SPS_2026

SPECIALE SPS ITALIA 2026 25 Tutorial zionali competenti assicurano che le imprese rispettino i requisiti di legge e monitorino la compliance mediante ispezioni e supervisione su base rego- lare o a seguito di un incidente signi- ficativo o di una violazione. Ricevono, inoltre, i rapporti sugli incidenti, im- pongono misure di supervisione o at- tuative per assicurare la conformità, collaborano con i gruppi Csirt sulle ri- sposte tecniche agli incidenti, parteci- pano alla condivisione delle informa- zioni e al coordinamento a livello UE e cooperano con le autorità degli altri Stati membri. I gruppi Csirt interven- gono nelle fasi di rilevamento, analisi e risposta agli incidenti di cybersicurez- za, coordinano le risposte tecnicheper mitigare l’impatto, divulgano informa- zioni su minacce e vulnerabilità e faci- litano la cooperazione e lo scambio di informazioni a livello UE. I soggetti es- senziali e importanti implementano le misure di sicurezza, danno evidenza della conformità e riportano gli inci- denti significativi e, su base volontaria, gli incidenti non significativi e i qua- si-incidenti. L’Articolo34dellaDirettiva definisce le condizioni generali per imporre san- zioni amministrative pecuniarie ef- fettive, proporzionate e dissuasive in relazione alle violazioni dei soggetti essenziali e importanti. Gli Stati mem- bri provvedono affinché, ove violino l’articolo 21 o 23: • i soggetti essenziali sono soggetti a sanzioni pecuniarie amministra- tive pari a un massimo di almeno 10.000.000 euro o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio pre- cedente dell’impresa cui il sogget- to essenziale appartiene, se tale im- porto è superiore. • i soggetti importanti siano sogget- Principali scadenze ll 16 ottobre 2024 è entrato in vigore il Decreto Legislativo 4 settembre 2024, n. 138, che ha recepito in Italia la Di- rettiva (UE) 2022/2555 (c.d. Direttiva NIS2), e da quella data si è partiti con delle puntuali scadenze esposte in fi- gura 4. Fig. 4 - Principali scadenze per i soggetti Soggetti importanti Soggetti essenziali massimo di almeno 7.000.000 euro o l’1,4 % del totale del fatturato globale annuo massimo di almeno 10.000.000 euro o il 2 % del totale del fatturato globale annuo Divulgazione delle vulnerabilità La direttiva NIS2 introduce un processo strutturato e coordinato di di- vulgazione delle vulnerabilità (CVD, Coordinated Vulnerability Disclosu- re) e un database europeo per aumentare la trasparenza sulle vulnera- bilità tra Stati membri. Il processo di divulgazione inizia con la scoperta di nuove vulnerabilità da parte dei ricercatori di sicurezza o hacker etici che avviano due canali di comunicazione, un primo canale diretto all’a- zienda interessata dalla vulnerabilità e all’operatore/fornitore e un se- condo canale al gruppo Csirt nazionale che può coordinare la divulga- zione su richiesta. Gli Stati membri devono adottare una politica CVD nazionale che assicuri la divulgazione tempestiva ed efficace delle vul- nerabilità, inmodo tale che i soggetti interessati abbiano a disposizione un tempo sufficiente per trovare un rimedio o una soluzione prima della diffusione pubblica. Il processo continua con la divulgazione pubblica e la registrazione delle informazioni sulle vulnerabilità divulgate pubbli- camente in un database europeo Euvd gestito dall’Enisa. Fig. 5 - Divulgazione delle vulnerabilità (fonte Enisa) Linee guida per il rafforzamento della resilienza ti a sanzioni pecuniarie amministra- tive pari a un massimo di almeno 7.000.000 euro o a un massimo di almeno l’1,4% del totale del fattu- rato mondiale annuo per l’esercizio precedente dell’impresa cui il sog- getto importante appartiene, se tale importo è superiore.