Direttiva NIS 2 sulla Sicurezza Cibernetica: Implementazione, Ambito di Applicazione e Prime Scadenze

La Direttiva europea n. 2555/2022 che stabilisce "misure per garantire un livello elevato di sicurezza informatica nell'Unione" è stata recepita in Italia attraverso un decreto legislativo emanato a ottobre. Queste disposizioni si applicano sia agli enti pubblici che, con alcune differenze, agli enti privati; in particolare, le aziende di determinati settori, selezionate anche in base alla loro grandezza, sono direttamente coinvolte.

Contenuti della Normativa

La Direttiva in questione fa parte di un ampio insieme di strumenti legali e iniziative a livello europeo, finalizzati a migliorare la resilienza di enti pubblici e privati contro le minacce cibernetiche. Il decreto di recepimento italiano (D.Lgs. 138/2024) stabilisce che alcune aziende dovranno registrarsi presso l'autorità competente entro febbraio 2025 e, a partire da gennaio 2026, implementare misure organizzative e tecniche per gestire i rischi legati alle minacce informatiche. In Italia, l'autorità responsabile per la regolazione e la supervisione dell'applicazione della normativa è l'Agenzia per la Cybersicurezza Nazionale (ACN), che ha il compito di definire obblighi di gestione del rischio, anche attraverso linee guida e raccomandazioni non vincolanti.

Ambito di Applicazione

La regolamentazione si applica, oltre alla maggior parte delle amministrazioni pubbliche, agli attori operanti nei cosiddetti "settori ad alta criticità" e in "altri settori critici", come dettagliato negli allegati I e II del decreto di recepimento. Le indicazioni per determinare se un'azienda è soggetta alla Direttiva NIS 2 si trovano negli articoli 2 (Definizioni) e 3 (Ambito di applicazione) del decreto legislativo n. 138/2024, considerando che le aziende appartenenti a "settori ad alta criticità" o "critici" devono essere almeno di dimensioni medie. Le piccole imprese sono generalmente escluse, salvo casi specifici di settori particolari. Le FAQ pubblicate da ACN sono utili per chiarire se un soggetto rientra o meno nell'ambito di applicazione.

Obblighi e Adempimenti per le Aziende

Il sistema di responsabilità e di adempimenti è strutturato in modo graduale, come previsto dalla Direttiva europea e dettagliato nel decreto di recepimento.

Pur riservandoci ulteriori approfondimenti, possiamo riassumere le attività richieste alle aziende soggette alla Direttiva e al decreto NIS 2 (i riferimenti sono agli articoli del decreto attuativo):

  • Organi di Amministrazione e Direttivi Articolo 23: gli organi di amministrazione e i dirigenti devono formarsi specificamente sulla sicurezza informatica e implementare una formazione adeguata per il personale, al fine di aumentare la consapevolezza e garantire una risposta efficace alle minacce informatiche. Gli amministratori sono anche responsabili dell'attuazione delle misure e di eventuali violazioni degli obblighi normativi.
  • Misure di Sicurezza Informatica Articolo 24: i soggetti soggetti alla NIS 2, suddivisi in "soggetti essenziali" e "soggetti importanti", devono adottare misure tecniche, operative e organizzative adeguate a gestire i rischi per la sicurezza dei loro sistemi informativi e di rete. I dirigenti devono approvare le modalità di attuazione delle misure, che devono seguire un approccio multirischio. Le misure dovrebbero includere:
  • Politiche di analisi dei rischi e sicurezza dei sistemi.
  • Gestione degli incidenti, comprese procedure per le notifiche.
  • Continuità operativa, inclusa la gestione dei backup.
  • Sicurezza della catena di approvvigionamento.
  • Sicurezza nello sviluppo e nella manutenzione dei sistemi.
  • Valutazione dell'efficacia delle misure di sicurezza.
  • Formazione e pratiche di igiene della sicurezza.
  • Politiche di crittografia e gestione degli accessi.
  • Uso di soluzioni di autenticazione sicura.
  • Notifica di Incidente Articolo 25: i soggetti essenziali e importanti devono notificare senza ritardi ingiustificati al CSIRT Italia ogni incidente significativo che impatti i loro servizi, a partire dalla registrazione al portale ACN.

Prime Scadenze

Dal 1° dicembre 2024 al 28 febbraio 2025: le aziende interessate devono registrarsi su una piattaforma dedicata sul sito di ACN, fornendo dati anagrafici e informazioni sui settori di appartenenza. ACN fornirà un riscontro entro aprile 2025 per confermare l'appartenenza al campo di applicazione della Direttiva NIS 2.

La registrazione per alcuni operatori del settore informatico-digitale deve avvenire entro il 17 gennaio 2025.

Entro gennaio 2026: rispetto degli obblighi di notifica di incidenti.

Entro ottobre 2026: adempimento degli obblighi di sicurezza informatica, tra cui formazione e monitoraggio delle misure di sicurezza.

Pronto a cercare la tua opportunità?

Consulenza qualificata per  la conformità normativa, i processi di certificazione e l’accesso alla finanza agevolata per le imprese
Copyright © 2021 Interconsulting SRL - All Rights Reserved
Partita IVA: 04474180272
Copyright © 2021 Interconsulting SRL - All Rights Reserved
Partita IVA: 04474180272
chevron-down
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram