Nel contesto della Direttiva UE 2022/2555 (c.d. NIS-2) il rispetto delle prescrizioni imposte ai soggetti da essa interessati è presidiato dall’attività delle Autorità competenti istituite negli Stati membri ai sensi dell’art. 8 della Direttiva.
In Italia, in base al d.lgs. 138/2024, tale ruolo è stato affidato all'Agenzia per la cybersicurezza nazionale (ACN). Essa costituisce dunque il principale «garante» della conformità delle imprese e società interessate alla normativa sulla sicurezza informatica, svolgendo attività di vigilanza sull’esecuzione della stessa. L’art. 10 del Decreto attribuisce all’ACN la funzione di predisporre i provvedimenti necessari alla sua attuazione e l’attività di regolamentazione.
Nei confronti dei soggetti essenziali l’ACN ha a disposizione strumenti di enforcement alquanto incisivi: dagli avvertimenti (notifiche formali dirette all’organizzazione per informarla della violazione riscontrata), alle istruzioni vincolanti (ossia indicazioni coercitive per le organizzazioni sulle azioni correttive da porre in essere, ad esempio il miglioramento delle misure di sicurezza o l’attuazione di piani di mitigazione del rischio), per arrivare alle ingiunzioni (veri e propri provvedimenti che impongono al soggetto di conformarsi entro un termine a quanto disposto dall’Autorità).
Sempre con riguardo ai soggetti essenziali l’ACN può adottare anche raccomandazioni obbligatorie, nominare un funzionario indipendente addetto alla sorveglianza delle attività dell’organizzazione, nonché sospendere temporaneamente i certificati o le autorizzazioni del soggetto.
Per i soggetti importanti, l’Autorità, oltre ad elaborare avvertimenti, istruzioni vincolanti e ingiunzioni analoghe a quelle previste per i soggetti essenziali, può effettuare richieste di informazioni, audit di sicurezza per verificare l’efficacia delle misure adottate, nonchè emanare raccomandazioni obbligatorie e disporre la pubblicazione delle violazioni.
L’Autorità svolge al contempo anche la funzione di Punto di contatto unico NIS, collaborando in tale veste con le altre autorità nazionali (ad es. con il Garante per la protezione dei dati personali e l’Agenzia per l’Italia Digitale) mediante lo scambio di informazioni anche riguardo agli incidenti e le minacce informatiche rilevanti.
L’ACN è in particolare tenuta a segnalare al Garante per la protezione dei dati personali le violazioni degli obblighi di cui all'articolo 24 del d.lgs. 138/2024 da parte di soggetti essenziali o importanti che possano comportare una violazione dei dati personali, al fine di assicurare che l’attività degli interessati non confligga con le norme europee e nazionali sul tema (ad es. il GDPR).
Inoltre, l’Autorità cura il censimento dei soggetti rilevanti ai sensi della Direttiva, redigendo l’elenco dei soggetti essenziali e importanti situati nel territorio nazionale e mediante l’attivazione dell’apposita piattaforma sulla quale le imprese sono tenute a registrarsi e ad aggiornare le proprie informazioni qualora in possesso dei requisiti previsti.
Comments