REGISTRO
SOCI

numero verde gratuito

800 561720
ITA|ENG
ITA | ENG

Italia: Pubblicato in Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024, n. 138, per il Recepimento della Direttiva UE sulla Cibersicurezza

Articolo header

A cura di Dany Elie Aronovitch – Comitato Scientifico Cybersecurity ASSODPO

Il 1 ottobre 2024, con la pubblicazione nella Gazzetta Ufficiale Serie Generale n. 230, è entrato ufficialmente in vigore il Decreto Legislativo 4 settembre 2024, n. 138, recante il recepimento della Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio, del 14 dicembre 2022, la c.d. NIS2, che introduce misure volte a garantire un livello comune elevato di sicurezza informatica nell’Unione Europea.

Il Decreto apporta importanti modifiche al quadro normativo nazionale ed integra il sistema di difesa nazionale contro le minacce informatiche, stabilendo nuovi obblighi e responsabilità per enti pubblici e privati.

L’Italia si allinea così ai requisiti europei in materia di cibersicurezza, definendo misure che contribuiscono a rafforzare la resilienza delle infrastrutture digitali e la protezione dei dati, in linea con il regolamento (UE) n. 910/2014 sulla identificazione elettronica e i servizi fiduciari per le transazioni elettroniche, e con la direttiva (UE) 2018/1972 relativa al quadro normativo per le comunicazioni elettroniche. Questo decreto abroga altresì la precedente direttiva (UE) 2016/1148, la cosiddetta Direttiva NIS, ritenuta ormai superata rispetto all’evoluzione delle minacce e della tecnologia.



Contesto Normativo e Obiettivi del Decreto Legislativo n. 138/2024

Il Decreto Legislativo n. 138/2024 rappresenta un passo significativo nel percorso di attuazione della Strategia Nazionale di Cibersicurezza, avviata con il Decreto Legge 14 giugno 2021, n. 82, convertito con modificazioni dalla Legge 4 agosto 2021, n. 109.

Questo intervento normativo mira a rafforzare la capacità dell’Italia di prevenire, affrontare e mitigare le conseguenze di incidenti informatici che potrebbero compromettere la sicurezza nazionale e quella dell’intera Unione Europea.

Il decreto Legge 14 giugno 2021, n. 82 stabilisce una serie di misure specifiche per:

  • Definire una governance chiara della sicurezza informatica: Si prevede l’istituzione di un quadro normativo coordinato che coinvolge l’Agenzia per la cybersicurezza nazionale (ACN) e altre autorità di settore.
  • Promuovere una cultura della cibersicurezza tra soggetti pubblici e privati, con particolare attenzione alla resilienza delle micro, piccole e medie imprese.
  • Creare meccanismi di gestione delle crisi informatiche che garantiscano la continuità operativa dei servizi essenziali in caso di incidenti di sicurezza su vasta scala.

Il testo normativo non solo recepisce i principi della Direttiva (UE) 2022/2555, ma introduce anche misure innovative e contestualizzate alla realtà italiana, definendo un quadro integrato per la sicurezza informatica e assegnando nuovi compiti e responsabilità a enti nazionali.



Le Fasi di Elaborazione del Decreto

Il processo che ha portato all’adozione del Decreto Legislativo n. 138/2024 è il risultato di un percorso complesso che ha coinvolto diversi attori istituzionali, a partire dalla legge di delegazione europea e dai successivi pareri espressi dalle commissioni competenti.

  • 21 febbraio 2024: Pubblicazione della Legge 21 febbraio 2024, n. 15, la Legge di delegazione europea 2022-2023, che conferisce al Governo la delega per il recepimento delle direttive europee, tra cui la Direttiva (UE) 2022/2555.
  • 10 giugno 2024: Deliberazione preliminare del Consiglio dei ministri sull’adozione del decreto legislativo di recepimento.
  • 11 luglio 2024: Parere favorevole della Conferenza Unificata, come previsto dall’articolo 8 del Decreto Legislativo 28 agosto 1997, n. 281.
  • 7 agosto 2024: Approvazione definitiva del testo da parte del Consiglio dei ministri.
  • 4 settembre 2024: Firma del Decreto Legislativo da parte del Presidente della Repubblica.
  • 1 ottobre 2024: Pubblicazione nella Gazzetta Ufficiale e ufficiale entrata in vigore del Decreto.

