NIS2, adeguarsi è difficile ma possibile: ecco una guida

Nell’apprezzare lo sforzo comunicativo dell’Agenzia per la Cybersicurezza Nazionale, che mette in secondo piano l’aspetto del processo repressivo e sanzionatorio rispetto alla promozione della partecipazione attiva, è stato però evidenziato che il processo di attuazione degli obiettivi della Direttiva non può risolversi soltanto in un ossequio formale al sistema di gestione della sicurezza – quella che si definisce comunemente “security di carta” o “law security”, ma richiede invece uno sforzo sostanziale per la definizione di obiettivi concreti e sostenibili di sicurezza delle singole realtà, che si trasforma in un processo di sicurezza collettiva o, se si preferisce, di sicurezza nazionale.

Responsabilità e obblighi delle imprese sotto la INS2

Tralasciando gli aspetti più strettamente legati alla tecnica dei sistemi di gestione della sicurezza delle informazioni, è necessario svolgere qualche riflessione preliminare su questioni che attengono al processo di responsabilizzazione delle imprese e delle pubbliche amministrazioni, oggi accomunate in un obiettivo giuridicamente rilevante di protezione di interessi che trascendono ampiamente la dimensione della singola organizzazione e definiscono una vera e propria “posizione di garanzia” qualificata, che comporta conseguenze di non poco conto.

Sulla responsabilità degli “Organi di amministrazione e direttivi” di cui all’art. 23 del Decreto legislativo 138/2024 sarà necessario un approfondimento specifico in altro articolo. In questa sede ci si preferisce soffermarsi su un aspetto diverso e, se si vuole, più pratico, che riguarda sia la più prossima scadenza del regime di autodichiarazione sulla piattaforma messa a disposizione da ACN, sia alcune considerazioni di natura più strettamente giuridica, sulla qualificazione di quella “posizione di garanzia” cui si è precedentemente accennato.

Sfide per PMI con la nuova normativa

Partiamo proprio dal dato sostanziale: questo ambizioso progetto legislativo introduce un’architettura di sicurezza complessa e un perimetro di applicazione esteso, presentando sfide considerevoli, in particolare per le piccole e medie imprese (PMI), le imprese collegate e l’intera catena delle forniture, per disegnare un insieme di vincoli non marginali, con sanzioni di varia tipologia e portata, ma certamente efficaci e dissuasive.

Il fondamento di questa costruzione è in una norma costituzionale, che non è più possibile considerare soltanto “programmatica”, ma attuativa del grande disegno costituzionale frutto del bilanciamento di diverse idee presenti nell’Assemblea costituente: l’articolo 41, nell’affermare che l’iniziativa privata è libera, precisa però immediatamente che essa non può svolgersi in contrasto con l’utilità sociale o in odo da arrecare danno ad interessi primari tra i quali, oltre alla salute e all’ambiente, anche alla sicurezza, alla libertà e alla dignità umana, che possono essere letti in forma unitaria per la centralità dell’essere umano nell’attenzione del legislatore costituente. E se questo è vero – prosegue la norma costituzionale – la legge può intervenire con misure e controlli perché gli obiettivi di tutela disegnati nella prima parte possano essere effettivamente conseguiti.

Quando però dall’idealità del processo si scende all’approccio concreto, la questione è piuttosto diversa, in quanto si scontra su una dimensione economica di un Paese la cui struttura fondamentale è costituita da una quantità di piccole e medie imprese

Un perimetro allargato e obblighi più stringenti

La NIS2 amplia significativamente il campo di applicazione rispetto alla precedente Direttiva NIS, includendo settori cruciali come la gestione dei rifiuti, il trasporto, l’industria alimentare, la fornitura e distribuzione di acqua potabile, le infrastrutture digitali, la pubblica amministrazione, la produzione, la ricerca e lo sviluppo di medicinali e dispositivi medici, e il settore spaziale. Questa estensione mira a creare un ecosistema digitale più sicuro e interconnesso, riconoscendo l’interdipendenza tra i diversi settori e il rischio di propagazione degli attacchi informatici. Gli obblighi introdotti dalla NIS2 sono più stringenti e riguardano:

• Gestione del rischio: obbligo di adottare un approccio basato sul rischio, identificando le vulnerabilità e implementando misure di sicurezza adeguate. Questo include la valutazione periodica del rischio e l’aggiornamento delle misure di sicurezza.

