L’entrata in vigore del D.lgs. 138/2024 ha sancito il recepimento della direttiva NIS 2 in Italia, imponendo nuovi obblighi alle organizzazioni che operano in settori essenziali. Scopriamo insieme quali sono le novità in termini di cybersecurity, chi è coinvolto e quali sono le scadenze da rispettare.
Il nostro paese ha recepito ufficialmente la Direttiva NIS 2 (Direttiva UE 2022/2555), chiarendo gli adempimenti necessari per le organizzazioni in Italia. Si tratta di un importante passo avanti nel rafforzamento della sicurezza informatica a livello europeo, con l’obiettivo di innalzare il livello di protezione contro le minacce cyber.
Cosa cambia rispetto alla NIS 1
Rispetto alla precedente Direttiva NIS 1 (2016/1148), la NIS 2 amplia il campo di applicazione, includendo un numero maggiore di organizzazioni e introducendo misure più stringenti. Tra le principali novità:
- Maggiore applicabilità: Il numero di soggetti coinvolti è aumentato, includendo nuove categorie di imprese e settori, tra cui (in maniera esemplificativa e non esaustiva) trasporto pubblico locale, società partecipate e in house.
- Analisi dei rischi: Le organizzazioni devono eseguire una valutazione dei rischi e adottare misure di sicurezza adeguate al proprio contesto operativo.
- Misure proporzionate: Le misure di sicurezza devono essere compatibili con le capacità economiche delle organizzazioni, garantendo flessibilità nell’attuazione.
Le scadenze principali
Le organizzazioni interessate dovranno rispettare le seguenti scadenze:
- Entro il 28 febbraio 2025: Autovalutazione per verificare se si rientra tra i soggetti essenziali o importanti e registrazione sulla piattaforma ACN.
- Entro il 15 aprile 2025: L’ACN confermerà l’applicabilità della NIS 2 ai soggetti registrati.
- Entro il 1 gennaio 2026: Adeguamento alle misure di gestione degli incidenti (art. 25) e aggiornamento annuale delle informazioni (art. 30).
- Entro ottobre 2026: Adeguamento agli obblighi relativi a gestione dei rischi e misure di sicurezza (artt. 23, 24, 29).
Applicabilità della NIS 2
La direttiva si applica a soggetti essenziali e importanti in settori strategici come energia, trasporti, banche, infrastrutture digitali e sanitari. Le organizzazioni dovranno identificare autonomamente se rientrano nei criteri di applicabilità, valutando il proprio settore e la dimensione aziendale (più di 50 dipendenti e un fatturato superiore ai 10 milioni di euro).
Misure di sicurezza e gestione degli incidenti
Il D.lgs. 138 prevede una serie di misure di sicurezza obbligatorie per le organizzazioni interessate dalla NIS 2, tra cui la gestione dei rischi, la continuità operativa e la sicurezza della catena di approvvigionamento. Inoltre, è previsto l’obbligo di notificare tempestivamente gli incidenti significativi, così come definiti dall’articolo 25.
Conclusione
Il recepimento della NIS 2 in Italia rappresenta una sfida per le organizzazioni, ma anche un’opportunità per migliorare la propria sicurezza informatica. Le scadenze ravvicinate richiedono un’attenta pianificazione e l’implementazione di misure adeguate per garantire la conformità alla normativa.
Approfondimenti
Per informazioni dettagliate è disponibile il sito dell’Agenzia per la Cybersicurezza Nazionale (ACN) dove è presente, tra l’altro, una pagina di domande frequenti sulla NIS 2.
Sul tema della NIS 2 abbiamo tenuto due webinar: è possibile visionare la registrazione cliccando sulle immagini qui sotto.
Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.
Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.
Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Telegram