1. DIRETTIVA NIS 2 E RECEPIMENTO IN ITALIA
2 L’ANTI-MONEY LAUNDERING PACKAGE
3 LA “PIENA CONOSCENZA” DEL PERMESSO DI COSTRUIRE AI FINI DELLA DECORRENZA DEL TERMINE PER L’IMPUGNAZIONE
DIRETTIVA NIS 2 E RECEPIMENTO IN ITALIA
La Direttiva dell’UE Network and Information Security, n. 2555 del 2022 (c.d. Direttiva NIS 2) ha come obiettivo quello di fare dello spazio europeo dell’Unione un ecosistema digitale sicuro e resiliente, superando la frammentazione normativa dei singoli Stati membri e implementando una strategia condivisa in materia di cyber security per una gestione uniforme del rischio cyber e aumentando il livello di accountability e di risposta tempestiva e coordinata agli incidenti informatici con il potenziamento della resilienza delle infrastrutture critiche.
Già con il Decreto Legge del 21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n. 133, l’Italia ha prescritto norme in materia di sicurezza informatica cui le imprese che operano in settori strategici devono adeguarsi – ossia, quelle imprese che, ai sensi dell’ art. 1, commi 1 e 2-bis del D.L., svolgono funzioni essenziali per lo Stato o prestano un servizio essenziale per il mantenimento di attività civili, sociali, economiche fondamentali per lo Stato e il cui funzionamento può avere impatti sulla sicurezza nazionale[1] – e le ha incluse nel c.d. Perimetro di Sicurezza Cibernetica Nazionale (PSCN).
Le due normative coprono ambiti solo parzialmente sovrapponibili e quindi restano in vigore entrambe.
In particolare, il Decreto italiano di recepimento della Direttiva NIS 2 (D.lgs. n. 138/2024) all’art. 33 dispone che alle reti, i sistemi informativi e i servizi informatici individuati dai soggetti inseriti nel PSCN e secondo i criteri definiti dal Tavolo Interministeriale per l’attuazione del PSCN, di cui al DPCM n. 131/2020, e comunicati all’Agenzia per la cybersicurezza Nazionale (ACN) non si applichino le disposizioni da esso previste ma continuino ad essere soggetti alla disciplina del PSCN in quanto considerata almeno equivalente. Allo stesso modo i soggetti ricompresi nel PSCN non sono sottoposti agli obblighi di notifica effettuata secondo la disciplina NIS 2.
Ne deriva che, per differenza, anche per i soggetti inseriti nel PSCN si applichi la Direttiva NIS 2, avendo esclusivo riguardo alle reti, sistemi informatici e servizi informatici che non sono ricompresi nell’elenco comunicato alla ACN ai sensi del PSCN.
Per quanto riguarda, inoltre, i soggetti cui si applica già il Regolamento UE n. 2554/2022 – c.d Regolamento DORA – che ha introdotto obblighi di governane e di sicurezza e che trova applicazione esclusiva ai soggetti del settore finanziario tra i quali , banche, istituti di moneta elettronica, imprese di investimento, società di gestione di intermediari assicurativi, fornitori di servizi di crowdfunding, fornitori terzi di servizi TIC, fornitori di servizi per le cripto-attività, questi soggetti resteranno soggetti unicamente al Regolamento DORA che costituisce lex specialis rispetto alla norma di carattere generale NIS 2.
Il coordinamento tra i due Regolamenti è disciplinato dalle Linee Guida “Orientamenti della Commissione sull’applicazione dell’art. 4, par. 1 e (2) della Direttiva UE 2022/2555 (Direttiva NIS)” emanati dalla Commissione Europea che nel regolare i rapporti tra la NIS 2 e gli altri Atti giuridici settoriali dell’UE stabilisce che, invece delle disposizioni previste dalla NIS 2, dovrebbero appunto applicarsi quelle del Regolamento DORA.