• Notifica degli incidenti: procedure più rigorose per la notifica degli incidenti di sicurezza alle autorità competenti, con tempi più brevi e informazioni più dettagliate.

• Sicurezza della supply chain: obbligo di valutare e gestire i rischi derivanti dalla supply chain, implementando misure di sicurezza contrattuali e tecniche con i fornitori.

• Accountability del management: maggiore responsabilità per il management nella gestione della sicurezza cibernetica, con possibili sanzioni in caso di violazioni.

Il principio di proporzionalità e gradualità: una sfida implementativa

Riconoscendo il potenziale impatto oneroso della NIS2, soprattutto per le realtà più piccole, il legislatore europeo ha introdotto il principio di proporzionalità e gradualità. Questo principio sancisce che gli obblighi di sicurezza debbano essere commisurati alla dimensione, al settore di appartenenza, al profilo di rischio e alla natura delle attività di ciascuna organizzazione. Tuttavia, la sua applicazione pratica presenta diverse complessità.

Imprese collegate e dimensioni aziendali

Il primo vero problema che si pone all’interprete è quello relativo alla reale misura dell’aspetto dimensionale, per effetto del richiamo alla nozione di “imprese collegate” su cui, nel mondo delle imprese, non vi è sempre una assolta chiarezza di visione, soprattutto nella considerazione che non è sempre necessaria una formalizzazione del concetto di “gruppo” e di “holding”, ma rileva il dato fattuale dell’esistenza e dell’effettivo esercizio di un potere di “Direzione e coordinamento di società”, già introdotto nella riforma societaria del 2003 ^{ed oggi ampliato ed arricchito dalla lettura organica con la disciplina introdotta dall’Unione Europea e richiamata dalla Direttiva NIS2 e dal decreto legislativo di riferimento, derivante dalla Raccomandazione 2003/361/CE della Commissione del 6 maggio 2003.}

Senza entrare nel dettaglio di una normativa assai complessa, quello che emerge, per le finalità di questo approfondimento, è che il collegamento tra due o più imprese prescinde, in linea teorica, dalla volontà di costituzione di un vero e proprio gruppo formalizzato, con la conseguenza di escludere dal novero delle piccole e medie imprese quelle entità che, seppur individualmente considerate non raggiungerebbero i limiti dimensionali previsti dalla norma ma, per effetto dei meccanismi di direzione, coordinamento e partecipazione di controllo significativo, l’impresa “minore” è per ciò stesso attratta dalla maggiore, acquisendone, per dir così, gli attributi dimensionali che determinano l’applicazione di specifici istituti come, nel nostro caso, l’obbligo di autodichiarazione e la successiva applicazione del complesso regime di tutela.

In altre parole, una PMI non è considerata tale quando sia inserita in un’organizzazione economica più complessa nella quale una grande impresa, che ne esercita il coordinamento e controllo con una partecipazione rilevante superiore al 25% del capitale, la attragga nella sua sfera.

L’estensione della disciplina NIS2 alle società collegate o controllate

Il punto cruciale, dunque, è l’estensione della disciplina NIS2 alle società collegate o controllate: il ruolo della Raccomandazione 2003/361/CE è perciò questione non marginale per determinare se un’impresa debba procedere alla propria registrazione sul portale ACN.

Questo criterio, in sintesi, si concentra sulla nozione di impresa collegata, con alcune specifiche condizioni nelle quali il legislatore nazionale può, a certe condizioni, evitare che l’applicazione rigorosa del solo criterio del collegamento d’impresa possa determinare un impatto sproporzionato su un soggetto che, pur in presenza di una connessione in logica di gruppo, sia oggettivamente una “realtà minore” ed indipendente.

