I principi di proporzionalità e di gradualità, come declinati nella direttiva NIS e nel decreto di recepimento, costituiscono l’asse portante del disegno attuativo della nuova disciplina NIS elaborato dall’Agenzia; principi che – come è stato sottolineato in più occasioni – permettono di interpretare la normativa non come mera imposizione burocratica, ma piuttosto come una forma di accompagnamento verso la compliance. Ciò in quanto, l’obiettivo del decreto NIS è garantire un livello elevato di sicurezza informatica in ambito nazionale contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea in modo da migliorare il funzionamento del mercato interno. Per raggiungere questo obiettivo, il decreto stabilisce, tra le varie disposizioni, una serie di obblighi per gli organi di amministrazione e direttivi dei soggetti NIS, relativi alla gestione dei rischi per la sicurezza informatica e alle notifiche di incidente.
I soggetti oggetto del decreto sono numerosissimi, ad oggi sono registrati sulla piattaforma oltre 20.000 organizzazioni, afferiscono a molteplici settori di attività e sono caratterizzati da una vasta eterogeneità, anche in termini di livello di maturità in termini di cybersecurity. Imporre “tutto e subito” potrebbe mettere in seria difficoltà questi soggetti, soprattutto quelli che per la prima volta sono oggetto di normative in materia di cybersicurezza. Si correrebbe il rischio di emanare una serie di grida di manzoniana memoria che non sarebbero utili allo scopo prefissato dal decreto e che si tradurrebbero in una mera imposizione burocratica. Alla luce di queste considerazioni, si è ravvisata l’esigenza di definire gli obblighi, e il relativo percorso di implementazione, in accordo a principi di proporzionalità (nel definire gli obblighi) e gradualità (nel definire il percorso di implementazione). L’art. 31 del decreto (“Proporzionalità e gradualità degli obblighi”) risponde proprio a questa esigenza prevedendo che l’ACN stabilisca:
- obblighi proporzionati tenuto debitamente conto del grado di esposizione dei soggetti ai rischi, delle dimensioni dei soggetti e della probabilità che si verifichino incidenti, nonché della loro gravità, compreso il loro impatto sociale ed economico;
- termini, modalità, specifiche e tempi graduali di implementazione degli obblighi di cui al comma 1, secondo le modalità di cui all’art. 40, co. 5, anche differenziandoli in relazione: a) alle categorie di rilevanza di cui all’art. 30, co. 2, delle attività e dei servizi che i sistemi informativi e di rete supportano, svolgono o erogano; b) al settore, al sottosettore e alla tipologia di soggetto, tenendo conto del grado di maturità iniziale nell’ambito della sicurezza informatica; c) all’individuazione del soggetto quale essenziale o importante.
Il principio di gradualità ha orientato la definizione del percorso di implementazione degli obblighi. È stata infatti prevista una fase di prima applicazione (art. 42 del decreto NIS) in cui sono stabilite le cosiddette specifiche di base ossia le misure di sicurezza che i soggetti devono adottare e gli incidenti significativi di base che i soggetti devono notificare in questa prima fase. La determina 164179 del 14 aprile 2025 del DG dell’ACN stabilisce tali specifiche di base mediante quattro allegati tecnici (Allegati 1 e 2; misure di sicurezza di base rispettivamente per i soggetti importanti ed essenziali, Allegati 3 e 4: incidenti significativi di base rispettivamente per i soggetti importanti ed essenziali) prevedendo 18 mesi per l’adozione delle misure di sicurezza di base e di 9 mesi per l’adempimento dell’obbligo di notifica degli incidenti significativi. L’obiettivo di questa fase è quello di creare un livello comune di base tra tutti i soggetti in termini di sicurezza informatica. Sono state pertanto definite quelle misure di sicurezza (come, ad esempio, l’inventario dell’hardware e del software o la realizzazione di backup) che permettono di assicurare un tale livello comune di base.
