A cura dell'avv. Paolo La Manna

La cybersicurezza, lungi dal configurarsi come un mero presidio tecnico, si afferma oggi quale bene giuridico fondamentale, in grado di preservare asset strategici aziendali e tutelare la stabilità del sistema-Paese. Questo mutamento si riflette nell’articolato normativo europeo, recepito dal legislatore italiano con il Decreto Legislativo 4 settembre 2024, n. 138. Occorrerà, dunque, verificare il sistema di compliance e le specifiche responsabilità imposte ai vertici aziendali, in un’ottica che va oltre la mera conformità, per abbracciare una visione di governance avanzata e integrata della cybersicurezza.

La cybersicurezza, tradizionalmente confinata agli apparati tecnici dell’azienda, è assurta a oggetto di attenzione normativa e giuridica per il suo ruolo cruciale nella protezione di dati e infrastrutture, nonché quale garanzia della fiducia degli stakeholder.

La necessità di un quadro armonizzato di cybersicurezza, volto a prevenire e mitigare le minacce sistemiche, ha trovato piena legittimazione nella Direttiva (UE) 2022/2555 (Direttiva NIS2), la quale stabilisce misure per un livello elevato e comune di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

Il recepimento della Direttiva NIS2 in Italia, attuato con il Decreto Legislativo n. 138/2024, delinea i confini di un sistema normativo in cui la cybersicurezza non è più intesa come mera sicurezza dei sistemi, ma quale “bene giuridico” che incarna valori di sicurezza pubblica e tutela degli interessi nazionali, imponendo obblighi stringenti ai soggetti pubblici e privati.

Ai sensi dell’art. 3 della Direttiva NIS2 e delle disposizioni attuative contenute nel Decreto Legislativo n. 138/2024, il legislatore italiano individua due macro-categorie di soggetti sottoposti agli obblighi di cybersicurezza: i “soggetti essenziali” e i “soggetti importanti”. Tale suddivisione, lungi dall’essere formale, risponde a un’analisi di rischio connessa alla rilevanza delle attività svolte da tali soggetti per la sicurezza nazionale e l’economia. I cd. “soggetti essenziali” includono settori strategici quali energia, trasporti, finanza, sanità, infrastrutture digitali e pubblica amministrazione. La loro attività è considerata imprescindibile per la resilienza e stabilità del sistema-Paese, e dunque richiede misure di sicurezza informatica avanzate. I cd. soggetti importanti, invece, racchiudono settori come la produzione alimentare, chimica, il digitale ed il manifatturiero. Sebbene non siano classificati come strategici, questi settori rivestono un’importanza significativa per la continuità operativa del tessuto economico, giustificando l’imposizione di un sistema di gestione del rischio cibernetico.

La scelta del legislatore italiano di estendere tali obblighi anche a imprese medio-piccole, qualora esse svolgano attività di rilevanza per la sicurezza nazionale, evidenzia una visione preventiva, con cui si intende evitare che brecce di sicurezza su scala ridotta possano costituire vulnerabilità per il sistema complessivo.

Dunque, il Decreto Legislativo n. 138/2024 impone un articolato sistema di compliance per garantire la cybersicurezza, articolato in misure di tipo tecnico e organizzativo.

Tra le principali misure imposte agli operatori si annoverano:

i) Misure di gestione del rischio (art. 24): gli operatori devono implementare un sistema di gestione del rischio che includa l’analisi continua della sicurezza delle infrastrutture e dei sistemi, accompagnata da un piano di resilienza aggiornato per una risposta efficace agli incidenti.

ii) Notifica degli incidenti (art. 25): la norma impone l’obbligo di notificare tempestivamente ogni incidente con impatto rilevante all’Agenzia per la Cybersicurezza Nazionale (ACN), al fine di permettere una risposta coordinata e la prevenzione di eventuali escalation.

iii) Audit e verifiche di sicurezza (art. 36): la norma prevede audit regolari su base annuale per verificare la conformità alle normative vigenti. I risultati degli audit devono essere condivisi con l’ACN (Agenzia per la Cybersicurezza Nazionale), che svolge funzioni di supervisione e coordinamento, in collaborazione con le omologhe autorità europee.

Particolare rilievo assume l’art. 23, che recepisce il principio di accountability, introducendo una responsabilità diretta dei vertici aziendali per l’adozione e l’implementazione delle misure di sicurezza informatica. I dirigenti sono pertanto chiamati a vigilare in prima persona sulla conformità delle prassi aziendali agli standard di cybersicurezza, divenendo i primi responsabili di eventuali violazioni.

In caso di gravi negligenze, le sanzioni previste agli artt. 38 e 39cyber del Decreto possono raggiungere il 2% del fatturato annuo globale dell’azienda, e in talune circostanze sono previste sanzioni penali per i dirigenti. Tale previsione segna un cambiamento paradigmatico: la cybersicurezza non può più essere considerata una funzione delegabile, ma deve rientrare nella governance aziendale con il medesimo livello di priorità degli aspetti finanziari o produttivi.

In ottica di prevenzione del rischio, gli artt. 23 e 24 del Decreto sanciscono un obbligo formativo costante per il personale aziendale. Questo obbligo intende promuovere la cosiddetta “cyber hygiene”, ossia una serie di prassi operative virtuose, utili a minimizzare il rischio di incidenti informatici causati da negligenza o errore umano. La formazione costante e l’aggiornamento periodico si configurano quindi come una “tutela proattiva” che responsabilizza ogni livello dell’organizzazione.

Il Decreto Legislativo n. 138/2024 designa l’Agenzia per la Cybersicurezza Nazionale (ACN) quale autorità di riferimento per la supervisione dei soggetti obbligati e per il coordinamento degli interventi in caso di incidenti su vasta scala. Come stabilito dagli articoli 18-20 della Direttiva NIS2, l’ACN svolge un ruolo cruciale quale Punto di Contatto Unico NIS e coordina la partecipazione italiana alla Rete delle organizzazioni di collegamento per le crisi informatiche (EU-CyCLONe). La cooperazione internazionale, promossa dalla rete dei CSIRT nazionali e dai gruppi di cooperazione europei, mira a costruire un ecosistema europeo di cybersicurezza capace di rispondere in modo coordinato e sinergico alle minacce sistemiche.

Dunque, la recente normativa rappresenta un importante passo avanti verso un concetto avanzato di cybersicurezza, concepito come bene giuridico e asset strategico per le imprese. Questo nuovo quadro normativo impone un cambiamento di paradigma: la cybersicurezza non è più vista come un costo ma come un investimento nella tutela del valore aziendale e nella fiducia degli stakeholder.

È fondamentale, dunque, che le PMI valutino attentamente la loro posizione rispetto alla Direttiva NIS2 e intraprendano tempestivamente le azioni necessarie per garantire la conformità entro le scadenze stabilite.

Adottare un approccio proattivo e conforme agli standard imposti non solo consente alle imprese italiane di rispettare le disposizioni comunitarie, ma le posiziona come attori di riferimento in un mercato globale che premia la sicurezza e la resilienza.