Il considerando 16 della Direttiva NIS2 offre infatti la possibilità, rimessa alle valutazioni dello Stato Membro, di valutare il grado di indipendenza dell’impresa da considerare, “…In particolare, gli Stati membri possono tenere conto del fatto che un soggetto è indipendente dalle sue imprese partner o collegate in termini di sistemi informatici e di rete che utilizza nella fornitura dei suoi servizi e in termini di servizi che fornisce”, permettendo quindi la valutazione dell’impresa “minore” come un soggetto a sé stante e dunque, a certe condizioni, sottratto al complesso meccanismo tutorio del regime NIS2.

Il modello a strati italiano

Questa complessità operativa si riflette anche nella scelta del legislatore italiano che, con il decreto di recepimento della Direttiva NIS2, all’articolo 3, disegna un modello “a strati”, che dettaglia il modello nazionale è così può essere sinteticamente descritto:

• Il primo strato è quello standard, ossia dei soggetti essenziali o importanti, che superano i limiti dimensionali per le piccole imprese, per fatturato o bilancio annuo (non superiore a 10 milioni di Euro) e livelli occupazionali (fino a 50 persone)
• Il secondo strato è costituito da quei soggetti che, indipendentemente dalla loro dimensione o dal volume di affari, ricadono in una delle categorie previste dal comma 5:
  • Soggetti critici secondo la Direttiva UE 2022/2557 (Direttiva Critical Entities Resilience o CER);
  • fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico;
  • prestatori di servizi fiduciari (ossia quei soggetti che forniscono servizi che garantiscono l’integrità e la sicurezza delle transazioni digitali, come la firma elettronica, i certificati digitali e altri servizi di autenticazione e validazione);
  • gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio;
  • fornitori di servizi di registrazione dei nomi di dominio.

Nella stessa categoria, e dunque indipendentemente dalle dimensioni, rientrano tutte le Pubbliche Amministrazioni che rientrano nell’ambito di applicazione della L. 196/2009, ossia quelle che rientrano nella ricognizione operata annualmente dall’ISTAT;

• il terzo strato, quello delle imprese attratte per effetto del collegamento, salva l’applicazione della cosiddetta “clausola di salvaguardia”, ossia quel meccanismo di sottrazione per eccessiva sproporzione escogitato dal legislatore europeo, in ragione della più spiccata indipendenza operativa e tecnologica del soggetto minore, ancorché collegato.

La questione, sebbene complessa, risulta più chiara dalla lettura della Determinazione del Direttore dell’Agenzia per la Cybersicurezza Nazionale 38565/2024^{, dalle FAQ pubblicate sul sito istituzionale dell’Agenzia e soprattutto dal portale di registrazione, che è ben congegnato per aiutare il “punto di contatto” nel processo di caricamento.}

A tal riguardo, la posizione di collegamento di impresa è chiarita nelle “definizioni” della Determina direttoriale 38565/2024 e si ribadisce il principio secondo cui la nozione di collegamento è quella sostanziale, legata al concetto di “direzione e coordinamento” di cui agli articoli 2497 e 2545-septies del codice civile e dunque “…si presume, salvo prova contraria, che l’attività di direzione e coordinamento delle società del gruppo sia esercitata dalla società o ente tenuto al consolidamento dei loro bilanci oppure dalla società o ente che le controlla, direttamente o indirettamente, anche nei casi di controllo congiunto”. Fenomeno che avviene in diverse modalità, a partire dalla nomina degli organi di vertice del soggetto controllato e attraverso l’influenza determinante nelle scelte organizzative e di indirizzo che la controllante eserciti con le modalità più diverse.