Tornando all’analisi della disciplina della Direttiva NIS 2, quest’ultima si applica a soggetti pubblici o privati che prestano i propri servizi o svolgono la propria attività all’interno dell’UE, che siano qualificabili come media e/o grande impresa e rientrino in una delle due categorie soggettive individuate dalla Direttiva (“soggetti essenziali o “soggetti importanti”, a seconda del livello di criticità del settore di riferimento (“Alta criticità” per i soggetti qualificati come “essenziali”, di cui all’All. I della Direttiva, e criticità altre per i soggetti qualificati come “importanti”, di cui all’All. II della Direttiva – “Altri settori critici”).
Resta ferma la possibilità per i singoli Stati Membri di individuare alcuni soggetti come “essenziale” o “importante”, ai quali è possibile applicare la Direttiva NIS 2, a prescindere dall’esistenza dei suddetti criteri. In particolare, con riferimento ai fornitori di reti o servizi di comunicazione elettronica accessibili al pubblico; ai prestatori di servizi fiduciari; ai servizi per la gestione dei nomi di dominio; nonché, nei casi in cui il soggetto sia l’unico nell’ambito del singolo Stato membro ad offrire un servizio essenziale per il mantenimento di attività sociali o economiche o la cui perturbazione possa avere un impatto significativo sulla sicurezza pubblica e/o salute pubblica oppure possa determinare un rischio sistemico significativo, ovvero, svolga un servizio di particolare importanza a livello regionale.
In particolare, la Direttiva NIS 2 si muove secondo le seguenti direttrici fondamentali:
- previsione di veri e propri obblighi di governance in materia di cyber sicurezza, la cui violazione può esporre l’ente a sanzioni da parte dell’autorità preposta alla vigilanza e attuazione della normativa sulla cyber sicurezza, in Italia individuata in capo all’Agenzia per la Cybersicurezza Nazionale (ACN). L’Organo di gestione sarà dunque tenuto ad implementare tutti i presidi e/o le politiche individuate nell’ambito della Direttiva per la gestione del rischio di sicurezza informatica e la prevenzione degli incidenti informatici;
- implementazione delle misure di gestione dei rischi di cyber sicurezza e l’implementazione di presidi operativi di sicurezza cyber, di cui agli art. 21 della Direttiva NIS 2 e 24, del D.lgs. n. 138/2024 di recepimento in Italia: politiche di analisi dei rischi; politiche di sicurezza informatica adeguate al rischio cyber individuato; policy per la gestione degli incidenti informatici; politiche di business continuity (tra cui, gestione del backup; disaster recovery e politiche di crisis management); due diligence sui fornitori al fine di valutare la gestione dei rischi cyber e le misure di sicurezza informatica implementate dai fornitori, richiedendo per mezzo di clausole contrattuali l’implementazione di misure per la gestione del rischio di cyber sicurezza; pratiche di igiene informatica di base; policy per l’uso della crittografia; soluzioni di autenticazione a più fattori;
- l’obbligo di notifica tempestiva degli incidenti informatici (art. 23, Direttiva NIS 2).
In particolare, con riferimento alla tipologia di incidenti con impatto significativo e, quindi, in grado di causare una grave perturbazione dei servizi, perdite finanziarie o in grado di provocare perdite consistenti, il Decreto Cybersicurezza, all’art. 25 prescrive che entro 24 ore dall’accaduto, l’incidente venga notificato allo CSIRT (Computer Security Incident Response Team), il gruppo di intervento nazionale per la risposta agli incidenti informatici di carattere nazionale istituito presso l’Agenzia per la cyber sicurezza nazionale – ACN.
I tempi per la segnalazione di un incidente significativo sono di 24 ore per la notifica preliminare, indicando se l’incidente è il risultato di atti illegittimi o malevoli con potenziale impatto (o meno) transfrontaliero. Di 72 ore per la notifica vera e propria comprensiva della valutazione circa la gravità dell’incidente, dell’impatto e degli indicatori di compromissione. Infine a un mese dall’incidente, la comunicazione di un report finale con indicazione esaustiva delle cause dell’incidente, delle misure di sicurezza attuate e previste nell’action plan;
- l’obbligo di prevedere una formazione specifica diretta a sensibilizzare il personale sulle tematiche correlate alle minacce informatiche, al phishing o alle tecniche di ingegneria sociale.
