Il nuovo perimetro della cybersecurity europea e nazionale: analisi del d.lgs. 138/2024, della direttiva NIS2 e del Regolamento DORA

Tale cambio di paradigma riflette la consapevolezza che, in un ecosistema interconnesso, la vulnerabilità di un singolo attore economico può riverberarsi sull'intera catena del valore e, in ultima istanza, sulla sicurezza nazionale. Il legislatore europeo ha dunque abbandonato l'approccio settoriale frammentato in favore di una disciplina orizzontale (NIS2) e di discipline verticali specifiche (come il Regolamento DORA per il settore finanziario), creando un corpus normativo integrato. 

Il recepimento della Direttiva NIS2 nell'ordinamento italiano, avvenuto con il Decreto Legislativo 4 settembre 2024, n. 138, segna un punto di svolta per migliaia di enti pubblici e privati. La normativa amplia significativamente l'ambito di applicazione soggettivo rispetto alla precedente disciplina, superando la distinzione tra operatori di servizi essenziali (“OSE”) e fornitori di servizi digitali (“FSD”). Il nuovo decreto introduce una classificazione basata su due macrocategorie: soggetti "essenziali" e soggetti "importanti".

La distinzione, operata sulla base del settore di attività e delle dimensioni dimensionali (criterio del size-cap), è cruciale sul piano sanzionatorio e di vigilanza. I settori definiti ad "alta criticità" (Allegato I del D.lgs. 138/2024) includono energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acque, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione e spazio. I c.d. settori "altri critici" (Allegato II) comprendono servizi postali, gestione dei rifiuti, fabbricazione di prodotti chimici, alimentari e dispositivi medici.

Sebbene gli obblighi sostanziali in materia di misure di sicurezza e notifica degli incidenti siano sostanzialmente equiparati per entrambe le categorie, ciò non può dirsi rispetto al regime di supervisione.

Per i soggetti essenziali vige un regime di vigilanza ex ante ed ex post, mentre per i soggetti importanti la vigilanza è attivata principalmente ex post, ossia qualora vi siano indicazioni di presunta non conformità o a seguito di un incidente informatico. È fondamentale notare che il D.lgs. 138/2024 prevede un meccanismo di autovalutazione e registrazione obbligatoria sulla piattaforma digitale dell'Agenzia per la Cybersicurezza Nazionale (“ACN”) entro tempistiche stringenti (dal 1° gennaio sino al 28 febbraio di ciascuna anno successivo all’entrata in vigore del D.lgs. 138/2024).

Parallelamente, il Regolamento (UE) 2022/2554 (“DORA”), applicabile dal 17 gennaio 2025, costituisce lex specialis rispetto alla NIS2 per il settore finanziario. DORA impone requisiti tecnici uniformi per banche, assicurazioni, imprese di investimento e, aspetto innovativo, per i fornitori terzi di servizi ICT critici.

L'interconnessione normativa è evidente: laddove DORA preveda obblighi di gestione del rischio o di notifica almeno equivalenti a quelli della NIS2, si applicano le disposizioni del Regolamento, evitando duplicazioni di adempimenti ma mantenendo elevato lo standard di tutela.

Il legislatore ha predisposto un apparato sanzionatorio dissuasivo. Il D.lgs. 138/2024 prevede sanzioni amministrative pecuniarie che possono raggiungere, per i soggetti essenziali, un massimo di 10 milioni di euro o il 2% del fatturato globale annuo totale, se superiore. Per i soggetti importanti, il tetto è fissato a 7 milioni di euro o l'1,4% del fatturato. Oltre alla sanzione pecuniaria, sono previste misure accessorie quali ordini di conformità, audit obbligatori e, nei casi più gravi per i soggetti essenziali, la sospensione temporanea delle certificazioni o l'interdizione temporanea dall'esercizio delle funzioni dirigenziali per le persone fisiche responsabili.

L'adeguamento al nuovo quadro normativo non si risolve nella mera adozione di firewall o antivirus, ma richiede una revisione profonda della governance aziendale e dei processi organizzativi.

