La cybersecurity è diventata una priorità assoluta per le istituzioni europee e nazionali, in un contesto di crescente digitalizzazione e interconnessione dei sistemi informativi. In questo scenario si inserisce la Direttiva NIS2, che mira a innalzare il livello di sicurezza informatica nell’Unione Europea, sostituendo e ampliando la precedente Direttiva NIS del 2016. L’Italia, a sua volta, si appresta a recepire la NIS2 attraverso un decreto legislativo, approvato dal Consiglio dei Ministri il 10 giugno scorso, il cui testo delinea un quadro normativo articolato che avrà un impatto significativo anche sulla Pubblica Amministrazione.
Il decreto legislativo di recepimento della NIS2 prevede alcune scadenze chiave per l’adeguamento dei soggetti coinvolti, inclusa la PA:
- entro il 17 gennaio 2025: registrazione sulla piattaforma digitale dell’Autorità nazionale competente NIS per determinati fornitori di servizi digitali;
- fino al 31 dicembre 2025: riunioni frequenti (almeno ogni 60 giorni) del Tavolo per l’attuazione della disciplina NIS;
- entro 9 mesi dalla notifica di inclusione nell’ambito di applicazione: adempimento degli obblighi relativi alle misure di sicurezza;
- entro 18 mesi dalla notifica: adempimento degli obblighi di notifica degli incidenti e di altre disposizioni;
- dal 1° gennaio 2026: entrata in vigore dell’obbligo di notifica degli incidenti significativi;
- la pubblicazione di DPCM e di determinazioni dell’ACN per completare la disciplina previsto dal decreto di attuazione.
Queste tempistiche evidenziano come la PA abbia un periodo di transizione per adeguarsi, ma al contempo sottolineano l’urgenza di avviare quanto prima i processi di adeguamento.
I soggetti della PA che rientrano nell’ambito di applicazione del decreto saranno quindi responsabili, previa un’analisi multi-rischio da svolgere, di implementare misure di sicurezza adeguate, notificare gli incidenti significativi e collaborare con l’ACN nelle attività di monitoraggio e verifica, nonché di adempiere a dei precisi obblighi formativi in capo agli organi di amministrazione e agli organi direttivi. ACN, invero, può stabilire obblighi specifici, proporzionati e graduali per i soggetti essenziali e importanti che forniscono servizi alla pubblica amministrazione, così come può anche esentare alcune PA, come quelle locali, da alcuni obblighi previsti dalla normativa. Questo approccio differenziato tiene conto delle diverse realtà e criticità presenti nel panorama della P. nonché delle specificità di ciascun ente.
Le sfide che deve affrontare la PA per adeguarsi ai requisiti previsti dalla NIS2 sono invero molteplici e includono in modo schematico: l’adeguamento tecnologico (molte amministrazioni potrebbero dover aggiornare significativamente le proprie infrastrutture IT per soddisfare i nuovi standard di sicurezza); la formazione del personale (sarà necessario un importante investimento nella formazione e sensibilizzazione dei dipendenti sui temi della cybersicurezza); la gestione degli incidenti: (l’obbligo di notifica degli incidenti significativi richiederà la creazione o il potenziamento di procedure e strutture dedicate – e questo anche alla luce di quanto previsto dalla recentissima Legge 28 giugno 2024 n. 90 in materia di rafforzamento della cybersicurezza nazionale e di reati informatici); la compliance normativa (l’adeguamento alle nuove norme richiederà un notevole sforzo organizzativo); il coordinamento inter-istituzionale (la necessità di collaborare strettamente con l’ACN e altri enti potrebbe richiedere nuovi meccanismi di coordinamento); le tempistiche stringenti (le scadenze sopra indicate previste dal decreto potrebbero risultare impegnative, soprattutto per le amministrazioni più piccole o meno digitalizzate); la gestione dei fornitori (la PA dovrà implementare processi più rigorosi per la selezione e il monitoraggio dei fornitori di servizi IT, assicurandosi che rispettino gli standard di sicurezza richiesti); la continuità operativa (garantire la resilienza dei sistemi e la continuità dei servizi essenziali in caso di attacchi cyber richiederà lo sviluppo di piani di emergenza e di ripristino efficaci).
A tutto ciò si accompagna il relativo impatto economico-finanziario per la PA. L’adeguamento ai requisiti della Direttiva NIS2 comporterà inevitabilmente costi significativi, che potrebbero essere una sfida per molte amministrazioni con budget limitati. Allo stesso tempo, è importante sottolineare che, sebbene questi costi possano sembrare onerosi nel breve termine, rappresentano un investimento necessario per la sicurezza e l’efficienza a lungo termine della PA. Inoltre, l’adozione di misure di sicurezza più robuste potrebbe portare a risparmi futuri, riducendo il rischio e l’impatto di potenziali incidenti informatici.
Si deve, infine, fare anche un breve cenno al tema delle sanzioni. In linea generale, il sistema delle sanzioni amministrative per le violazioni degli obblighi prevede una proporzionalità nella loro applicazione, sulla base di criteri quali la gravità della violazione, la sua durata, eventuali precedenti, i danni causati e il livello di collaborazione con l’autorità. Sono inoltre previste forme di responsabilità erariale per i dirigenti pubblici in caso di gravi inadempienze. Infine, ACN è l’autorità indipendente deputata a vigilare sul rispetto della normativa da parte delle PA.
In conclusione, l’implementazione della Direttiva NIS2 rappresenta una sfida significativa ma anche un’opportunità importante per la nostra PA di modernizzare e rafforzare ulteriormente la propria sicurezza informatica. Le amministrazioni dovranno considerare la cybersecurity non come un mero adempimento normativo, ma come un fattore abilitante per la trasformazione digitale e per l’erogazione di servizi pubblici sicuri ed efficienti. Investire in tecnologie, competenze e processi di sicurezza informatica diventerà sempre più una priorità strategica per la PA, in un contesto di minacce cyber in continua evoluzione. La sfida più grande sarà probabilmente quella culturale: diffondere una vera cultura della sicurezza informatica a tutti i livelli della Pubblica Amministrazione, dalla dirigenza agli operatori di front-line. Nonostante le difficoltà e i costi iniziali, questo processo di adeguamento potrebbe fungere da catalizzatore per una più ampia trasformazione digitale del settore pubblico, portando a una maggiore efficienza, resilienza e fiducia dei cittadini nei servizi digitali della PA. Per affrontare con successo questa transizione, sarà fondamentale un approccio coordinato e collaborativo tra tutti i livelli della PA, l’ACN e gli altri stakeholder coinvolti. Solo attraverso uno sforzo congiunto e un impegno costante sarà possibile realizzare pienamente gli obiettivi della Direttiva NIS2, contribuendo a creare un ecosistema digitale più sicuro e affidabile per tutti i cittadini e le imprese italiane.
Chi è 42 Law Firm
42 Law Firm è uno studio legale fondato a Milano nel 2020 con un focus principale sul diritto delle nuove tecnologie. Le attività spaziano da tematiche più consolidate come complicance e 231, diritto d’autore e la proprietà intellettuale, a temi in pieno sviluppo ed evoluzione come blockchain, digital transformation, cybersecurity, tutela della reputazione online e Cloud computing. Alla consulenza legale affianca lo sviluppo di soluzioni legaltech.