Quanto alle tempistiche per l’adeguamento, il Decreto italiano di recepimento della NIS 2 (D.Lgs. 4 settembre 2024, n. 138) ha previsto che entro il 2024 gli enti dovranno effettuare una valutazione preliminare per determinare l’applicabilità o meno della NIS 2 al proprio contesto organizzativo. Successivamente, gli enti cui la NIS 2 sarà risultata applicabile sulla base dei risultati dell’assessment preliminare[2], saranno tenuti a registrarsi sulla piattaforma digitale dell’ACN inserendo i dati richiesti. Entro Marzo 2025, l’ACN si esprimerà formalizzando l’elenco dei soggetti ritenuti essenziali o importanti. I soggetti inclusi nel predetto elenco riceveranno comunicazione circa l’avvenuto inserimento nel registro e saranno tenuti a integrare con informazioni aggiuntive i dati preliminarmente inseriti nel portale ACN. Dal momento della ricezione della comunicazione nel registro da parte dell’ACN decorreranno i termini previsti dal Decreto Cybersicurezza per l’adeguamento alla normativa.
[1] Tali imprese consistono in particolare nei soggetti individuati in un apposito Decreto del Presidente del Consiglio, richiamato dal DDL., n. 105/2019 e non soggetto a pubblicazione. Ai soggetti inclusi nell’elenco ne viene data comunicazione.
[2] Gli enti dovranno valutare la propria riferibilità ad uno dei soggetti inseriti negli Allegati I – IV., di cui al D.lgs. n. 138/2024, in particolare si fa riferimento ai seguenti soggetti: soggetti del settore energia; settore trasporti; settore bancario; infrastrutture dei mercati finanziari; settore sanitario; acqua potabile; acque reflue; infrastrutture digitali; gestione dei servizi TIC; Spazio (di cui all’All. I); settore dei servizi postali e corriere; settore gestione dei rifiuti; settore fabbricazione, produzione e distribuzione di sostanze chimiche; settore produzione, trasformazione e distribuzione di alimenti; settore fabbricazione; fornitori di servizi digitali; settore ricerca (di cui all’All. II); Amministrazioni Centrali, Regionali, Locali o altri soggetti pubblici tra cui, enti di regolazione dell’attività economica, enti produttori di servizi economici, enti a struttura associativa, enti produttori di servizi assistenziali, ricreativi e culturali, enti e le istituzioni di ricerca, istituti zooprofilattici sperimentali (di cui all’All. III); soggetti che forniscono servizi di trasporto pubblico locale; istituti di istruzione che svolgono attività di ricerca; soggetti che svolgono attività di interesse culturale; società in house, società partecipate e società a controllo pubblico (di cui all’All. IV).
L’ANTI-MONEY LAUNDERING PACKAGE
L’Unione Europea ha adottato definitivamente a giugno 2024 un pacchetto di misure antiriciclaggio e di contrasto al finanziamento del terrorismo (Anti-Money Laundering Package – AML Package) comprendente gli atti normativi elencati di seguito e che entrerà in vigore tra il 2025 e il 2029 con applicazione graduale
L’AML Package si compone di tre corpi normativi:
- il Regolamento Antiriciclaggio (c.d “Single rule book”, Regolamento UE n. 1624/2024);
- la VI Direttiva Antiriciclaggio (Direttiva UE n. 1640/2024);
- il Regolamento AMLA (Regolamento UE n. 1620/2024).
Tra le maggiori novità introdotte dall’AML package è possibile annoverare:
- l’istituzione di un registro centralizzato a livello UE dei titolari effettivi ove confluiscono le informazioni inserite nell’ambito dei Registri Centrali istituiti nei singoli Stati membri che ha l’obiettivo di agevolare sempre più una risposta coordinata e tempestiva a livello UE;
- la previsione di un libero accesso ai Registri Centrali da parte di portatori di un legittimo interesse, purché risulti dimostrabile.
