Cybersecurity: il ruolo strategico dell’ACN per attuare la NIS2

Il decreto legislativo 138/2024, di attuazione in Italia della direttiva UE 2022/2055 (NIS2), assegna all’Agenzia per la Cybersicurezza Nazionale (ACN) un ruolo centrale e strategico. Non solo perché viene confermata quale autorità competente per la NIS2, ma anche perché le viene affidato un ruolo di “catalizzatore” della cybersecurity, di supporto degli operatori, nonché propulsivo per l’individuazione di ulteriori soggetti cui applicare la normativa medesima (nell’ambito delle facoltà concesse agli Stati membri dalla NIS2 esercitate dall’Italia in sede di implementazione).

Il medesimo principio si ritrova, con maggiore estensione ed efficacia, anche in relazione alla legge 90/2024 che, come noto, ha “anticipato”, soprattutto per le PA locali, parte della disciplina della NIS2. Anche qui l’ACN svolge una funzione chiave sia in termini di emanazione della normativa secondaria, che come “guida” alle imprese destinatarie.

Designazione delle Autorità e Direttiva NIS2

La designazione delle autorità competenti e le facoltà concesse agli Stati membri nella direttiva NIS2

La NIS2, come noto, richiedeva, fra l’altro, agli Stati membri di designare:

• una o più autorità competenti responsabili de:
  • la cibersicurezza,
  • i compiti di vigilanza di cui alla direttiva, nonché
  • il controllo dell’attuazione della stessa;
• un punto di contatto (art. 8), nonché una o più autorità competenti responsabili della gestione degli incidenti e delle crisi su vasta scala (art. 9).

Inoltre, l’art. 31 della NIS2 prescrive che le autorità competenti di ogni Stato membro:

• monitorino efficacemente e adottino le misure necessarie a garantire il rispetto della direttiva;
• nei casi di incidenti che comportano violazioni di dati personali, operino in stretta cooperazione con le autorità di controllo di cui alla protezione dei dati personali (GDPR), senza pregiudicare la competenza e i compiti di tali autorità.

Facoltà concesse agli Stati membri

La NIS2 conteneva, altresì, una serie di facoltà esercitabili dagli Stati membri quanto all’ambito di applicazione della normativa, fra cui:

• l’estensione a:
  • PA locali e
  • istituti che svolgono attività di ricerca (art. 2, para. 5, NIS2);
• l’identificazione di altri soggetti “essenziali” ai fini della normativa di cui all’Allegato I o II ex art. 2, para. 2, lett. b)-e) della NIS2 (art. 3, para. 1, lett. e) NIS2);
• l’estensione ai soggetti già identificati come operatori di servizi essenziali ai sensi della direttiva UE 2016/1148 (NIS1) o del diritto nazionale (per l’Italia, il Perimetro per la sicurezza nazionale cibernetica) (art. 3, para. 1, lett. g) NIS2).

Il decreto legislativo 138/2024

Il dlgs. 138/2024 all’art. 2, paragrafo 2, conferma e/o designa l’ACN quale:

• autorità nazionale competente NIS2, disciplinandone i poteri inerenti l’implementazione e l’attuazione del decreto attuativo;
• punto di contatto unico NIS2, assicurando il raccordo nazionale e transfrontaliero;
• parte del gruppo di intervento nazionale per la sicurezza informatica in caso di incidente in ambito nazionale (CSIRT Italia);
• autorità nazionale di gestione delle crisi informatiche su vasta scala, con funzioni di coordinatore (ex art. 9, para. 2, della NIS2), unitamente al Ministero della difesa (fermi restando i compiti del Nucleo per la cybersicurezza di cui all’art. 9 del DL 14 giugno 2021, n. 82).

In particolare, l’art. 10 del dlgs. 138/2024 prevede che l’ACN, quale autorità nazionale competente:

• sovrintende all’implementazione e all’attuazione del dlgs. 138/2024;
• predispone i decreti necessari a darvi attuazione;
• svolge le funzioni di regolamentazione ivi previste, anche indicando linee guida, raccomandazioni e orientamenti non vincolanti;
• individua i soggetti “essenziali” e i soggetti “importanti” e redige il relativo elenco;
• partecipa al Gruppo di cooperazione NIS2 anche a livello europeo:
• definisce gli obblighi inerenti:
  • l’iscrizione alla piattaforma nazionale e le modalità di designazione dei rappresentanti (in proposito si veda la determina dell’ACN n. 38565 del 1° dicembre scorso), nonché
  • la gestione del rischio in materia di sicurezza informatica e la notifica degli incidenti, e
• svolge le attività ed esercita i poteri di monitoraggio, vigilanza ed esecuzione di cui al decreto attuativo.

Si noti, come già anticipato in precedenza da chi scrive, che l’ACN svolge le proprie funzioni in base ai principi di “sinergia, collaborazione e condivisione” con le imprese destinatarie della normativa per creare un ecosistema digitale sicuro, pur restando l’Autorità deputata ad irrogare le sanzioni pecuniarie amministrative (anche di notevole entità).

