CYBERSECURITY
La cybersicurezza è l’insieme di attività necessarie per proteggere le reti, i sistemi informativi, gli utenti di tali sistemi e le altre persone interessate dalle minacce informatiche. La cybersicurezza abbraccia pertanto le attività necessarie a garantire un elevato livello di sicurezza informatica. In un contesto di crescita esponenziale dei crimini informatici, ove l’Italia viene menzionata tra i Paesi più attaccati al mondo sul piano informatico, occorre prevenire gli attacchi ed essere in grado di gestirli, si parla in tal caso di resilienza dei sistemi informatici quando il sistema può gestire un incidente di sicurezza. Date le rilevanti criticità che il nostro Paese e l’Europa intera hanno riscontrato in questi anni, l’Unione europea ha approvato la Direttiva NIS 2 in modo che le pubbliche amministrazioni e le imprese europee siano pronte a gestire le nuove sfide in ambito di cybersicurezza europea e internazionale. In particolare, la Direttiva NIS 2 impone l’adozione di un Modello organizzativo e connesso processo di adeguamento che per semplicità può essere decritto con due macro-categorie di adempimenti, i nuovi obblighi relativi all’implementazione delle procedure per gestire la segnalazione tempestiva (entro 24 ore) di incidenti di sicurezza e l’adozione di un complesso di misure di sicurezza elevate e proporzionate al rischio specifico. Per accompagnare le pubbliche amministrazioni e le imprese nel complesso processo di adeguamento normativo il nostro studio legale è in grado di fornire una consulenza legale specialistica, grazie ad un approccio interdisciplinare tecnico e legale riusciamo a condurre l’organizzazione all’elevato livello di sicurezza richiesto dalla normativa, al contempo l’esperienza ventennale in ambito di protezione dei dati personali garantisce all’organizzazione il vantaggio di adottare modelli organizzativi integrati tra questi settori normativi.
DEVI ADOTTARE IL NUOVO MODELLO ORGANIZZATIVO DI GESTIONE IN AMBITO CYBERSECURITY?
Sotto un profilo pratico, preme evidenziare che, al fine di avviare la complessa attività di adeguamento al quadro normativo anche in materia di Cybersicurezza, le imprese e le pubbliche amministrazioni possono giovarsi almeno in parte del sistema di Gestione implementato sulla protezione dei dati personali nonché sistemi di gestione della sicurezza delle informazioni certificati ISO. Infatti, anche in tale contesto, la fase preliminare o iniziale non può prescindere da una valutazione dell’ambito organizzativo esistente, per esempio, ove siano già stati costituiti Uffici privacy, Gruppi di Lavoro Privacy ben strutturati e adeguati: si ritiene che tali strutture possano essere, in linea generale, di buon ausilio per l’implementazione del Modello di Gestione Organizzativo in ambito Cybersecurity. Prima di descrivere alcuni dei nuovi adempimenti e delle relative scadenze, finalizzate ad assicurare un elevato livello di sicurezza, giova ricordare che anche la continua ricerca di un’adeguata protezione dei dati è connessa con la continua ricerca di protezione delle reti e dei sistemi informativi disciplinata dal decreto legislativo del 4 settembre 2024 n. 138 emanato in recepimento delle Direttiva UE 2022/2555 (c.d. Direttiva NIS 2), decreto che individua l’Agenzia per la Cybersicurezza Nazionale (c.d. ACN) come Autorità nazionale competente in materia con specifici compiti anche di vigilanza e sanzionatori in ordine ai nuovi adempimenti previsti.
NUOVE SCADENZE E ROADMAP CYBERSECURITY PER IMPRESE E PUBBLICA AMMINISTRAZIONE
1) Dal 1 gennaio al 28 febbraio di ogni anno successivo alla data di entrata in vigore del presente decreto, i soggetti di cui all’articolo 3, si registrano o aggiornano la propria registrazione sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS» (Art. 7 del D.lgs. 138/2024). La ACN fornisce la possibilità di registrarsi alla piattaforma digitale a partire dal 1 dicembre 2024: https://www.acn.gov.it/portale/it/web/guest/nis/ambito-registrazione
2) 31 dicembre 2024, in via cautelativa, comunque entro e non oltre il 28 febbraio del 2025, ogni impresa e pubblica amministrazione dovrà effettuare una valutazione specifica sull’applicabilità della nuova normativa alla situazione attuale riscontrata (c.d. as ease) e una pianificazione del complesso percorso di adeguamento alla direttiva. La scadenza è anticipata al 17 gennaio per alcune tipologie di soggetti che operano nell’ambito dei servizi digitali come i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, vengono anche inclusi i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network.
