La tua impresa rientra nel perimetro NIS2? E il Modello 231 è coerente con le nuove misure di cybersicurezza?
La risposta non è solo tecnica, ma anche organizzativa e di governance.

Direttiva (UE) 2022/2555 (NIS2): ambito soggettivo e vigilanza ACN

Ecco lo spunto su NIS2 e 231: de Jure condendo. La Direttiva (UE) 2022/2555, cd. NIS2, ha ampliato in modo significativo il novero dei soggetti destinatari degli obblighi in materia di sicurezza delle reti e dei sistemi informativi, includendo imprese operanti in settori qualificati come essenziali o importanti, tra cui energia, trasporti, sanità, infrastrutture digitali e servizi ICT. In Italia, le funzioni di vigilanza e controllo sono attribuite all’Agenzia per la Cybersicurezza Nazionale, individuata quale Autorità competente ai sensi della normativa di recepimento.

L’assoggettamento all’ACN non si traduce in un adempimento meramente formale. L’Autorità dispone di poteri ispettivi, di richiesta di informazioni e di controllo sull’adeguatezza delle misure adottate. Per i soggetti qualificati come essenziali, la vigilanza può assumere anche carattere proattivo, non necessariamente subordinato al verificarsi di un incidente informatico. Il sistema è già operativo e comporta un livello di esposizione regolatoria analogo a quello conosciuto in altri ambiti sottoposti ad Autorità indipendenti, quali protezione dei dati personali, mercati finanziari o concorrenza.

“La prevenzione strutturata e documentata è il paradigma della NIS2: non una reazione episodica, ma un sistema organizzato di gestione del rischio.”

Art. 21 NIS2 e parallelismo con l’art. 30 D.Lgs. 81/2008

La logica sottesa alla NIS2 è coerente con modelli già noti nell’ordinamento interno. L’art. 21 della Direttiva impone agli enti di adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi che minacciano la sicurezza dei sistemi informatici e delle reti. Il paradigma è quello della prevenzione strutturata e documentata, non della reazione episodica. Il parallelismo con l’art. 30 del D.Lgs. 81/2008 è evidente: in entrambi i casi si richiede un sistema organizzato di gestione del rischio, fondato su analisi preventiva, tracciabilità delle decisioni e aggiornamento continuo delle misure.

In questa prospettiva, la valutazione del rischio in ambito NIS2 non può restare estranea ai protocolli aziendali rilevanti ai fini del D.Lgs. 231/2001, in particolare con riferimento ai reati informatici di cui all’art. 24-bis.

NIS2 e Modello 231: ruolo dell’Organismo di Vigilanza

Ne consegue che l’Organismo di Vigilanza non può considerare la materia estranea al proprio perimetro di controllo. Rientra nei suoi compiti verificare che la società abbia preliminarmente accertato la propria inclusione o esclusione dal perimetro soggettivo della disciplina, sulla base dei criteri dimensionali e settoriali previsti.

È altresì necessario accertare che sia stata effettuata un’analisi dei rischi conforme ai requisiti normativi, con un approccio non limitato alle sole minacce tecnologiche, ma esteso ai fattori organizzativi, ai processi interni, ai comportamenti umani e alle possibili esposizioni esterne. Le misure di mitigazione devono risultare formalizzate, proporzionate alla natura dell’attività svolta, coerenti con lo stato dell’arte e oggetto di periodico aggiornamento.

Particolare attenzione deve essere dedicata al coordinamento tra gli obblighi NIS2 e il Modello di organizzazione, gestione e controllo adottato ai sensi del D.Lgs. 231/2001. Il protocollo relativo alla gestione dei sistemi informatici e alla prevenzione dei reati informatici deve essere riesaminato alla luce delle nuove misure introdotte, evitando duplicazioni ma assicurando coerenza tra risk assessment, procedure operative e sistema disciplinare.

Verifica preliminare: perimetro NIS2 e documentazione tracciabile

In termini operativi, per ogni Organismo di Vigilanza la questione preliminare è verificare se la società rientri nel perimetro applicativo della NIS2 e se tale verifica sia stata formalmente documentata. In assenza di una risposta chiara e tracciabile, il tema deve essere posto all’ordine del giorno del primo confronto utile con il management, poiché l’inerzia su questo punto espone l’ente a rischi regolatori e sanzionatori non trascurabili.

Se sei componente di un Organismo di Vigilanza, amministratore o responsabile compliance, una verifica preventiva e documentata può evitare criticità future.

 È possibile richiedere un confronto riservato con lo Studio per valutare il coordinamento tra NIS2 e D.Lgs. 231/2001.

Le informazioni contenute in questo articolo hanno finalità divulgative e non costituiscono parere legale. Ogni situazione richiede una valutazione specifica del caso concreto.