CH Consulting

NIS 2, ci siamo..! La sicurezza cibernetica priorità strategica per l’Italia

La Direttiva Europea  2022/2555 (NIS 2) è stata recepita dall’Italia con il Decreto Legislativo 4 settembre 2024, n. 138 (vigente al 16-10-2024), relativa alle misure di sicurezza dei sistemi informativi e di rete (cybersicurezza).

La direttiva e il decreto di recepimento affrontano la sicurezza e la resilienza dei sistemi informativi delle strutture critiche con un approccio basato sul rischio, in modo strategico e olistico.

Aziende e PA, individuati dalla normativa quali soggetti Essenziali e Importanti, sono chiamate a ripensare i modelli di cybersicurezza dall’entrata in vigore del D.Lgs 2024/138.

Cybersecurity

Pertanto?

Keep Calm...!

La normativa NIS 2 prevede un cronoprogramma di attuazione.

Prima fase:

  1. entro il 28 febbraio 2025 occorre capire/valutare (Assessment) se si è soggetti Importanti o Essenziali  (diretti o facenti parte della supply chain) e, pertanto, registrarsi sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale);
  2. entro il 17 gennaio 2025 i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche’ i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, che rientrano nell’ambito di applicazionedel della normativa NIS 2, dovranno registrarsi sulla  piattaforma ACN;
  3. entro il 15 aprile 2025, ACN comunicherà l’elenco ufficiale dei soggetti a cui si applica la NIS 2.

Seconda fase:

  1. entro il 31 dicembre 2025 i soggetti a cui si applica la NIS 2 devono adeguarsi all’articolo 25 relativo all’Obbligo di notifica di incidente, con evidenza di Procedure adeguate al rischio nella gestione degli incidenti informatici.
  2. entro il 1° ottobre 2026, si dovrà adempiere:

    • agli obblighi in materia di valutazione dei rischi e attuazione misure di sicurezza;
    • agli obblighi di individuazione ed nomina degli organi di amministrazione e direttivi;

Cosa fare da oggi?

Innanzitutto il D. Lgs 2024/138 (NIS 2) prevede un complesso sistema sanzionatorio di assoluto rilievo.

Quindi!

Attivarsi da Subito per un Assessment è fondamentale e strategico.

Iniziare a valutare i rischi per i sistemi critici.

Dotarsi di Procedure per la notifica di incidenti.

(Cataldi Gianni, DPO e Privacy Officer)

Torna in alto