3) 31 dicembre 2024, in via cautelativa, individuazione degli Organi di Amministrazione e Organi direttivi (c.d. Organi di Gestione) ai sensi dell’art. 23 del D.lgs. 138/2024 – valutando la formalizzazione con designazione dei compiti, delle responsabilità. Un Risk analysis o pre-assessment da condurre entro il 31 dicembre, in via cautelativa, dovrebbe fornire una valutazione che consenta di decidere se occorre REGISTRARSI O MENO SULLA PIATTAFORMA MESSA A DISPOSIZIONE DALL’ACN, ma dovrebbe ricomprendere necessariamente anche le indicazioni utili per individuare l’Organo di Gestione preposto agli adempimenti previsti dal Decreto.
4) Dal 15 aprile al 31 maggio comunicazione di aggiornamento delle informazioni.
SOGGETTI A CUI SI APPLICA LA DIRETTIVA NIS 2
La Direttiva NIS 2 si applica in via principale a soggetti pubblici e privati, tenuto in conto dei criteri dimensionali e delle criticità riferite al settore di attività svolta. In riferimento alle imprese rientrano tutti i soggetti secondo degli specifici criteri dimensionali che includono in primo luogo le grandi imprese, le quali superano i seguenti requisiti tra loro indipendenti (Raccomandazione 2003/361/CE): almeno 250 dipendenti (criterio dimensionale); fatturato di almeno 50 mln oppure bilancio annuale di almeno 43 mln (criterio dimensionale basato sul dato contabile). Pertanto, vi rientrano certamente le imprese con almeno 250 dipendenti o che hanno uno staff di almeno 50 dipendenti ma che superano i limiti indicati di fatturato o di bilancio annuale. Peraltro, vi rientrano anche le piccole imprese qualora i soggetti che superano i criteri dimensionali delle piccole imprese oltre 50 dipendenti e oltre 10 mln di fatturato o bilancio annuale, rientrino nell’elenco dei settori critici indicato negli allegati I e II del decreto di recepimento (p.e. Energia, Gas, Trasporto, Assistenza sanitaria, Servizi postali e di corriere, Gestione Rifiuti, Fabbricazione, produzione e distribuzione di sostanze chimiche Produzione, trasformazione e distribuzione di alimenti, Fabbricazione, Fornitori di servizi digitali, Ricerca)
Inoltre vi rientrano certamente i soggetti ritenuti essenziali in base all’art. 6 del d.lgs. 138 del 4 settembre 2024, indipendentemente delle dimensioni: i soggetti critici ai sensi della Direttiva UE 2022/2557, fornitori di reti di comunicazioni elettroniche e di comunicazione accessibile al pubblico, prestatori di servizi fiduciari qualificati, i gestori dei nomi a dominio di primo livello, le pubbliche amministrazioni centrali descritte nell’allegato III del decreto legislativo, tutti gli Operatori di Servizi Essenziali ai sensi del d.lgs. 65/2018.
In tale contesto vi è, più in generale, un panorama variegato di obblighi di misure di sicurezza e di procedure di gestione delle segnalazioni che prevedono sanzioni pecuniarie pari a un massimo di €. 10.000.000,00 ovvero al 2% del fatturato annuo su scala mondiale ma sono previsti anche provvedimenti amministrativi di sospensione o di divieto di svolgimento dell’attività. Mentre per le pubbliche amministrazioni l’importo della sanzione amministrativa pecuniaria irrogabile varia tra i 25 mila e 125 mila euro, ferme le possibili ulteriori responsabilità anche disciplinari a carico di funzioni dirigenziali.
Lo studio Di Resta Lawyers, consapevole dell’importanza e delle complesse sfide poste della sicurezza informatica, sicurezza delle reti e la protezione dei dati, svolge attività di consulenza e assistenza legale ad organizzazioni pubbliche e private, di ogni dimensione e tipo, in collaborazione con esperti in materia cybersecurity per far fronte ai rischi connessi all’utilizzo sicuro della rete e dei sistemi di informazione.
ELENCO DEI SERVIZI OFFERTI
- Analisi legale e tecnico-legale nell’ambito del quadro normativo sulla cybersicurezza o cybersecurity, adempimenti ed obblighi normativi, supporto legale sulla normativa di settore (Decreto legislativo 65/2018, direttiva 2016/1148/CE, c.d. NIS 1, abrogata a far dal 18 ottobre 2024 dalla Direttiva UE 2022/2555, c.d. NIS 2, il Regolamento UE 2016/881 c.d. Regolamento sulla cybersicurezza o Cybersecurity Act), redazione di security policy, procedure e linee guida per i soggetti interessati.
- Assistenza legale in caso di incidenti informatici e/o cybersicurezza.
- Assistenza legale Data Breach del Regolamento UE (GDPR) e normative connesse
- Assistenza legale connessa agli standard ISO27001
- Assistenza legale e tecnico-legale supportando il cliente per il complesso degli adempimenti previsti dalla Direttiva UE 2022/2555, c.d. NIS 2
- Progettazione ed erogazione di progetti formativi universitari e corsi di varia natura su cybersecurity awareness e formazione tecnico legale.
I Clienti, tramite il network di professionisti e partner tecnici dello Studio, potranno essere supportati in tutte le attività tecniche necessarie per garantire la conformità alla Direttiva NIS 2 e al decreto legislativo di recepimento dello stesso, inclusi, penetration test e Vulnerability Assessment, applicando metodologie e standard internazionali che garantiscono una solidità del Modello di Gestione implementato.
In tale contesto, lo Studio informa che ha di recente ampliato il proprio TEAM di professionisti tecnici con ingegneri specializzati, in particolare, il Prof. Ing. Claudio Cilli, Cybersecurity Advisor, oltre ad essere professore universitario vanta un’esperienza internazionale anche per Forze Armate ed enti governativi.
Area approfondimento
Guida operativa essenziale NIS 2 pubblicata sul sito dello studio: https://direstalawyers.eu/scarica-la-guida-sulla-nis2/.
Di Resta F., “La sicurezza nei Sistemi Informativa Sanitari”, curatore e autore dell’opera collettanea, con i contributi di illustri coautori tra cui Giovanni Manca, ex Dirigente del CNIPA, Edisef editore, 2010 https://www.ibs.it/sicurezza-nei-sistemi-informativi-sanitari-libro-barbara-ferraris-di-celle-fabio-di resta/e/9788865710036?inventoryId=54581291&queryId=a3a06e87f14201ea43aaa1abd2e85281.
“Misure minime di sicurezza: autocertificazione e altri adempimenti”, Avv. Fabio Di Resta Autore dell’e-book per i tipi editoriali di Altalex, collana di informatica giuridica, 2010.
Legge sul Cyberbullismo, il difficile percorso per tutelare tutti i minori, 07 Apr 2017 https://www.agendadigitale.eu/sicurezza/legge-sul-cyberbullismo-il-difficile-percorso-verso-la-tutela-di-tutti-i-minori/.
Stalking, atti persecutori, cyberbullismo e tutela dell’oblio (a cura di Giuseppe Cassano), Di Resta F., autore del Capitolo “I nuovi percorsi di tutela del minore nella legge sul cyberbullismo”, maggio 2017, WOLTERS KLUWER editore.
“Cybersecurity, protezione dei dati, privacy, Temi, nozioni, applicazioni”. Un approccio interdisciplinare, aa.vv., a cura di Elisabetta Zuanelli, ARACNE editrice, dicembre 2020, autore dei capitoli 2.12. e 2.13 del volume collettaneo.
Di Resta F., “Una nuova strategia e un dibattito sulla cybersecurity: gli insegnamenti del caso”, 2021.
Di Resta F. e Corradini I., “Cybersecurity, digital forensic e data protection”, Edizioni Themis, 2021 https://www.ibs.it/cybersecurity-digital-forensics-data-protection-libro-vari/e/9788896069448?inventoryId=344335051&queryId=a3a06e87f14201ea43aaa1abd2e85281.
“PNRR e cybersecurity, Fabio Di Resta: “Gli investimenti? Bene gli obiettivi, ma l’importante è investire subito”, Cybersecurity Italia, 18 giugno 2021, https://www.cybersecitalia.it/pnrr-e-cybersecurity-fabio-di-resta-gli-investimenti-bene-gli-obiettivi-ma-limportante-e-investire-subito/12253/.
“Data protection, cybersecurity, intelligenza artificiale. Aggiornato con l’analisi della nuova normativa sul whistleblowing”, curato da Fabio Di Resta, Duepuntozero editrice, luglio 2024.