Negli ultimi anni, la sicurezza informatica è diventata una priorità assoluta per l’Unione Europea. Con la Direttiva NIS2 (Network and Information Security 2), il legislatore europeo ha voluto rafforzare le difese contro le minacce informatiche, estendendo gli obblighi di cybersicurezza a un numero più ampio di enti e aziende. L’Italia ha recepito questa normativa con il decreto legislativo n. 138 del 4 settembre 2024, che impone misure più stringenti di protezione dei dati e delle infrastrutture digitali.
Ma cosa significa questo per il mondo forense? Gli ordini degli avvocati e il Consiglio Nazionale Forense (CNF) devono adeguarsi a queste nuove regole? La risposta arriva proprio dal CNF, che con una comunicazione ufficiale, scaricabile in PDF nel box qui sotto, ha fornito chiarimenti. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
Indice
1. Il parere del CNF: gli ordini forensi devono adeguarsi alla NIS2?
Di fronte a una normativa così impattante, il CNF ha deciso di fare chiarezza, analizzando nel dettaglio se la direttiva si applica anche alle istituzioni forensi. Il decreto legislativo che recepisce la NIS2 in Italia stabilisce che le nuove regole valgono per le pubbliche amministrazioni, individuate dall’ISTAT sulla base della legge n. 196/2009.
La questione nasce dal fatto che, secondo l’allegato III del decreto, la normativa si applica agli enti a struttura associativa, categoria in cui rientrano gli ordini forensi. Tuttavia, affinché un ente sia effettivamente obbligato ad adeguarsi alla normativa, deve anche essere incluso nell’elenco delle pubbliche amministrazioni riconosciute dall’ISTAT.
E qui sta il punto: gli ordini forensi non sono presenti nell’elenco ISTAT. Questo significa che, nonostante siano enti pubblici non economici, non rientrano nel perimetro della NIS2. In altre parole, il CNF e i Consigli dell’Ordine degli Avvocati non sono obbligati ad adeguarsi alle nuove regole di cybersicurezza imposte dalla direttiva. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
NIS 2 ed Evoluzione della Cybersicurezza Nazionale
Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.
Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025
34.20 €
2. Cosa cambia (e cosa no) per gli avvocati
Questa esclusione può sembrare un sollievo per gli ordini forensi, ma non significa che la sicurezza informatica possa essere sottovalutata. Anche se non esiste un obbligo legale specifico, la protezione dei dati e dei sistemi informatici rimane un aspetto fondamentale per la professione legale. Gli avvocati trattano ogni giorno informazioni sensibili, spesso coperte da segreto professionale, e un attacco informatico potrebbe avere conseguenze gravissime.
Il CNF, pur chiarendo che la direttiva NIS2 non si applica agli ordini forensi, invita comunque a rafforzare la protezione dei sistemi informatici, adottando misure di sicurezza adeguate. La cybersicurezza, infatti, non è solo una questione di obblighi normativi, ma di responsabilità professionale e tutela dei diritti dei clienti.
3. Conclusioni
La Direttiva NIS2 segna un passo importante per la sicurezza informatica nell’Unione Europea, ma per il mondo forense la situazione è più sfumata. Il Consiglio Nazionale Forense e gli Ordini degli Avvocati non sono obbligati ad adeguarsi, poiché non rientrano tra le pubbliche amministrazioni individuate dall’ISTAT. Tuttavia, la questione della sicurezza informatica rimane centrale per la professione legale.
In un’epoca in cui le minacce digitali sono sempre più sofisticate, proteggere i dati e i sistemi informatici degli studi legali è una necessità, indipendentemente dagli obblighi normativi. La comunicazione del CNF rappresenta quindi non solo un chiarimento, ma anche un’opportunità per il mondo forense di riflettere sull’importanza della cybersicurezza. Dopotutto, prevenire è sempre meglio che curare, soprattutto quando si tratta di dati sensibili e diritti fondamentali.
Ti interessano questi contenuti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento