![Frankenstein: un nuovo sguardo a Oscar Isaac nei panni del dottore nel film di Del Toro [FOTO]](https://www.lascimmiapensa.com/wp-content/uploads/2025/04/image-305.png)
Sicurezza dei dati, una valanga di adempimenti e documenti
La cybersicurezza a tinte Ue, confezionata dalla direttiva “Nis 2”, riscrive i contratti di fornitura (obbligando i fornitori a distribuire servizi e prodotti a prova di hacker e malware), impone la stesura di numerosi e corposi documenti interni (se ne contano almeno 52), obbliga a seguire corsi di formazione sui rischi informatici tutti gli appartenenti […] L'articolo Sicurezza dei dati, una valanga di adempimenti e documenti proviene da Iusletter.
La cybersicurezza a tinte Ue, confezionata dalla direttiva “Nis 2”, riscrive i contratti di fornitura (obbligando i fornitori a distribuire servizi e prodotti a prova di hacker e malware), impone la stesura di numerosi e corposi documenti interni (se ne contano almeno 52), obbliga a seguire corsi di formazione sui rischi informatici tutti gli appartenenti alle organizzazioni incluse nell’ambito di applicazione della normativa (nessuno escluso, compresi gli amministratori e i dirigenti) e, conseguentemente, sollecita spese e investimenti per alzare gli scudi protettivi.
Sono questi i tratti salienti della determinazione del direttore generale dell’Agenzia per la cybersicurezza nazionale (Acn) n. 164179 del 14 aprile 2025, che ha stabilito le modalità e le specifiche di base per l’adempimento agli obblighi previsti dal dlgs 138/2024, attuativo della direttiva Ue 2022/2555 (“Nis 2”), in materia di gestione dei rischi per la sicurezza informatica (più brevemente “misure di sicurezza di base”) e in materia di notifica di incidenti informatici.
Chi è obbligato. Gli obblighi riguardano tutti gli enti privati e pubblici compresi nelle categorie elencate dal citato decreto legislativo 138/2024, che ha distinto i soggetti “Nis” in base alla dimensione e al settore di appartenenza (tra cui energia, trasporti, finanza, acqua, sanità, infrastrutture digitali, servizi informatici, poste, rifiuti, chimica, alimenti, ricerca, fabbricazione di computer/autoveicoli/dispositivi medici, pubbliche amministrazioni statali e altre p.a.).
Gli enti coinvolti sono, poi, riclassificati e inseriti in due gruppi: soggetti “essenziali” e “soggetti importanti”. Tale ultima distinzione rileva per la quantità/qualità di adempimenti e per il livello di sanzioni applicate in caso di commissione di illeciti. Il quadro completo dei soggetti, ciascuno corredato della qualificazione, è consultabile sul sito dell’Acn alla pagina: https://www.acn.gov.it/portale/nis/ambito.
Il cronoprogramma degli adempimenti. Tutto i soggetti compresi nell’ambito di applicazione devono registrarsi sulla piattaforma dell’Acn e aggiornare le relative informazioni. La prima tornata di registrazioni si è chiusa il 28 febbraio 2025. A questo primo passaggio è seguita la costituzione dell’elenco dei soggetti Nis e la notifica agli stessi della loro inclusione. In parallelo l’Acn, con la determinazione del 14 aprile 2025, ha individuato gli obblighi di base in materia di misure di sicurezza informatica e di notifica degli incidenti informatici.
Entro metà maggio 2025, i soggetti inseriti negli elenchi devono completare le informazioni da inserire nella piattaforma, segnalando in particolare le persone che devono attuare le prescrizioni.
La data di ricezione della notifica di inserimento nell’elenco dei soggetti Nis è importante perché segna la decorrenza di due termini e cioè del: termine di 18 mesi, entro il quale devono essere adempiuti gli obblighi ci base in materia di sicurezza informatica (e cioè quelli inseriti negli allegati alla determinazione del 14 aprile 2025); termine di 9 mesi, decorso il quale si applicano gli obblighi in materia di notifica di incidenti.
Pertanto, la scadenza degli adempimenti non è uguale per tutti, ma dipende dalla data di notificazione dell’inserimento negli elenchi dell’Acn.
Le cose da mettere in agenda. Gli enti coinvolti in tutto questo movimento, censiti negli elenchi dell’Acn, devono verificare con uffici interni o consulenti come sono messi con gli obblighi di base delineati analiticamente dagli allegati n. 1 (per i soggetti importanti) e n. 2 (per i soggetti essenziali) alla determinazione del 14 aprile 2025.
Gli allegati alla determinazione indicano cosa deve fare un soggetto Nis, distinguendo due filoni di incombenze: compiti amministrativi; compiti tecnici.
Le misure amministrative, in sintesi, riguardano la gestione, l’organizzazione, la documentazione e il controllo di processi e attività, come per esempio l’adozione e l’approvazione di policy, la definizione di piani o la documentazione di procedure.
