Gestione del rischio cyber in azienda: gli impatti della NIS2

Per questo motivo, è progressivamente aumentata la necessità di introdurre normative rigorose, in risposta a due esigenze principali: contrastare la crescente minaccia di attacchi informatici e tutelare il diritto degli individui alla privacy, nonché alla protezione dei propri dati.  

L’evoluzione della regolamentazione in materia di cybersicurezza

In un contesto così delineato, la regolamentazione in materia di cybersicurezza si sta evolvendo rapidamente, cercando di colmare il divario tra innovazione tecnologica e necessità di garantire una protezione giuridica adeguata. 

Nel panorama normativo attuale, sono tre gli interventi che hanno segnato un cruciale cambiamento nella disciplina della cybersicurezza, sia in Italia che in Europa: la Direttiva (UE) 2022/2555, nota come la c.d. Direttiva NIS2, il Decreto Legislativo 4 settembre 2024, n. 138 e la Legge 28 giugno 2024, n. 90.

Queste normative condividono l’obiettivo di rafforzare la tutela dei dati sensibili, pur differenziandosi per l’ambito applicativo e per le specifiche misure che introducono. 

La Direttiva NIS2 

La Direttiva NIS2, adottata a livello europeo, rappresenta uno standard di riferimento per le organizzazioni che desiderano implementare misure efficaci, per proteggere i propri asset digitali e garantire la sicurezza dei dati.

Gli obblighi in capo alle organizzazioni e le sanzioni

Questo comporta la necessità di sviluppare politiche di sicurezza interne, garantire una formazione adeguata del personale e adottare misure preventive finalizzate alla riduzione dei rischi informatici.  

Il mancato rispetto degli obblighi stabiliti dalla Direttiva comporta l’applicazione di sanzioni pecuniarie significative, la cui entità varia in base alla classificazione dell’azienda come “servizio essenziale”, (tra cui, ad esempio, l’energia, la salute e i trasporti) o “servizio importante”. 

Il Decreto Legislativo 138/24 

La Direttiva in parola è stata recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, che ha esteso gli obblighi di protezione ad un numero crescente di settori, compresi i fornitori di servizi digitali.  

Estensione degli obblighi di protezione

Segnatamente, sono incluse nell’ambito di applicazione soggettivo del citato Decreto le imprese operative nel settore dell’energia, i fornitori e distributori di acqua potabile, le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali e le imprese che si occupano della gestione dei rifiuti. Al contrario, sono escluse le realtà di piccole dimensioni, salvo il caso delle aziende che gestiscono infrastrutture “critiche”, come definite nel testo della Direttiva.

Gli obblighi per le aziende

Nei confronti delle imprese rientranti nel perimetro della normativa di nuova introduzione, sono previsti, più in particolare, obblighi finalizzati a garantire che esse si dotino di una struttura in grado di reagire agli attacchi informatici, tra cui, a titolo esemplificativo, l’adozione di misure organizzative e tecniche per porre in sicurezza i propri sistemi informatici, nonché la tempestiva comunicazione all’Autorità competente di eventuali incidenti accaduti (i c.d. attacchi hacker). Ciò comporta che le singole organizzazioni debbano essere in grado di monitorare continuativamente i propri sistemi e intervenire in modo tempestivo in caso di attacchi informatici, prevenendo così i danni economici, oltre a quelli di natura reputazionale. 

Cessione crediti fiscali



procedure celeri

 

Le imprese destinatarie delle norme del predetto Decreto sono, inoltre, tenute, a partire dal 2025, ad iscriversi all’apposita piattaforma predisposta dall’Autorità per la cybersicurezza, canale fondamentale per monitorare costantemente lo stato della sicurezza informatica nelle aziende registrate. 

Le sanzioni

Il Decreto prevede l’applicazione di severe sanzioni, di cui sono destinatari i vertici delle imprese, non solo in caso di mancata iscrizione alla suddetta piattaforma, ma anche qualora si registrino violazioni o non siano rispettati gli obblighi di gestione del rischio informatico.