Criteri di indipendenza e registrazione

In questo quadro, che rende prevedibile un’estensione piuttosto ampia del novero dei soggetti assorbiti dall’applicazione della direttiva NIS2, i criteri per misurare l’indipendenza del soggetto “minore” collegato sono definiti in termini puntuali, sebbene suscettibili di interpretazione. In ragione del principio di collegamento, la clausola di salvaguardia non opera se sia soddisfatto almeno uno dei seguenti criteri:

• adottano decisioni o esercitano una influenza dominante sulle decisioni relative alle misure di gestione del rischio per la sicurezza informatica di un soggetto importante o essenziale;
• detengono o gestiscono sistemi informativi e di rete da cui dipende la fornitura dei servizi del soggetto importante o essenziale;
• effettuano operazioni di sicurezza informatica del soggetto importante o essenziale;
• forniscono servizi TIC o di sicurezza, anche gestiti, al soggetto importante o essenziale.

In realtà, sul portale di registrazione dell’Agenzia questi criteri vengono presentati in maniera distinta, nel senso che il punto di contatto che effettua la registrazione è tenuto ad effettuare un’autovalutazione sia nei riguardi di altre imprese collegate, nei cui confronti il soggetto registrante ha una posizione “passiva” nei riguardi dei suindicati criteri (ossia è dipendente dai servizi o sistemi informativi o attività di gestione del rischio erogati dal soggetto controllato), ma anche di tipo “attivo”, ovvero quado sia lo stesso soggetto controllante a detenere servizi centralizzati nei confronti del controllato.

Così congegnato il meccanismo, risulta assolutamente chiaro l’obiettivo di identificare e censire in maniera puntuale e significativa tutti i soggetti che possano avere un impatto, diretto o mediato, nella catena del valore “sicurezza delle informazioni” a salvaguardia di interessi nazionali.

Fermo restando il principio di proporzionalità, resta dunque necessario per il soggetto che effettua la registrazione effettuare un’attenta analisi delle relazioni di “direzione e coordinamento” con quelle imprese che, per oggetto sociale e per missione statutaria rientrano nelle categorie di cui agli allegati I e II della Direttiva NIS e, seppur di dimensioni ridotte dal punto di vista dell’analisi astratta ed individuale, per effetto del collegamento sono attratte nell’orbita dell’impresa controllante.

Sfide e prospettive future

Questo aspetto comporta altre considerazioni, ossia, da un lato, riflettere sull’onere, in capo all’Agenzia per la Cybersicurezza Nazionale, di affrontare una dimensione applicativa che può avere numeri davvero importanti e, di conseguenza, una struttura che sia realmente adeguata a fronteggiare tale ampliamento, che si affianca alle altre competenze dell’Agenzia (e a condizione di non drenare oltremodo le già scarse risorse professionali esistenti sul mercato); dall’altro, il meccanismo di estensione deve essere realmente sostenibile per imprese che, al di là della formale nozione di collegamento, sono e restano imprese di dimensione minore, non sempre in grado di far fronte – e non solo o non tanto per carenza di mezzi – alle notevoli prescrizioni imposte dal regime NIS2.

Questa affermazione vale, in maniera assolutamente speculare, per le tantissime pubbliche amministrazioni – si pensi agli Enti Locali di piccole dimensioni – normalmente in affanno tra bilanci risicati e carenze di risorse interne.

I vertici dell’Agenzia per la Cybersicurezza Nazionale hanno assunto un impegno pubblico a rendere sostenibile questo processo, che può segnare realmente un punto di svolta per la capacità del Paese di fronteggiare le crescenti minacce.

Sarà necessario attendere per riscontrare come il tessuto produttivo ed amministrativo del Paese saprà corrispondere a quella che è, in piena evidenza, una svolta culturale profonda e che, come è intuitivo, non sarà né una passeggiata di salute e neppure “ad invarianza di costi”, come purtroppo si continua a leggere in calce a diversi provvedimenti normativi in materia di sicurezza.

Note

1. D. Lgs. 17 gennaio 2003, n. 6 ↑
2. https://www.acn.gov.it/portale/documents/d/guest/detacn_nis_piattaforma_2024_38565_signed ↑