Ratio e principii della documentazione
I soggetti destinatari della direttiva NIS-2 e della legislazione interna di recepimento sono chiamati al rispetto di misure di prevenzione, secondo un approccio c.d. multi-rischio, e di meccanismi di segnalazione volti a «incrementare il livello comune di sicurezza nell'Unione europea». In particolare nell’ambito degli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica, per rendersi diligenti a fronte di tali prescrizioni, la NIS-2 è orientata ad imporre agli interessati di rendere conto della propria attività per mezzo di apposita documentazione.
Come per la generalità delle misure previste dalla direttiva e dal d.lgs. n. 138/2024, anche il grado di dettaglio e di aggiornamento della documentazione rilevante è improntato al principio di proporzionalità, secondo una valutazione che tenga conto anche del grado effettivo di informatizzazione del soggetto, delle sue dimensioni, del tipo di attività svolta e della concreta esposizione al rischio informatico.
La documentazione richiesta nel dettaglio
Nel dettaglio, le società e gli altri soggetti interessati dalla direttiva sono chiamati a documentare quanto segue:
l’adempimento alle prescrizioni formulate sulla base dell’art. 20 NIS-2 e dell’art. 23 d.lgs. 138/2024: in tale prospettiva è opportuno redigere un piano di gestione dei rischi, nonché un piano di formazione e di consapevolezza sul rischio, sia per gli organi di gestione che per i dipendenti dei soggetti importanti ed essenziali; pur non essendovi prescrizioni esplicite sul punto, appare quantomeno opportuno che gli organi di amministrazione e direttivi si procurino e conservino gli attestati di avvenuta formazione;
la conformità a quanto dettato sulla base dell’art. 21 NIS-2: tale disposizione implica una varietà di documenti da stilare e aggiornare, che va dalle policy sui backup, sul ripristino in caso di disastro e in generale sulla sicurezza dei sistemi informativi, alle tabelle di valutazione dei rischi (risk assessment tables);
il rispetto della procedura di segnalazione prevista dal combinato disposto dell’art. 23 NIS-2 e dell’art. 25 d.lgs. n. 138/2024: a tal proposito è necessario che, qualora abbia luogo un incidente rilevante ai sensi della direttiva, il soggetto si attivi per comunicare al CSIRT (che per l’Italia è costituito dall’ACN) l’avvenuto incidente. Esso dovrà infatti predisporre e inviare una cosiddetta pre-notifica (ove possibile) entro 24 ore dalla conoscenza dell’evento pregiudizievole, una notifica con eventuali aggiornamenti entro 72 ore da detta conoscenza, nonché una relazione finale sull’incidente entro un mese dalla predetta notifica (relazione che può divenire obbligatoria anche per i mesi successivi qualora si trattasse di incidente ancora in corso al momento della relazione finale);
In aggiunta a quanto sopra, va ricordato che, a norma dell’art. 30 d.lgs. 138/2024, i soggetti essenziali e importanti comunicano e aggiornano, tramite la piattaforma digitale di cui all'articolo 7 del decreto, un elenco delle proprie attività e servizi, comprensivo degli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
Conclusioni
La normativa ad oggi vigente, nell’ottica della conformità alle prescrizioni da essa poste, pare lasciare ai soggetti su cui gravano gli obblighi (o forse sarebbe meglio dire «oneri») sopra descritti una certa libertà di forma per quanto riguarda i documenti da stilare. Tali soggetti sono infatti gravati primariamente da obiettivi da perseguire, e da un relativo onere di provare quanto fatto per rispettare realizzarli. La documentazione cui si è fatto cenno sopra, pertanto, non è al momento caratterizzata da formalismi per quanto attiene la denominazione o le formule in essa utilizzate. Sembra essere preferito un criterio di realizzazione concreta e sostanziale dell’obiettivo di garanzia della cybersicurezza e della stabilità dei sistemi informativi rilevanti.
Comments