Il nostro paese ha recepito ufficialmente la Direttiva NIS 2 (Direttiva UE 2022/2555), chiarendo gli adempimenti necessari per le organizzazioni in Italia. Si tratta di un importante passo avanti nel rafforzamento della sicurezza informatica a livello europeo, con l’obiettivo di innalzare il livello di protezione contro le minacce cyber.

Cosa cambia rispetto alla NIS 1

Rispetto alla precedente Direttiva NIS 1 (2016/1148), la NIS 2 amplia il campo di applicazione, includendo un numero maggiore di organizzazioni e introducendo misure più stringenti. Tra le principali novità:

1. Maggiore applicabilità: Il numero di soggetti coinvolti è aumentato, includendo nuove categorie di imprese e settori, tra cui (in maniera esemplificativa e non esaustiva) trasporto pubblico locale, società partecipate e in house.
2. Analisi dei rischi: Le organizzazioni devono eseguire una valutazione dei rischi e adottare misure di sicurezza adeguate al proprio contesto operativo.
3. Misure proporzionate: Le misure di sicurezza devono essere compatibili con le capacità economiche delle organizzazioni, garantendo flessibilità nell’attuazione.

Le scadenze principali

Le organizzazioni interessate dovranno rispettare le seguenti scadenze:

• Entro il 17 gennaio 2025: Autovalutazione per verificare se si rientra tra i soggetti essenziali o importanti e registrazione sulla piattaforma ACN.
• Entro il 15 aprile 2025: L’ACN confermerà l’applicabilità della NIS 2 ai soggetti registrati.
• Entro il 1 gennaio 2026: Adeguamento alle misure di gestione degli incidenti (art. 25) e aggiornamento annuale delle informazioni (art. 30).
• Entro ottobre 2026: Adeguamento agli obblighi relativi a gestione dei rischi e misure di sicurezza (artt. 23, 24, 29).

Applicabilità della NIS 2

La direttiva si applica a soggetti essenziali e importanti in settori strategici come energia, trasporti, banche, infrastrutture digitali e sanitari. Le organizzazioni dovranno identificare autonomamente se rientrano nei criteri di applicabilità, valutando il proprio settore e la dimensione aziendale (più di 50 dipendenti e un fatturato superiore ai 10 milioni di euro).

Misure di sicurezza e gestione degli incidenti

Il D.lgs. 138 prevede una serie di misure di sicurezza obbligatorie per le organizzazioni interessate dalla NIS 2, tra cui la gestione dei rischi, la continuità operativa e la sicurezza della catena di approvvigionamento. Inoltre, è previsto l’obbligo di notificare tempestivamente gli incidenti significativi, così come definiti dall’articolo 25.

Conclusione

Il recepimento della NIS 2 in Italia rappresenta una sfida per le organizzazioni, ma anche un’opportunità per migliorare la propria sicurezza informatica. Le scadenze ravvicinate richiedono un’attenta pianificazione e l’implementazione di misure adeguate per garantire la conformità alla normativa.

Ricordiamo che SI.net può supportare le organizzazioni pubbliche e private per tutti gli aspetti normativi, tecnologici e organizzativi legati alla cybersecurity e alla protezione dei dati personali.

Approfondimenti

Per informazioni dettagliate è disponibile il sito dell’Agenzia per la Cybersicurezza Nazionale (ACN) dove è presente, tra l’altro, una pagina di domande frequenti sulla NIS 2.

Sul tema della NIS 2 abbiamo tenuto due webinar: è possibile visionare la registrazione cliccando sulle immagini qui sotto.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Telegram