A partire dal prossimo anno si entrerà invece nella fase a regime in cui l’Agenzia (presumibilmente nel mese di aprile) stabilirà le specifiche avanzate (il nome potrebbe variare) con misure di sicurezza avanzate e che potranno riguardare anche obblighi a livello settoriale. Le specifiche avanzate potranno inoltre prevedere tempistiche differenti a seconda della categoria di rilevanza delle attività e dei servizi dei soggetti NIS. Sempre a partire dal prossimo anno, i soggetti NIS (ai sensi dell’articolo 30 del decreto NIS) dovranno infatti provvedere all’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi che i sistemi informativi e di rete supportano, svolgono o erogano. Il principio di gradualità è stato pertanto declinato introducendo un percorso realistico nell’implementazione degli obblighi che possa essere attuato da tutte le organizzazioni, anche quelle che si affacciano per la prima volta al tema della conformità alla normativa cyber.
Principio di proporzionalità
Il principio di proporzionalità ha orientato la definizione delle specifiche di base (misure di sicurezza e tipologie di incidenti) che sono state sviluppate tenendo conto del grado di esposizione dei soggetti ai rischi, delle loro dimensioni dei soggetti e della probabilità che si verifichino incidenti. Nello specifico si è proceduto a differenziare le misure di sicurezza tra soggetti importanti ed essenziali e in particolare prevedendo per questi ultimi misure di sicurezza (6) e requisiti aggiuntivi (29). Inoltre, i requisiti delle misure di sicurezza sono stati formulati in considerazione del differente grado di esposizione al rischio che caratterizza ogni sistema informativo e di rete. Nello specifico i requisiti di maggiore complessità delle misure di sicurezza sono stati formulati prevedendo le seguenti clausole: per almeno i sistemi informativi e di rete rilevanti, in accordo agli esiti della valutazione del rischio di cui alla misura ID.RA-05, fatte salve motivate e documentate ragioni normative o tecniche, forniture con potenziali impatti sulla sicurezza dei sistemi informativi e di rete.
Il principio di proporzionalità orienterà inoltre la definizione delle specifiche avanzate che potranno essere proporzionate alle categorie di rilevanza delle attività e dei servizi dei soggetti NIS. Se, ad esempio, saranno definite tre categorie di rilevanza per i servizi e le attività (ordinari, critici, altamente critici), potranno essere definite misure di sicurezza di livello base per i sistemi informativi e di rete relativi ad attività e servizi ordinari, misure di sicurezza di livello intermedio per i sistemi informativi e di rete relativi ad attività e servizi critici e misure di sicurezza di livello elevato per i sistemi informativi e di rete relativi ad attività e servizi altamente critici. I principi di proporzionalità e gradualità hanno orientato la strategia dell’ACN nell’attuazione della normativa NIS2 per disegnare un percorso per l’attuazione degli obblighi che ha come obiettivo un livello elevato di sicurezza informatica. L’equilibrio tra la funzione di supporto ed i poteri di vigilanza ed esecuzione dell’Agenzia si fonda su una presenza costante di ACN a fianco delle organizzazioni. L’ambizione di ACN è di rappresentare una sorta di copilota per le organizzazioni durante questo percorso:
- indicando la strada da percorrere (ad esempio tramite la pubblicazione di linee guida);
- verificando che sia quella corretta (l’art. 35 e l’art. 36 del decreto disciplinano rispettivamente le attività di monitoraggio e le verifiche e ispezioni);
- richiedendo le eventuali correzioni lungo la rotta che dovessero risultare necessarie (l’art. 37 prevede che l’ACN possa intimare ai soggetti una serie di misure di esecuzione quali, ad esempio, l’attuazione di istruzioni vincolanti).
In vista dell’implementazione di obblighi sostanziali come, ad esempio, quello di adozione delle misure di sicurezza, il principio di gradualità costituisce quindi la precondizione per porre in essere un percorso realistico di adeguamento progressivo, capace di portare tutti i soggetti – anche quelli meno strutturati o, al contrario, le organizzazioni con strutture complesse come le c.d. imprese collegate (holding) – a un livello di compliance effettiva.
Autore: Prefetto Milena Antonella Rizzi