Questo percorso evidenzia l’impegno delle istituzioni italiane nell’assicurare un recepimento tempestivo ed efficace delle normative europee in materia di sicurezza informatica, in un momento in cui le minacce cyber rappresentano una delle principali sfide alla sicurezza nazionale ed europea.



Punti Salienti del Decreto Legislativo n. 138/2024 

Il Decreto Legislativo si articola in diversi capi ed articoli, ognuno dei quali contribuisce a delineare un quadro completo e coerente di misure per la cibersicurezza:

  • Capo I - Disposizioni Generali
    1. Articolo 1: Oggetto del Decreto - Stabilisce le misure per garantire un livello elevato di sicurezza informatica a livello nazionale e nell’Unione Europea, con l’obiettivo di migliorare il funzionamento del mercato interno.
    2. Articolo 2: Definizioni - Introduce definizioni chiave come incidente, minaccia informatica, autorità nazionale competente NIS e gestione degli incidenti.
  • Capo II - Quadro Nazionale di Sicurezza Informatica
    1. Articolo 9: Strategia Nazionale di Cybersicurezza - La Strategia Nazionale di Cybersicurezza, prevista già dal Decreto-Legge 14 giugno 2021, n. 82, viene ulteriormente rafforzata. Tra gli obiettivi principali vi sono:
      • Migliorare la capacità di prevenzione e risposta agli incidenti.
      • Promuovere la consapevolezza sulla sicurezza informatica tra i cittadini.
      • Potenziare le infrastrutture critiche attraverso misure specifiche di protezione.
    2. Articolo 10: Agenzia per la Cybersicurezza Nazionale (ACN) - Viene confermata come l’autorità nazionale competente NIS (Network and Information Security) e Punto di contatto unico per l’Italia in materia di cibersicurezza, con la responsabilità di coordinare le attività a livello nazionale ed europeo.
  • Capo III - Gestione delle Crisi Informatiche
    1. Articolo 15: Misure di Gestione delle Crisi - Il decreto prevede l’istituzione di un sistema di gestione delle crisi informatiche, con un focus particolare sugli incidenti di sicurezza su vasta scala. Le crisi sono gestite attraverso un approccio coordinato che coinvolge più soggetti, incluse le autorità competenti nei settori critici.
  • Capo IV - Obblighi per i Soggetti Essenziali e Importanti
    1. Articolo 18: Obblighi di Sicurezza - I soggetti identificati come essenziali (allegato I del decreto) devono rispettare specifici obblighi di gestione del rischio e segnalare eventuali incidenti entro termini stabiliti. Gli obblighi includono l’adozione di misure tecniche e organizzative per garantire la sicurezza delle reti e dei sistemi informativi.
    2. Articolo 22: Sanzioni e Misure Correttive - Prevede sanzioni amministrative e pecuniarie per i soggetti che non rispettano le misure previste dal decreto, in linea con il Regolamento (UE) 2019/881.



Impatto sul Settore Pubblico, Privato e sulla Supply Chain

Il Decreto Legislativo n. 138/2024 avrà un impatto significativo su una vasta gamma di settori pubblici e privati, con l’obiettivo di rafforzare la sicurezza informatica e la resilienza delle infrastrutture digitali. In particolare, il decreto introduce obblighi stringenti per i cosiddetti soggetti essenziali e soggetti importanti, specificati negli allegati del testo normativo. Questi includono enti pubblici, grandi aziende del settore privato e operatori di infrastrutture critiche che forniscono servizi essenziali per la società e l’economia (es. energia, trasporti, telecomunicazioni, sanità).

 


Settore Pubblico

Le pubbliche amministrazioni centrali, così come altre istituzioni ritenute critiche per la sicurezza nazionale, sono tra i principali destinatari del decreto. Il provvedimento introduce specifici obblighi in materia di gestione del rischio informatico, che devono essere adottati indipendentemente dalla dimensione dell’ente:

  • L’implementazione di misure di gestione del rischio per la sicurezza informatica.
  • La designazione di responsabili per la sicurezza cibernetica all’interno delle singole organizzazioni.
  • L’obbligo di segnalare tempestivamente qualsiasi incidente di sicurezza che possa compromettere la fornitura di servizi pubblici essenziali.

Tali disposizioni mirano a garantire che le amministrazioni pubbliche siano preparate a fronteggiare attacchi cibernetici e a preservare la continuità operativa dei servizi offerti alla cittadinanza.