Le misure tecniche, dal canto loro, esigono l’adozione e l’utilizzo di strumenti tecnologici, come per esempio la cifratura dei dati, l’aggiornamento del software o l’impiego di modalità di autenticazione multifattore.
Un complesso apparato documentale. Quanto alla parte amministrativa-burocratica, l’elenco dei documenti è piuttosto lungo. A seconda dei casi il soggetto Nis deve, innanzi tutto, scrivere elenchi, quali quelli relativi al personale dell’organizzazione di sicurezza informatica, alle configurazioni di riferimento (solo per soggetti essenziali), ai sistemi ai quali è possibile accedere da remoto. Altri documenti da stilare sono gli inventari di: apparati fisici, servizi, sistemi e applicazioni software, flussi di rete (solo per soggetti essenziali), servizi erogati dai fornitori, fornitori. Poi abbiamo i piani di: gestione del rischio, business continuity e disaster recovery, trattamento del rischio, gestione delle vulnerabilità, adeguamento, per la valutazione dell’efficacia delle misure di gestione del rischio (solo per soggetti essenziali), di formazione in materia di sicurezza informatica, di risposta agli incidenti. A ciò si aggiungono le politiche (sono 16 per soggetti importanti e 16 per gli essenziali e spaziano dalla “gestione del rischio” alla “risposta incidenti e ripristino”), le procedure (in relazione agli specifici requisiti per i quali sono richieste) e i registri (contenenti gli esiti del riesame delle politiche, dell’attività formazione dei dipendenti, delle manutenzioni effettuate).
L’Acn precisa che per questa mole di documentazione non ci sono vincoli formali. Ciascun ente può decidere come organizzare la propria documentazione: per esempio raggruppare i contenuti in un unico documento o distribuirli tra più documenti. È rimesso al singolo ente optare per il formato cartaceo o digitale, purché siano facilmente fruibili, coerenti con la situazione di fatto e aggiornati in caso di variazioni.
Clausole ad hoc nei contratti. Scorrendo alcune misure, illustrate negli allegati, ci si imbatte in adempimenti che incidono sull’attività contrattuale relativa all’acquisizione di beni e servizi: gli allegati sulle misure di sicurezza di base vincolano i soggetti Nis (e le loro controparti) a inserire nei contratti clausole ad hoc relative ai requisiti per il contrasto dei rischi di cybersecurity nella catena di approvvigionamento. Il fornitore, dunque, non può delegare per intero la sicurezza al committente, ma deve premurarsi di mettere a disposizione servizi e materiali sicuri. Corollario del rispetto della cybersicurezza lungo tutta la filiera dell’attività è l’obbligo di istituire e mantenere aggiornato un inventario dei fornitori di prodotti e servizi impattanti sulla sicurezza dei sistemi informativi e di rete.
L’analisi dei rischi ogni due anni. Altro inventario è quello degli asset (per esempio, dati, hardware, software, sistemi, infrastrutture, servizi) propedeutico e collegato al documento di valutazione del rischio, da eseguire, come ordinato dalle misure di sicurezza di base, a intervalli pianificati e comunque almeno ogni due anni, nonché qualora si verifichino incidenti significativi, variazioni organizzative o mutamenti dell’esposizione alle minacce e ai relativi rischi. L’Acn prescrive che la valutazione del rischio deve essere approvata dagli organi di amministrazione e direttivi, i quali, pertanto, sono responsabili in caso di violazioni della sicurezza.
Tutti a scuola di cybersicurezza. Al settore, particolarmente delicato, della formazione sono assegnati un piano (attuato, aggiornato e documentato in materia di sicurezza informatica del personale, compresi i vertici delle imprese e degli enti pubblici) e un registro aggiornato (con l’elenco dei dipendenti che hanno ricevuto la formazione, i relativi contenuti e l’elenco delle verifiche eventualmente svolte).
Il pungolo delle sanzioni. Per la realizzazione di quelle sopra riferite e di tutte le altre misure di sicurezza di base, dettagliate nella citata determinazione, ci sono 18 mesi di tempo, i quali sembrano tanti, ma sono appena sufficienti considerata la complessità dei contenuti e la pluralità di azioni da attuare. Tra l’altro uno stimolo a non sottovalutare la questione è certamente rappresentato dalla prospettiva sanzionatoria. L’inadempimento degli obblighi relativi alla gestione del rischio per la sicurezza informatica, infatti, espone a pesanti sanzioni amministrative: per i soggetti privati “essenziali” fino a un massimo di 10 milioni di euro o, se superiore, fino al 2% del totale del fatturato annuo su scala mondiale per l’esercizio precedente, con minimo fissato nella misura di un ventesimo del massimo edittale; per i soggetti privati “importanti”, fino a un massimo di euro 7 milioni di euro o, se superiore, dell’1,4% del totale del fatturato, con minimo fissato nella misura di un trentesimo del massimo edittale; per le p.a. fino a 125 mila euro.
L'articolo Sicurezza dei dati, una valanga di adempimenti e documenti proviene da Iusletter.
