138, che recepisce la Direttiva NIS2.
Come anticipato, questo documento è relativo alle misure da seguire per garantire un livello comune elevato di Cyber Security nell’UE, abrogando la Direttiva (UE) 2016/1148, la cosiddetta “NIS”.
Il Decreto 138, strutturato in sei capi, stabilisce dunque le misure volte ad aumentare il livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’UE. In particolare, il Decreto di recepimento della NIS2 introduce alcune definizioni rilevanti nell’area della Cyber Security, come quelle di Sicurezza dei sistemi informativi e di rete, Sicurezza informatica, Cyber Security, Incidente, Quasi-incidente, Incidente di sicurezza informatica su vasta scala, Gestione degli incidenti, Minaccia informatica, Minaccia informatica significativa, Prodotto TIC, Servizio TIC, Processo TIC, e non solo.
I soggetti obbligati nel Decreto di recepimento della Direttiva NIS2 sono i soggetti pubblici e privati che operano nei settori ritenuti critici e altamente critici, come quello bancario e delle infrastrutture dei mercati finanziari, ma anche alcune categorie di Pubbliche Amministrazioni (tra cui le PA centrali) e altre tipologie di soggetti (come i soggetti privati che superano i massimali comunitari per le piccole imprese), ma restano esclusi i soggetti operanti nella sicurezza nazionale, pubblica sicurezza e difesa, il Parlamento, l’Autorità Giudiziaria e la Banca Centrale.
A tutti i soggetti interessati viene imposta l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete, che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi.
Soltanto a titolo esemplificativo e non esaustivo, le misure tecniche richieste includono politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, gestione degli incidenti, l’uso di crittografia e autenticazione a più fattori, e così via.
Il Decreto di recepimento dell NIS2 stabilisce anche le autorità nazionali competenti, ovvero l’Agenzia per la Cyber Security Nazionale (ACNS) – che svolgerà un ruolo di collegamento per la cooperazione transfrontaliera delle autorità nazionali con le autorità nazionali pertinenti degli altri Stati membri, la Commissione e l’ENISA – e il CSIRT Italia (Gruppo nazionale di risposta agli incidenti di sicurezza informatica) – l’organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica per i soggetti indicati.
Infine, anche il Decreto di recepimento della Direttiva NIS2 prevede delle sanzioni per le violazioni, rispetto a cui l’ACNS può specificare i criteri per determinare l’importo, adottando le misure necessarie per assicurarne l’effettività, la proporzionalità, la dissuasività e l’applicazione.
In particolare, le sanzioni per i soggetti essenziali, escluse le PA, possono arrivare fino a 10 milioni di euro o al 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente, mentre per i soggetti importanti, le sanzioni possono raggiungere un massimo di 7 milioni di euro o l’1,4% del totale del fatturato annuo su scala mondiale per l’esercizio precedente del soggetto.
Con Aptus, valutare gli impatti degli aggiornamenti normativi è più semplice che mai
Alla luce di quanto appena descritto, appare dunque evidente che il lavoro di analisi normativa e di valutazione degli impatti richiesto ai team di compliance delle istituzioni finanziarie nel settore della Cyber Security sarà dunque molto impegnativo.
Ecco perché una soluzione tecnologica come Aptus – capace di automatizzare i passaggi dei processi di compliance in cui le capacità umane non possono aggiungere valore – è quanto mai necessaria.
Sfruttando un formato proprietario machine-readable dei testi normativi, la piattaforma RegTech di Aptus.AI offre una versione aumentata dei testi legali, che identifica automaticamente i requisiti e gli obblighi normativi, tenendo conto dei processi e delle policy interne della specifica organizzazione.
In un contesto complesso come quello dell’Unione Europea, Aptus consente alle organizzazioni non soltanto di ridurre i tempi e i costi necessari per il recepimento degli aggiornamenti normativi, ma anche di anticipare i trend normativi per trasformare la compliance in una leva di business.
Alla scoperta delle funzionalità di Aptus create per i professionisti di compliance
Per capire meglio come la soluzione RegTech di Aptus.AI ottimizza i processi di compliance delle istituzioni finanziarie, è utile presentare le funzionalità principali della piattaforma.
Innanzitutto, Aptus.Outlook permette di analizzare i documenti normativi ancor prima della loro pubblicazione ufficiale, dunque di prepararsi in anticipo anche ai futuri aggiornamenti che l’UE emanerà nel settore della Cyber Security, per pianificare le attività di compliance necessarie.
Aptus.Alert offre invece aggiornamenti automatici via mail, personalizzati in base alle preferenze dell’utente, grazie a un monitoraggio in tempo reale dei siti istituzionali delle autorità, per velocizzare e snellire i flussi di lavoro di compliance.
Inoltre, grazie ad Aptus.Search è possibile effettuare una ricerca avanzata sia interna che esterna ai testi normativi europei, per identificare immediatamente gli obblighi introdotti, le possibili sanzioni e tutte le informazioni utili per il recepimento delle normative UE.
Infine, per consultare i documenti legali sulla Cyber Security in modo ancora più intuitivo, rapido ed efficace, c’è Aptus.Chat, il servizio di Generative AI integrato in Aptus che permette di interrogare le norme tramite un’interfaccia conversazionale. Aptus.Chat sfrutta un’analisi normativa basata sui requisiti trasposti oggettivamente in formato digitale e segue la gerarchia ufficiale delle norme, configurandosi come la prima Generative AI affidabile e priva di allucinazioni per il settore legale.
Richiedi una demo
Compila il form per essere contattato dal nostro team.
Cliccando su “INVIA” dai il tuto consenso al trattamento dei tuoi dati come descritto nella nostra Privacy Policy.