Approccio collaborativo

In particolare, pare di cogliere un orientamento dell’ACN per lo svolgimento di un ruolo “educativo” e di “sensibilizzazione“ del pubblico, in modo che le imprese e la PA destinatarie adottino comportamenti virtuosi di “igiene informatica” in modo diffuso, con la convinzione che si tratti, prima di tutto, di norme di protezione e di convivenza civile responsabile, oltre che di norme giuridiche. Ciò a differenza di altre autorità di settore che in passato hanno inizialmente affermato la propria “ragion d’essere” con l’irrogazione di rigorose sanzioni amministrative pecuniarie.

Inoltre, sempre nell’ambito del dlgs. 138/2024 l’ACN è chiamata a dare un contributo determinante nell’ulteriore individuazione dei destinatari della NIS2. Ad esempio, in relazione all’Allegato III al dlgs. 138/2024 (che contiene l’elenco delle PA, centrali e non, individuate dallo Stato italiano) e all’Allegato IV (che individua le ulteriori tipologie di destinatari, quali i soggetti che forniscono servizi di trasporto pubblico locale, gli istituti di istruzione che svolgono attività di ricerca, i soggetti che svolgono attività di interesse culturale e società in house, le società partecipate e società a controllo pubblico come definite nel dlgs.175/2016), l’ACN può:

• proporre di individuare ulteriori categorie di PA a cui applicare la normativa (da recepire in un DPCM ex art. 40, comma 2) ad integrazione dell’elenco di categorie dell’Allegato III (art. 3, comma 7, dlgs. 138/2024);

• individuare, su proposta delle autorità di settore, indipendentemente dalla loro dimensione, i soggetti delle tipologie di cui all’Allegato IV (art. 3, comma 8, dlgs. 138/2024);

• individuare, su proposta delle autorità di settore, indipendentemente dalla loro dimensione, i soggetti delle tipologie di cui a tutti gli Allegati al dlgs. 138/2024 qualora:

a) il soggetto sia identificato prima della data di entrata in vigore del decreto attuativo come operatore di servizi essenziali ai sensi del decreto legislativo 18 maggio 2018, n. 65;

b) il soggetto sia l’unico fornitore nazionale di un servizio che è essenziale per il mantenimento di attività sociali o economiche fondamentali;

c) una perturbazione del servizio fornito dal soggetto potrebbe avere un impatto significativo sulla sicurezza pubblica, l’incolumità pubblica o la salute pubblica;

d) una perturbazione del servizio fornito dal soggetto potrebbe comportare un rischio sistemico significativo, in particolare per i settori nei quali tale perturbazione potrebbe avere un impatto transfrontaliero;

e) il soggetto sia critico in ragione della sua particolare importanza a livello nazionale o regionale per quel particolare settore o tipo di servizio o per altri settori indipendenti nel territorio dello Stato;

f) il soggetto sia considerato critico ai sensi del decreto quale elemento sistemico della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti. (art. 3, comma 9, dlgs. 138/2024).

Ruolo propositivo dell’ACN

Ulteriori facoltà concesse all’Italia dalla NIS2 vengono attuate in base all’art. 40 del dlgs.138/2024 con il ruolo propositivo fondamentale dell’ACN.

Infatti: su proposta dell’ACN (sentito il Tavolo per l’attuazione della disciplina NIS di cui all’art. 12 e previo parere del Comitato interministeriale per la cybersicurezza), con DPCM sono:

• definiti i criteri per l’applicazione della clausola di salvaguardia di cui all’art. 3, comma 4;
• stabiliti i criteri, le procedure e le modalità di vigilanza ed esecuzione del decreto da parte dell’ACN (art. 34, comma 10);
• individuate le modalità di applicazione, nell’ambito del procedimento sanzionatorio, degli strumenti deflattivi del contenzioso di cui all’art. 38, comma 15;

Con determina dell’ACN (sentito il Tavolo per l’attuazione della disciplina NIS):

• può essere imposto l’utilizzo di prodotti TIC, servizi TIC e processi TIC certificati di cui all’art. 27, definendo i relativi termini, criteri e modalità;
• sono stabiliti obblighi proporzionati e graduali, a valenza multisettoriale e, ove opportuno, settoriale, di cui all’art. 31, le modalità di applicazione dei medesimi obblighi per i soggetti che svolgono attività in più settori o sottosettori e per i soggetti di cui all’art. 32, commi 1 e 2;
• sono stabiliti i criteri per la determinazione dell’importo delle sanzioni ai sensi dell’art. 38, comma 2.

ACN come guida della transizione digitale

Come si evince dalle norme del dlgs. 138/2024 passate in rassegna è evidente che l’ACN svolgerà le proprie funzioni svolgendo un ruolo centrale per la sicurezza del Paese, delle persone e dei soggetti destinatari della normativa. In particolare, fungendo da “guida” e supporto per consentire a tutti, soprattutto alla PA, quella transizione digitale che è inevitabile ed è in corso. In questo ambito, l’Italia si pone all’avanguardia, anche rispetto agli altri Stati membri che sono per la maggior parte in ritardo nel recepimento della NIS2.