Il 16 ottobre 2024 è entrato in vigore il Decreto Legislativo 138/2024, recependo in Italia la Direttiva (UE) 2022/2555, nota come NIS2. Pubblicato nella Gazzetta Ufficiale il 1° ottobre 2024, il decreto introduce misure fondamentali per garantire un elevato livello di sicurezza informatica, rafforzando la resilienza dell’Unione Europea contro i rischi informatici.


Nuovi Settori Coinvolti nella Cybersecurity: Altamente Critici e Critici

La Direttiva NIS2 amplia significativamente il campo di applicazione rispetto alla precedente normativa. I settori sono suddivisi in:

  • Settori altamente critici (Allegato I):

    • Energia: elettricità, gas, petrolio, idrogeno.
    • Trasporti: aerei, ferrovie, porti, strade, vie navigabili.
    • Banche e infrastrutture dei mercati finanziari.
    • Sanità: ospedali, cliniche, laboratori.
    • Acqua potabile, distribuzione idrica e acque reflue.
    • Infrastrutture digitali: data center, DNS, reti di comunicazione elettronica.
    • Amministrazioni pubbliche.
    • Infrastrutture spaziali (satelliti).
  • Settori critici (Allegato II):

    • Servizi postali e di corriere.
    • Gestione dei rifiuti, incluse sostanze pericolose.
    • Produzione chimica, alimentare e macchinari critici.
    • Fornitori di servizi digitali: piattaforme, marketplace, motori di ricerca.
    • Organizzazioni di ricerca.

Con l’introduzione della NIS2, si stima che saranno coinvolti 50.000 nuovi soggetti in Italia.


Obblighi Principali per le Organizzazioni

Le aziende e le pubbliche amministrazioni coinvolte devono rispettare specifici obblighi:

  1. Registrazione e aggiornamento dati: piattaforma ACN attiva dal 1° dicembre 2024.
  2. Responsabilità degli organi direttivi: supervisione e gestione delle misure di sicurezza.
  3. Misure di sicurezza informatica: gestione dei rischi, protezione della supply chain, formazione del personale.
  4. Notifica degli incidenti: pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro un mese.
  5. Banca dati domini: obblighi per garantire dati accurati e completi.

Il Ruolo Chiave dell’ACN

L’Agenzia per la Cybersicurezza Nazionale (ACN) svolge un ruolo centrale come Autorità nazionale per la NIS2. Le sue funzioni includono:

  • Supervisione sull’attuazione della normativa.
  • Definizione dell’elenco dei soggetti NIS.
  • Vigilanza e monitoraggio della conformità.
  • Partecipazione a iniziative europee per la cooperazione transfrontaliera.

Scadenze e Prossimi Passi per le Organizzazioni

Ecco le principali scadenze da ricordare:

  • Registrazione sulla piattaforma ACN:

    • 1° dicembre 2024: apertura della piattaforma.
    • 17 gennaio 2025: termine per fornitori di servizi specifici.
    • 28 febbraio 2025: termine generale per le altre organizzazioni.
  • Notifica della conformità: entro il 31 marzo 2025, l’ACN informerà le organizzazioni sull’inserimento nell’elenco dei soggetti essenziali o importanti.


Come Registrarsi sulla Piattaforma ACN?

Il processo di registrazione prevede:

  1. Accesso tramite SPID e designazione di un punto di contatto.
  2. Associazione del punto di contatto all’organizzazione (tramite codice fiscale o IPA).
  3. Validazione tramite PEC inviata dall’ACN.
  4. Autovalutazione dello status come “essenziale”, “importante” o “fuori ambito”.

Entro aprile 2025, l’ACN notificherà il risultato al domicilio digitale dell’organizzazione.