NIS 2: Decreto in Gazzetta Ufficiale, Italia fra le prime ad adeguarsi!
NIS2 è una normativa importante
che avrà un impatto significativo
sulla sicurezza informatica in Europa.
Le aziende, che operano in settori critici,
dovranno adottare misure adeguate,
per conformarsi ai nuovi requisiti.
🛡 Di cosa si tratta?
NIS2 sta per Direttiva NIS 2, una normativa dell’Unione Europea in tema di cybersecurity, che sta per essere introdotta per rafforzare la sicurezza informatica in tutti gli Stati membri dell’UE.
E’ l’aggiornamento di una precedente normativa, la direttiva NIS (Network and Information Security), entrata in vigore nel gennaio 2023.
🎯Quali sono gli obiettivi principali?
- Migliorare la resilienza cibernetica delle entità operative in settori critici come energia, trasporti, banche e infrastrutture digitali.
- Migliorare la cooperazione tra gli Stati membri dell’UE in materia di cybersecurity.
📰 La pubblicazione in Gazzetta
Il Decreto Legislativo 4 settembre 2024, n. 138, è stato pubblicato in Gazzetta Ufficiale, Serie Generale, n. 230 del 01 ottobre 2024.
Recepisce la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione > NIS2 .
🆕 Le misure introdotte:
Il decreto stabilisce le misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale,
contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea in modo da migliorare il funzionamento del mercato interno.
GLI AMBITI COINVOLTI:
L’Autorità Nazionale Competente per la NIS (ACN) gioca un ruolo essenziale nel determinare chi rientra tra i “soggetti essenziali” e i “soggetti importanti”, attraverso decisioni che coinvolgono le autorità di settore e il Tavolo per l’attuazione della disciplina NIS.
I nuovi settori sono 25 (distinti in altri sottosettori) di cui 10 altamente critici:
L’Allegato I individua i settori
ad ALTA CRITICITA’:
1. Energia,
2. Trasporti,
3. Settore bancario,
4. Infrastrutture dei mercati finanziari,
5. Settore sanitario,
6. Acqua potabile,
7. Acque reflue,
8. Infrastrutture digitali,
9. Gestione dei servizi TIC,
10. Spazio.
L’Allegato II individua ulteriori settori
CRITICI:
1. Servizi postali e di corriere,
2. Gestione dei rifiuti,
3. Fabbricazione, produzione e distribuzione di sostanze chimiche,
4. Produzione, trasformazione e distribuzione di alimenti,
5. Fabbricazione,
6. Ricerca.
Gli allegati III e IV descrivono le categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetti su cui impatta il decreto.
L’Allegato III riporta le Amministrazioni centrali, regionali, locali e alcuni altri soggetti pubblici ai quali gli obblighi si applicano indipendentemente dalle loro dimensioni, così ripartiti:
a) AMMINISTRAZION CENTRALI:
- gli Organi costituzionali e di rilievo costituzionale,
- la Presidenza del Consiglio dei ministri e i Ministeri,
- le Agenzie fiscali,
- le Autorità amministrative indipendenti.
b) AMMINISTRAZIONI REGIONALI:
- le Regioni e le Province autonome.
c) AMMINISTRAZIONI LOCALI:
- le Città metropolitane,
- i Comuni con popolazione superiore a 100.000 abitanti,
- i Comuni capoluoghi di regione,
- le Aziende sanitarie locali.
d) altri soggetti pubblici:
- gli Enti di regolazione dell’attività economica,
- gli Enti produttori di servizi economici,
- gli Enti a struttura associativa,
- gli Enti produttori di servizi assistenziali, ricreativi e culturali,
- gli Enti e le Istituzioni di ricerca,
- gli Istituti zooprofilattici sperimentali.
L’Allegato IV, infine, contiene ulteriori tipologie di soggetti quali:
- Soggetti che forniscono servizi di trasporto pubblico locale,
- Istituti di istruzione che svolgono attività di ricerca,
- Soggetti che svolgono attività di interesse culturale,
- Società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.
🗓 Vediamo gli adempimenti in ordine temporale:
-
ENTRO IL 31 DICEMBRE 2024:
Aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS 2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato.
-
TRA IL 1° GENNAIO E IL 28 FEBBRAIO 2025:
I soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
-
ENTRO IL 17 GENNAIO 2025:
Dovranno registrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network.
-
ENTRO IL 31 MARZO 2025:
L’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma.
- TRA IL 1° APRILE 2025 E IL 15 APRILE 2025:
Attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti.
- ENTRO IL 15 APRILE 2025:
I soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto, un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto.
- TRA IL 15 APRILE E IL 31 MAGGIO 2025:
I soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.
Chiusa questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel decreto.
A tal proposito, a titolo esemplificativo:
- A PARTIRE DAL 1° GENNAIO 2026, si dovrà adempiere all’obbligo di notifica degli incidenti.
- ENTRO IL 1° OTTOBRE 2026, si dovrà adempiere:
- agli obblighi degli organi di amministrazione e direttivi;
- agli obblighi in materia di misure di sicurezza;
- all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.
👇🏻
Contattaci per una CONSULENZA GRATUITA
e per ADEGUARE TEMPESTIVAMENTE la tua impresa alla normativa NIS2