La Nuova Normativa in Materia di Cybersicurezza: Direttiva NIS 2 e implicazioni per il D. Lgs. 231/2001

La Direttiva UE 2022/2555 – come anticipata nei nostri contributi – nota come "Direttiva NIS 2", rappresenta un passo decisivo nel rafforzamento della cybersicurezza all’interno dell’Unione Europea. Pubblicata il 14 dicembre 2022, questa normativa aggiorna il precedente quadro regolatorio definito dalla Direttiva NIS del 2016. Il suo scopo è garantire un livello comune ed elevato di sicurezza informatica, rispondendo alle crescenti minacce derivanti dalla digitalizzazione rapida dei processi produttivi e dei servizi.

La Direttiva riconosce che l’accelerazione della trasformazione digitale, intensificata dalla pandemia, ha esposto le infrastrutture critiche e le attività economiche a vulnerabilità crescenti. Per far fronte a queste sfide, la NIS 2 introduce misure volte a migliorare la protezione delle reti e dei sistemi informatici, ampliando al contempo il numero di settori e soggetti coinvolti.

Implicazioni per il D. Lgs. 231/2001

Uno degli aspetti più rilevanti per le imprese italiane riguarda il legame tra la Direttiva NIS 2 e il D. Lgs. 231/2001. Si ricorda che quest’ultimo stabilisce la responsabilità amministrativa delle imprese per reati commessi nel loro interesse o vantaggio, richiedendo l’adozione di Modelli di Organizzazione, Gestione e Controllo (MOGC) idonei a prevenire tali reati. La NIS 2, con i suoi nuovi obblighi, impone alle aziende un ripensamento delle misure di sicurezza informatica già previste nei loro modelli organizzativi.

In particolare, l’integrazione del MOGC non potrà prescindere da: 

• analisi e gestione del rischio cibernetico;
• misure di prevenzione e risposta agli incidenti informatici;
• formazione del personale sui rischi informatici e sulle procedure da seguire.

L’Organismo di Vigilanza (OdV), incaricato di monitorare l’efficacia del MOGC, in sinergia con le specifiche figure tecniche, verificherà quindi che la sicurezza informatica sia considerata dall’ente una componente essenziale della prevenzione dei reati, in particolare quelli previsti dall’art. 24-bis del D. Lgs. 231/2001 (delitti informatici e trattamento illecito dei dati). Nella medesima ottica collaborativa, verificherà altresì che gli incidenti informatici siano gestiti con tempestività ed efficacia.

Adeguamento Aziendale

L’introduzione della NIS 2 comporta pertanto per le aziende la necessità di adottare un approccio proattivo nella gestione della cybersicurezza. Oltre alla semplice conformità normativa, le imprese dovranno rafforzare la resilienza delle loro infrastrutture digitali. Tra le azioni utili:

• realizzazione di un’analisi del rischio che evidenzi le vulnerabilità esistenti;
• implementazione di misure tecniche e organizzative adeguate al contesto operativo;
• predisposizione di piani per garantire la resilienza in caso di incidenti.

Conclusioni

La Direttiva NIS 2 non rappresenta solo un aggiornamento normativo, ma una sfida e un’opportunità per le imprese italiane. Adeguarsi ai nuovi standard di sicurezza significa non solo evitare sanzioni, ma anche proteggere la propria reputazione e costruire un vantaggio competitivo in un mondo sempre più dipendente dalle tecnologie digitali. Per le aziende che hanno adottato il Modello 231, questa è l’occasione per integrare le misure di cybersicurezza in una strategia complessiva di gestione del rischio, consolidando al contempo i presidi per la prevenzione dei reati informatici.