La Direttiva Europea 2022/2555 (NIS 2) è stata recepita dall’Italia con il Decreto Legislativo 4 settembre 2024, n. 138 (vigente al 16-10-2024), relativa alle misure di sicurezza dei sistemi informativi e di rete (cybersicurezza).
La direttiva e il decreto di recepimento affrontano la sicurezza e la resilienza dei sistemi informativi delle strutture critiche con un approccio basato sul rischio, in modo strategico e olistico.
Aziende e PA, individuati dalla normativa quali soggetti Essenziali e Importanti, sono chiamate a ripensare i modelli di cybersicurezza dall’entrata in vigore del D.Lgs 2024/138.
Pertanto?
Keep Calm...!
La normativa NIS 2 prevede un cronoprogramma di attuazione.
Prima fase:
- entro il 28 febbraio 2025 occorre capire/valutare (Assessment) se si è soggetti Importanti o Essenziali (diretti o facenti parte della supply chain) e, pertanto, registrarsi sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale);
- entro il 17 gennaio 2025 i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonche’ i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, che rientrano nell’ambito di applicazionedel della normativa NIS 2, dovranno registrarsi sulla piattaforma ACN;
- entro il 15 aprile 2025, ACN comunicherà l’elenco ufficiale dei soggetti a cui si applica la NIS 2.
Seconda fase:
- entro il 31 dicembre 2025 i soggetti a cui si applica la NIS 2 devono adeguarsi all’articolo 25 relativo all’Obbligo di notifica di incidente, con evidenza di Procedure adeguate al rischio nella gestione degli incidenti informatici.
entro il 1° ottobre 2026, si dovrà adempiere:
- agli obblighi in materia di valutazione dei rischi e attuazione misure di sicurezza;
- agli obblighi di individuazione ed nomina degli organi di amministrazione e direttivi;
Cosa fare da oggi?
Innanzitutto il D. Lgs 2024/138 (NIS 2) prevede un complesso sistema sanzionatorio di assoluto rilievo.
Quindi!
Attivarsi da Subito per un Assessment è fondamentale e strategico.
Iniziare a valutare i rischi per i sistemi critici.
Dotarsi di Procedure per la notifica di incidenti.
(Cataldi Gianni, DPO e Privacy Officer)