In dettaglio, per le realtà che svolgono servizi essenziali, ad esclusione delle Pubbliche Amministrazioni, le sanzioni possono giungere sino ad un massimo di 10 milioni di Euro (o fino al 2% del fatturato totale annuo su scala mondiale); per i soggetti esercenti servizi c.d. “importanti”, invece, le sanzioni possono giungere sino ad un massimo di 7 milioni di Euro (o sino all’1,4% del totale del fatturato annuo). 

La Legge 90/24 

Un ulteriore passo in avanti, è stato compiuto con l’entrata in vigore della Legge 28 giugno 2024, n. 90, che integra ed amplia le misure di protezione previste dalle citate normative.  

In particolare, la legge stabilisce misure specifiche per rafforzare la sicurezza delle infrastrutture critiche ed essenziali per il funzionamento delle società moderne. In aggiunta, la novella definisce le responsabilità delle organizzazioni in caso di incidenti informatici gravi e introduce norme utili a prevenire la commissione di reati informatici, con l’obiettivo di ridurre la criminalità informatica e, al contempo, assicurare la protezione dei dati sensibili degli utenti.

Gli obblighi per le organizzazioni

La legge in materia di cybersicurezza introduce una serie di obblighi di segnalazioni, da mettere in atto qualora si verifichino incidenti informatici che abbiano un impatto sulle reti, sui sistemi informativi e sui servizi informatici. In altri termini, le organizzazioni sono ora tenute a comunicare tempestivamente alle Autorità competenti qualsiasi evento che possa compromettere la sicurezza delle loro infrastrutture digitali.

Oltre a rafforzare la protezione delle infrastrutture critiche e la gestione degli incidenti informatici, la normativa ha altresì introdotto significative modifiche nel Codice penale, nel Codice di procedura penale e in materia di responsabilità amministrativa degli enti derivante da reato, ai sensi del D. Lgs. 231/2001. 

Mutuo 100% per acquisto in asta



assistenza e consulenza per acquisto immobili in asta

 

Il secondo e ultimo capo della presente Legge contiene, infatti, “Disposizioni per la prevenzione e il contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari”, con il fine ultimo di prevenire e contrastare efficacemente le attività criminali realizzate nel c.d. cyberspazio. 

Le modifiche al Codice penale 

Con riferimento, anzitutto, alle modifiche apportate al Codice penale, merita attenzione l’art. 16 della Legge in esame, il quale è intervenuto sulla disciplina penalistica in due direzioni. Da un lato, infatti, si è assistito a un generale inasprimento delle pene comminabili per i reati informatici già previsti, con un vero e proprio raddoppio per le fattispecie considerate più gravi.

Tra queste, si pensi, principalmente, al delitto di accesso abusivo ad un sistema informatico (di cui all’art. 615 ter c.p.), ovvero al delitto di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche nella forma aggravata (di cui all’art. 617 quater, co. 4, c.p.), ovvero ancora al delitto di danneggiamento di sistemi informatici o telematici (di cui all’art. 635 quater c.p.), ipotesi delittuose per le quali si assiste ad un innalzamento notevole delle relative cornici edittali. È, quindi, evidente che tale inasprimento rappresenta una risposta diretta alla crescente gravità e diffusione degli attacchi a sistemi informatici e telematici.  

Il legislatore è, inoltre, intervenuto ampliando il ventaglio delle condotte penalmente rilevanti riconducibili all’ambito informatico. Difatti, sono state introdotte nuove fattispecie di reato, tra cui l’ipotesi di “estorsione informatica” (di cui all’art. 629, co. 3, c.p.), destinata a trovare applicazione qualora la condotta costrittiva sia attuata servendosi di strumenti tecnologici, nonché quella di truffa realizzata mediante strumenti informatici o telematici (la c.d. “truffa cyber”, di cui all’art. 640, co. 2 ter, c.p.). 

