AO_461

88 | APRILE 2025 AUTOMAZIONE OGGI 461 AUTOMAZIONE OGGI Tutorial sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informa- zioni già trasmesse nella pre-notifica e indichi una valutazione iniziale dell’in- cidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compro- missione; • una relazione finale entro un mese dalla trasmissione della notifica di incidente. 3. I soggetti essenziali sono sottoposti a su- pervisione ex ante ed ex post. 4. I soggetti importanti sono sottoposti solo alla supervisione ex post. In tema di supervisione gli attori chiave sono è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli. I soggetti essenziali e i soggetti importanti devono notificare: • senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, in- dichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli oppure possa avere un impatto transfrontaliero; • senza ingiustificato ritardo, e comunque entro 72 ore (24 ore nel caso di un pre- statore di servizi fiduciari) da quando Fig. 4 - Principali scadenze per i soggetti tre: ACN, Csirt e soggetti essenziali/impor- tanti. Le autorità nazionali competenti assi- curano che le imprese rispettino i requisiti di legge e monitorino la compliance mediante ispezioni e supervisione su base regolare o a seguito di un incidente significativo o di una violazione. Ricevono, inoltre, i rapporti sugli incidenti, impongono misure di supervisione o attuative per assicurare la conformità, col- laborano con i gruppi Csirt sulle risposte tecniche agli incidenti, partecipano alla condivisione delle informazioni e al coordi- namento a livello UE e cooperano con le au- torità degli altri Stati membri. I gruppi Csirt intervengono nelle fasi di rilevamento, ana- lisi e risposta agli incidenti di cybersicurezza, coordinano le risposte tecniche per mitigare l’impatto, divulgano informazioni su minacce e vulnerabilità e facilitano la cooperazione e lo scambio di informazioni a livello UE. I sog- getti essenziali e importanti implementano le misure di sicurezza, danno evidenza della conformità e riportano gli incidenti signifi- cativi e, su base volontaria, gli incidenti non significativi e i quasi-incidenti. L’Articolo 34 della direttiva definisce le condi- zioni generali per imporre sanzioni ammini- strative pecuniarie effettive, proporzionate e dissuasive in relazione alle violazioni dei sog- getti essenziali e importanti. Gli Stati membri provvedono affinché, ove violino l’articolo 21 o 23: • i soggetti essenziali siano soggetti a san- zioni pecuniarie amministrative pari a un massimo di almeno 10.000.000 euro o a un massimo di almeno il 2% del to- tale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore. • i soggetti importanti siano soggetti a sanzioni pecuniarie amministrative pari a un massimo di almeno 7.000.000 euro o a un massimo di almeno l’1,4% del to- tale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore. Principali scadenze ll 16 ottobre 2024 è entrato in vigore il De- creto Legislativo 4 settembre 2024, n. 138, che ha recepito in Italia la Direttiva (UE) 2022/2555 (c.d. Direttiva NIS2), e da quella data si è partiti con delle puntuali scadenze esposte in figura 4. Fig. 3 - Notifica degli incidenti