Settore Privato

Per le aziende private, soprattutto quelle che rientrano nella categoria di soggetti essenziali e importanti, il decreto comporta l’adozione di misure di sicurezza avanzate e un monitoraggio costante delle vulnerabilità. Tra le aziende coinvolte vi sono:

  • Fornitori di servizi digitali, inclusi provider di cloud, servizi di data center, e gestori di piattaforme di comunicazione.
  • Operatori finanziari e di telecomunicazioni, per i quali è previsto un rafforzamento dei controlli e una collaborazione più stretta con l’ACN.

Le imprese devono altresì garantire una gestione rigorosa della propria catena di approvvigionamento (supply chain), attraverso procedure di verifica e audit sui fornitori. Ciò si traduce in un obbligo per le aziende di valutare i rischi derivanti da terze parti e di adottare misure specifiche per prevenire attacchi alla supply chain, ossia tentativi di compromissione che sfruttano le vulnerabilità di fornitori esterni.



Impatto sulla Supply Chain

Uno degli elementi più innovativi del decreto è proprio l’enfasi sulla gestione dei rischi legati alla supply chain. La normativa prevede che i soggetti essenziali e importanti sviluppino un sistema di gestione del rischio che comprenda anche i fornitori, al fine di evitare l’introduzione di vulnerabilità che possano essere sfruttate da attaccanti per infiltrarsi nelle infrastrutture critiche. Questo include:

  • Identificazione dei fornitori critici: Le aziende devono mappare l’intera catena di fornitura, individuando i partner più sensibili dal punto di vista della sicurezza.
  • Obblighi di sicurezza contrattuale: I soggetti essenziali devono inserire nei contratti con i fornitori specifiche clausole di sicurezza, incluse misure di gestione dei rischi e obblighi di notifica in caso di incidenti.

Questo approccio intende prevenire tali rischi adottando misure che rafforzino la sicurezza dell’intero ecosistema produttivo, non limitandosi ai soli soggetti essenziali ed è particolarmente rilevante alla luce dei recenti attacchi alla supply chain (vedi SolarWinds, Kaseya, etc.), che hanno dimostrato come una violazione a livello della filiera possa rapidamente estendersi a livello nazionale o internazionale.



L’Agenzia per la Cybersicurezza Nazionale: l’Autorità Competente

Il Decreto Legislativo n. 138/2024 stabilisce, nell’articolo 10, che l’Agenzia per la Cybersicurezza Nazionale (ACN) sarà l’Autorità nazionale competente in ambito NIS (Network and Information Security) ed alla quale vengono assegnate le responsabilità di sovrintendere all’attuazione e la gestione delle nuove misure di cibersicurezza in ambito nazionale nonché essere il punto di contatto unico per l’Italia.

L’ACN, dunque fungerà da punto di riferimento centrale per tutte le attività di gestione e prevenzione degli incidenti informatici lavorando con le altre autorità nazionali competenti e con il CSIRT Italia (Computer Security Incident Response Team), l’organo operativo preposto alla gestione degli incidenti su vasta scala. L’ACN sarà responsabile, inoltre, per la definizione e l’aggiornamento della Strategia Nazionale di Cybersicurezza e per il coordinamento con il Presidente del Consiglio dei Ministri e il Comitato Interministeriale per la Cybersicurezza (CIC). Coordinerà, infine, le risposte a eventi di crisi informatica che possono coinvolgere infrastrutture critiche o avere impatti significativi sulla sicurezza nazionale. A tal fine, collabora con il Nucleo per la Cybersicurezza, struttura interministeriale già istituita dal Decreto-Legge 14 giugno 2021, n. 82.

L’ACN è anche incaricata di garantire il coordinamento con le altre autorità NIS degli Stati membri dell’UE, favorendo il flusso di informazioni e la cooperazione nell’ambito del Gruppo di Cooperazione NIS e della Rete di CSIRT Europei. Inoltre, partecipa a iniziative come la Rete delle Organizzazioni di Collegamento per le Crisi Informatiche (EU-CyCLONe), un organismo europeo volto a sostenere la gestione coordinata degli incidenti di sicurezza su vasta scala.