Al contempo, occorre sottolineare che sono state altresì introdotte nuove circostanze attenuanti, rinvenibili negli artt. 623 quater e 639 ter c.p., i quali, seppur riferiti a reati informatici differenti, prevedono una riduzione della pena nel caso in cui il fatto risulti di lieve entità e, ancor più, nell’ipotesi in cui i soggetti responsabili adottino misure per evitare ulteriori conseguenze dannose o decidano di collaborare con le Autorità.

Le novità introdotte nel Codice di procedura penale 

Con riguardo al Codice di procedura penale, tra gli interventi di maggior rilievo (previsti dall’art. 17 della Legge 90/2024), si registrano vari correttivi volti a delineare una procedura talvolta derogatoria rispetto a quella ordinaria, ponendo in luce il particolare disvalore che il legislatore attribuisce a tali fattispecie delittuose.

Carta di credito con fido



Procedura celere

 

Nello specifico, il legislatore ha previsto:

• l’attribuzione della competenza per i reati informatici alla Procura distrettuale,
• l’estensione dei termini di durata massima delle indagini preliminari a due anni e, infine,
• la previsione di una deroga alla disciplina ordinaria in materia di proroga delle indagini. Inoltre, l’art. 19 della Legge estende la disciplina delle intercettazioni, precedentemente applicabile ai reati di criminalità organizzata, anche ai crimini commessi mediante l’uso di strumenti informatici, rendendo di fatto più agevole il ricorso a tale mezzo di ricerca della prova. 

In tali ipotesi, infatti, l’autorizzazione al compimento delle intercettazioni potrà essere concessa in presenza di “sufficienti indizi di reato”, qualora le stesse siano “necessarie per lo svolgimento delle indagini”, in luogo dei requisiti dei gravi indizi e dell’assoluta indispensabilità previsti dal regime ordinario. 

Le modifiche al D.lgs. 231/01 

Infine, la Legge 90/2024 è intervenuta anche sul Decreto Legislativo 231/2001, segnatamente sull’art. 24 bis, in materia di responsabilità amministrativa degli enti, ampliando, anzitutto, il catalogo dei reati presupposto, così da includere anche la nuova fattispecie di estorsione commessa mediante strumenti informatici.  

Inoltre, la presente Legge ha aumentato le sanzioni pecuniarie applicabili all’ente in caso di accertamento della sua responsabilità. In tale contesto, assume particolare rilevanza l’introduzione della possibilità, nel caso di reato di estorsione informatica, di comminare le sanzioni interdittive di cui all’art. 9, co. 2, del D. Lgs. 231/2001.

La necessità di un approccio integrato alla cybersicurezza

Gli interventi normativi descritti rappresentano un decisivo rafforzamento delle misure di cybersicurezza nel nostro Paese, offrendo un’ulteriore risposta alle sfide poste dall’evoluzione tecnologica e dalla crescente complessità degli attacchi informatici.

In uno scenario così delineato, le imprese sono chiamate ad agire con tempestività e responsabilità, integrando la protezione dei sistemi informatici all’interno della propria strategia aziendale, così da poter affrontare efficacemente la trasformazione digitale e, al contempo, garantire la tutela della privacy e la sicurezza dei dati aziendali. 

Per affrontare in modo adeguato le sfide della cybersicurezza, è essenziale che le imprese adottino un approccio strutturato e proattivo. 

Mutuo 100% per acquisto in asta



assistenza e consulenza per acquisto immobili in asta

 

Un primo passo consiste nell’analisi degli impatti delle predette novità normative sul business e sui processi aziendali, mediante la conduzione di attività di risk assessment, volte a valutare i profili di rischio e le vulnerabilità dei sistemi informatici. Alla luce degli esiti delle attività di mappatura e valutazione dei rischi, è opportuno procedere all’adozione e alla concreta implementazione di presidi di prevenzione e controllo, integrando le procedure.

Per concludere, è fondamentale che le imprese adottino un approccio integrato alla cybersicurezza, considerando non solo gli aspetti tecnologici, ma anche quelli di natura giuridica ed economica, in modo da creare un ambiente sicuro, che tuteli appieno i dati aziendali e la reputazione dell’impresa.