Osservatorio digitale

Data breach, primo sì dal consiglio dei ministri al decreto che attua la direttiva NIS 2

Data breach, primo sì dal consiglio dei ministri al decreto che attua la direttiva NIS 2

Lo schema di decreto legislativo di recepimento della direttiva UE 2022/2555 (nota con l’acronimo NIS 2) licenziato, in via preliminare, del consiglio dei ministri del 10/6/2024 prevede, in caso di data breach, di effettuare una prima comunicazione non oltre le 24 ore e di completare la notifico entro le 72 ore. La direttiva 2022/2555 dovrà essere recepita entro il 17/10/2024, e le disposizioni del d.lgs. attuativo si applicheranno a partire dal 18/10/2024.

Le novità interesseranno imprese e pubbliche amministrazioni, diversamente clusterizzate. Alcuni soggetti operano in aree classificate “altamente critiche” (energia, trasporti, banche e mercati finanziari, sanità, infrastrutture digitali), altri in aree “critiche” (servizi postali, gestione rifiuti, imprese del settore alimentare, fabbricazione dispositivi medici, apparecchiature elettriche, macchinari, computer, fornitura servizi digitali, organizzazioni di ricerca). Negli altri gruppi si trovano pubbliche amministrazioni, servizi di trasporto pubblico locale, istituti di ricerca, esercenti attività di interesse culturale, società in house, società partecipate e società a controllo pubblico.

Tutti questi soggetti, pubblici e privati, saranno tenuti a segnalare tempestivamente gli incidenti informatici allo CSIRT Italia (gruppo di gestione degli incidenti di sicurezza informatica, presso l’agenzia per la cybersicurezza nazionale). Questa è la procedura prescritta nello schema di d.lgs.:

  • una pre-notifica senza ingiustificato ritardo, e comunque entro 24 ore dalla conoscenza dell'incidente significativo;
  • la notifica entro 72 ore, con una valutazione della gravità e dell’impatto dell’attacco.
  • Valutazione di come e se debbano essere avvisati anche gli utenti dei servizi interessati dall’incidente.

L’obbligo della segnalazione non va confuso con l’analogo obbligo di notificazione previsto dal Regolamento Ue sulla privacy n. 2016/679 (Gdpr) al quale si sovrappone. Al riguardo lo schema di d.lgs. prevede una procedura di raccordo: se l’incidente riguarda anche dati personali, dovrà essere informato subito il Garante della privacy nelle tempistiche già note. Sul versante sanzioni non si applicherà il cumulo: se il garante applicherà una sanzione non potrà essere applicata la sanzioni previste dal d.lgs. in esame. In ogni caso imprese ed enti dovranno adempiere sia agli obblighi previsti dal Gdpr sia a quelli previsti dal provvedimento in esame. Imprese e Pubbliche amministrazioni sono quindi chiamate ad aggiornate i propri modelli Organizzativi con particolare riferimento alla pianificazione ed attuazione delle misure di sicurezza tecniche ed organizzative, ivi comprese la formazione dei soggetti coinvolti e a rivedere i rapporti con i fornitori per migliorare la cd filiera della sicurezza dei dati.

Potrebbe interessarti: adeguamento GDPR

Articoli Correlati

UFFICIO TELEMATICO