Per tali soggetti, l’accesso alle informazioni contenute nei registri nazionali comporterà la visibilità alle generalità dei titolari effettivi di cassette di sicurezza, di conti correnti e di conti di cripto-attività. Viene inoltre ampliata la platea dei soggetti portatori di un legittimo interesse, tra cui vengono ricompresi anche i giornalisti e le organizzazioni di società civile;
- l’estensione dei poteri assegnati alle Financial Information Units (FIUs) per l’analisi e l’individuazione dei casi di riciclaggio e finanziamento del terrorismo; nonché, con riferimento ai casi di sospensione delle transazioni sospette (vedi, Direttiva UE n. 1640/2024);
- la previsione di modifiche al processo di adeguata verifica, prevendendo controlli rafforzati sull’identità dei Clienti e obblighi di segnalazione maggiori per i soggetti obbligati (vedi, Regolamento UE n. 1624/2024, c.d “Single rule book”);
- previsione di un limite-soglia per i pagamenti in contanti, comunemente applicato nell’ambito dell’UE, pari ad un massimo di 10 mila euro;
- istituzione di un’Autorità per la lotta al riciclaggio di denaro e al finanziamento del terrorismo (AMLA) con potere di supervisione diretta sui soggetti obbligati aventi un rischio riciclaggio elevato e di supportare e coordinare le FIUs, agevolando lo scambio di informazioni tra esse; nonché supervisionare l’attuazione di specifiche sanzioni finanziarie (vedi, Regolamento UE n. 1620/2024).
LA “PIENA CONOSCENZA” DEL PERMESSO DI COSTRUIRE AI FINI DELLA DECORRENZA DEL TERMINE PER L’IMPUGNAZIONE
La vexata quaestio della c.d. “piena conoscenza” dell’atto asseritamente lesivo dei diritti di soggetti terzi torna ad essere oggetto di una importante pronuncia dei Giudici di palazzo Spada. Infatti detta conoscenza non deve essere intesa quale “conoscenza piena ed integrale” del provvedimento stesso, ovvero di eventuali atti endoprocedimentali, dovendosi invece ritenere che sia sufficiente ad integrare il concetto di “piena conoscenza” la percezione dell’esistenza di un provvedimento amministrativo e degli aspetti che ne rendono evidente la lesività della sfera giuridica del potenziale ricorrente, facendo maturare in capo a quest’ultimo la consapevolezza dell’esistenza dell’ atto e della sua lesività. Ciò è quanto è stato chiarito dal Consiglio di Stato, Sez. IV., Sent. n. 4313 del 14 Maggio 2024.
Con specifico riferimento alla impugnazione dei titoli edilizi, premesso che la vicinitas di un soggetto rispetto all’area e alle opere edilizie contestate induce a ritenere che lo stesso abbia potuto avere più facilmente conoscenza della loro entità (anche prima della conclusione dei lavori), ai fini della decorrenza del termine di impugnazione di un permesso di costruire da parte di terzi, la percezione dell’effetto lesivo si atteggia diversamente a seconda che si contesti l’illegittimità del titolo (il c.d. an) per il solo fatto che esso sia stato rilasciato oppure, che si contesti il contenuto specifico del permesso (il c.d. quomodo, ossia ad esempio, per eccesso di volumetria o per violazione delle distanze minime tra fabbricati). Pertanto, nel caso in cui si sostenga che nessun manufatto poteva essere edificato sull’area, il momento dal quale computare i termini decadenziali di proposizione del ricorso sarà individuato nell’inizio dei lavori.
Laddove, invece, si contesti il quomodo, il termine decadenziale inizierà a decorrere dal completamento dei lavori o dal grado di sviluppo degli stessi, se si renda comunque palese l’esatta dimensione, consistenza e finalità, dell’erigendo manufatto.
Resta comunque ferma la possibilità di ricorrere sin dal momento della constatazione della presenza dello scavo (deve essere presente il cartello dei lavori e deve essere stata data effettiva pubblicità sull’albo pretorio del rilascio del titolo edilizio), senza quindi subordinare il termine di proposizione del ricorso all’esito positivo dell’eventuale istanza d’accesso presentata, per avere contezza della pratica edilizia. Invero, gli ulteriori documenti di cui si sia venuti a conoscenza all’esito dell’accesso potranno sempre essere impugnati con motivi aggiunti.
In definitiva, la “piena conoscenza” non può essere intesa come “conoscenza integrale” dei provvedimenti lesivi, salvo volere ritenere che il tradizionale rimedio dei motivi aggiunti non abbia una pratica ragion d’essere, o debba essere considerato come strumento residuale.