Vediamo quali sono le organizzazioni obbligate, i loro adempimenti, le politiche, i presidi e le procedure che dovranno adottare e, infine, il regime sanzionatorio previsto dal Decreto Legislativo senza però trascurare un aspetto importante: come vedremo, infatti, alcuni adempimenti (formali) hanno scadenza 2025 ma i presidi informatici, le politiche e le procedure dovrebbero essere già presenti in azienda, o dovrebbero essere implementate al più presto al fine di poter garantire la continuità aziendale a prescindere dagli obblighi. Garanzia che dovrebbe andare ben al di là degli obblighi e delle sanzioni anche perché il cybercrime non rispetta le scadenze e non aspetta il 2025.
Prima di tutto una necessaria ripartizione dei settori merceologi, per i quali è prevista l’implementazione delle misure di cybersicurezza previste dal D. Lgs. – secondo i rispettivi codici ATECO –, fra Servizi essenziali (Alta criticità) e Servizi importanti (Critici):
Servizi essenziali: energetico; trasporti; bancario e finanziario; sanitario; acque e acque reflue; infrastrutture digitali; gestione servizi di TLC; infrastrutture e sicurezza; settore spaziale.
Servizi importanti: servizi postali e di corriere; trattamento rifiuti; chimico; alimentare; fabbricazione; servizi digitali.
In secondo luogo, oltre alle grandi aziende di entrami i settori, le PMI che operano nei Servizi essenziali saranno obbligate direttamente all’implementazione delle misure di sicurezza informatica. Inoltre, anche le PMI, non obbligate direttamente, ma nelle filiere e che possono influenzare decisioni per la sicurezza informatica, detengono o gestiscono sistemi informativi, effettuano operazioni di sicurezza informatica e/o forniscono servizi di tecnologia delle informazioni e comunicazione (TIC) o di sicurezza informatica dovranno rispettare il D. Lgs. 138/2024. È, inoltre, facile ritenere che i capi filiera richiederanno adempimenti di cybersicurezza a tutti i fornitori – a prescindere – al fine di eliminare gli anelli deboli della supply chain.
Tra le misure operative imposte devono essere definiti sistemi di protezione avanzata delle reti e dei sistemi IT, piani di continuità operativa in caso di cyber attacchi e sistemi di monitoraggio attivi finalizzati alla prevenzione delle intrusioni e delle altre minacce informatiche.
Nella pratica le principali attività preliminari: gap analisys; risk assessment; analisi della filiera; un set di policy (sicurezza sistemi; crittografia; audit); procedure (gestione degli eventi cyber; crise management; acquisto, sviluppo e manutenzione dei sistemi informativi; gestione delle segnalazioni degli eventi significativi); e attività di presidio informatico (back-up evoluto; disaster recovery; antivirus, firewall, ecc.).
Le organizzazioni interessate avranno, inoltre, l’obbligo di notificare gli incidenti di sicurezza informatica significativi con la seguente articolazione temporale:
- la notifica dell’incidente entro 24 ore
- la valutazione iniziale dell’incidente entro 72 ore
- il report finale entro 30 giorni
I prossimi passi – quelli formali – sono l’auto-registrazione, che dovrà essere fatta ogni anno dal 1/1 al 28/2 sulla piattaforma dell’ACN la quale entro il 13/3 pubblicherà l’elenco delle organizzazioni effettivamente interessate agli adempimenti del D. Lgs. 138/2024 (una prevalutazione attendibile può essere fatta sulla base dei Codici ATECO).
I poteri di vigilanza sugli adempimenti sono articolati fra l’Agenzia per la Cybersicurezza Nazionale (ACN) che coopererà con gli altri Paesi Ue, con la Commissione UE e con l’Agenzia per la Cybersicurezza dell’Unione Europea (ENISA) e il Gruppo nazionale di risposta agli incidenti di sicurezza informatica (CSIRT) che si occuperà di monitorare e analizzare le minacce informatiche, le vulnerabilità, di emettere preallarmi, allerte, bollettini e divulgare informazioni.
Il regime sanzionatorio, anche per questo Decreto Legislativo, è particolarmente significativo. Infatti, le organizzazioni rientranti fra i servizi essenziali potranno essere sanzionate fino a un massimo di 10 mln di Euro o il 2% del fatturato globale (se maggiore) con un minimo di un ventesimo mentre le organizzazioni rientranti fra i servizi importanti fino a un massimo di 7 mln di Euro o l’1,4% del fatturato globale (se maggiore) con un minimo di un trentesimo mentre gli organi di amministrazione e gli organi direttivi potranno vedersi sospesa l’attività manageriale in caso di mancato adempimento alla disposizioni dell’ACN.
di Renato Goretta – Gesta Srl Società Benefit
Gesta Srl Società Benefit 0187 564442 – gesta@gestaconsulenza.it