Prossimi passi

Il Decreto Legislativo n. 138/2024 prevede una serie di scadenze e appuntamenti cruciali per l’implementazione delle disposizioni previste:

  • 18 ottobre 2024: È la data di entrata in vigore ufficiale del decreto. Da questa data, le disposizioni generali del decreto si applicano a tutti i soggetti pubblici e privati coinvolti.
  • 1 gennaio - 28 febbraio di ogni anno: I soggetti identificati come essenziali devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale designata dall’Agenzia per la cybersicurezza nazionale.
  • 31 marzo: L’Autorità nazionale redige l’elenco annuale dei soggetti essenziali e importanti, comunicando i criteri di identificazione utilizzati e le relative categorizzazioni.
  • 15 aprile - 31 maggio: I soggetti essenziali devono aggiornare tutte le informazioni rilevanti per la gestione della sicurezza e la prevenzione degli incidenti, includendo l’elenco dettagliato dei fornitori critici e delle misure adottate per la gestione della sicurezza della supply chain.
  • Entro 30 giorni dalla data di entrata in vigore (17 novembre 2024): Il Presidente del Consiglio dei Ministri deve adottare i primi decreti attuativi previsti dall’Articolo 7, relativi alle modalità di coordinamento tra le varie autorità competenti e all’organizzazione interna dell’Agenzia per la cybersicurezza nazionale.
  • Entro 6 mesi dalla data di entrata in vigore (18 aprile 2025): Il Presidente del Consiglio adotta ulteriori decreti attuativi, inclusi quelli relativi alla caratterizzazione e categorizzazione delle attività e dei servizi critici, nonché la determinazione delle sanzioni amministrative applicabili.
  • 17 gennaio 2025: Termine entro il quale i fornitori di servizi essenziali (come i gestori di cloud, provider di data center, fornitori di reti di distribuzione dei contenuti e piattaforme di social network) devono registrarsi sulla piattaforma digitale designata dall’Agenzia per la cybersicurezza nazionale .
  • 31 dicembre 2025: Scadenza entro cui il Tavolo per l’attuazione della disciplina NIS deve riunirsi almeno una volta ogni sessanta giorni, per garantire il corretto avvio e monitoraggio del processo di implementazione.
  • Ogni 3 anni: I decreti del Presidente del Consiglio dei Ministri saranno aggiornati periodicamente e comunque ogni tre anni, per tenere conto delle evoluzioni tecnologiche e dei nuovi rischi identificati.
  • Ogni 2 anni: Le determinazioni dell’Agenzia per la cybersicurezza nazionale relative agli obblighi di sicurezza e ai criteri per la gestione dei rischi saranno riviste ogni due anni per garantire che rimangano allineate alle best practice internazionali e ai requisiti dell’Unione Europea.


Con l’entrata in vigore del Decreto Legislativo n. 138/2024, non si chiude un ciclo, ma, al contrario, se ne apre uno nuovo e di fondamentale importanza per la sicurezza nazionale e la resilienza digitale del Paese. Questo provvedimento non rappresenta semplicemente l’adempimento formale agli obblighi europei, bensì segna l’inizio di un percorso strutturato e articolato, destinato a ridefinire il modo in cui il settore pubblico e privato collaborano per affrontare le sfide della cibersicurezza. Le nuove disposizioni pongono le basi per una gestione integrata della sicurezza, coinvolgendo non solo le istituzioni, ma anche gli attori del settore produttivo, fino alla gestione della complessa rete di fornitori esterni.

L’Agenzia per la Cybersicurezza Nazionale (ACN) avrà un ruolo centrale nel coordinare questa trasformazione, non limitandosi alla supervisione degli obblighi di legge, ma agendo come motore propulsivo per una maggiore consapevolezza e maturità cyber a livello nazionale. Gli obblighi di registrazione, le procedure di monitoraggio continuo e le misure di gestione del rischio in ambito supply chain sono solo il primo passo verso un ecosistema di sicurezza digitale più forte, capace di adattarsi alle evoluzioni tecnologiche e ai cambiamenti delle minacce.

Rimane ora la sfida dell’attuazione pratica delle misure previste, che richiederà un impegno coordinato tra pubblico e privato per garantire un livello di sicurezza informatica all’altezza delle crescenti minacce globali.

In questo contesto, il successo del decreto dipenderà non solo dalla sua implementazione normativa, ma anche dall’impegno congiunto di tutti i soggetti coinvolti. È un percorso che richiederà continui aggiornamenti, una collaborazione senza precedenti e una visione di lungo periodo, con l’obiettivo di costruire un’infrastruttura nazionale resiliente e pronta a resistere alle sfide cibernetiche del futuro. Pertanto, con questa normativa, l’Italia avvia un processo di crescita e consolidamento della propria sicurezza digitale, ponendo le fondamenta per un ambiente tecnologico sicuro e affidabile, a beneficio di cittadini, istituzioni e imprese.

Altre news