Uno degli aspetti più rilevanti del D.lgs. 138/2024 (art. 7) e della Direttiva NIS2 (art. 20) è l'attribuzione diretta della responsabilità in capo agli organi di amministrazione e direzione. Non è più possibile delegare in toto la responsabilità della cybersecurity al dipartimento IT o al Chief Information Security Officer (“CISO”). Il Consiglio di Amministrazione è tenuto ad approvare le misure di gestione del rischio, a sovrintenderne l'implementazione e, soprattutto, a seguire una formazione specifica obbligatoria. La mancata adozione di misure adeguate espone gli amministratori a responsabilità diretta per culpa in vigilando, con potenziali conseguenze sul piano civilistico e della continuità aziendale, fra cui spicca la sopracitata prospettiva di subire un’interdizione temporanea nello svolgimento delle funzioni dirigenziali.

Il regime di notifica degli incidenti subisce una stretta rigorosa. La normativa impone un approccio a fasi per la segnalazione al Computer Security Incident Response Team (“CSIRT Italia”):

Tale procedura richiede che le organizzazioni dispongano di presidi operativi attivi 24/7 e di procedure di incident response (“IRP”) formalizzate e testate. L'incapacità di rilevare tempestivamente un'intrusione diviene, di per sé, una violazione normativa.

La sicurezza della catena di approvvigionamento è centrale sia in NIS2 che in DORA. I soggetti obbligati devono valutare non solo i propri rischi, ma anche quelli derivanti dai fornitori di servizi ICT e dai fornitori di servizi gestiti di sicurezza (MSSP). Ciò implica l'obbligo di inserire clausole contrattuali specifiche (SLA di sicurezza, diritto di audit, notifica incidenti) e di effettuare due diligence periodiche. In pratica, le grandi aziende "essenziali" fungeranno da traino normativo, imponendo standard di sicurezza elevati anche ai propri fornitori (PMI), creando un effetto a cascata certo oneroso, ma senza dubbio anche virtuoso. La mancata verifica della sicurezza del fornitore costituisce una vulnerabilità nella compliance del soggetto obbligato.

Il D.lgs. 138/2024 elenca una serie di misure minime che devono essere adottate secondo un approccio "multirischio" (all-hazards approach). Queste includono, ad esempio: politiche di analisi dei rischi e sicurezza dei sistemi informatici; gestione degli incidenti; continuità operativa e gestione delle crisi (backup, disaster recovery); sicurezza della catena di approvvigionamento; sicurezza nell'acquisizione, sviluppo e manutenzione delle reti; strategie di crittografia; sicurezza delle risorse umane e controllo degli accessi; uso di soluzioni di autenticazione a più fattori (MFA). L'adeguatezza di tali misure deve essere verificata tramite audit indipendenti e assessment periodici.

L'ecosistema normativo è in continua evoluzione e richiede una lettura sistematica che integri NIS2 e DORA con gli altri atti legislativi dell'Unione. Di particolare rilievo è il Regolamento (UE) 2024/1689 sull'Intelligenza Artificiale (“AI Act”), che classifica come "ad alto rischio" i sistemi di IA utilizzati quali componenti di sicurezza nella gestione delle infrastrutture critiche, richiamando direttamente gli obblighi di monitoraggio e robustezza tecnica. Analogamente, il Regolamento (UE) 2023/2854 (“Data Act”) introduce norme sulla sicurezza nella condivisione dei dati generati dai dispositivi IoT, mentre l'European Health Data Space (“EHDS”) impone requisiti specifici per l'interoperabilità sicura dei dati sanitari. In questo scenario, la conformità legale non può essere statica. Le organizzazioni dovranno dotarsi di funzioni di compliance integrata capace di dialogare con le funzioni tecniche, monitorando l'evoluzione delle minacce e l'aggiornamento degli standard tecnici (quali ENISA e ISO/IEC 27001, ad esempio). 

Alla luce della disamina effettuata, emerge come il combinato disposto del D.lgs. 138/2024 e del Regolamento DORA ridisegni radicalmente il perimetro della responsabilità d'impresa. La cybersecurity cessa di essere un costo operativo accessorio per divenire un prerequisito di legalità e continuità del business. Per i professionisti e le aziende, l'adeguamento richiede un cambio culturale: la transizione da una logica di reazione all'emergenza a una logica di gestione strutturata e giuridicamente fondata del rischio digitale. La mancata conformità, oltre alle severe sanzioni economiche, comporta un rischio reputazionale e operativo non più sostenibile nel mercato contemporaneo.