Direttiva NIS2 e Sicurezza Informatica in Italia: Tutto Quello che Devi Sapere
Scopri come il Decreto Legislativo 138/2024 sta rivoluzionando la cybersecurity in Italia, ampliando il campo di applicazione e introducendo nuovi obblighi per le organizzazioni pubbliche e private.
Il 16 ottobre 2024 è entrato in vigore il Decreto Legislativo 138/2024, recependo in Italia la Direttiva (UE) 2022/2555, nota come NIS2. Pubblicato nella Gazzetta Ufficiale il 1° ottobre 2024, il decreto introduce misure fondamentali per garantire un elevato livello di sicurezza informatica, rafforzando la resilienza dell’Unione Europea contro i rischi informatici.
Nuovi Settori Coinvolti nella Cybersecurity: Altamente Critici e Critici
La Direttiva NIS2 amplia significativamente il campo di applicazione rispetto alla precedente normativa. I settori sono suddivisi in:
Settori altamente critici (Allegato I):
- Energia: elettricità, gas, petrolio, idrogeno.
- Trasporti: aerei, ferrovie, porti, strade, vie navigabili.
- Banche e infrastrutture dei mercati finanziari.
- Sanità: ospedali, cliniche, laboratori.
- Acqua potabile, distribuzione idrica e acque reflue.
- Infrastrutture digitali: data center, DNS, reti di comunicazione elettronica.
- Amministrazioni pubbliche.
- Infrastrutture spaziali (satelliti).
Settori critici (Allegato II):
- Servizi postali e di corriere.
- Gestione dei rifiuti, incluse sostanze pericolose.
- Produzione chimica, alimentare e macchinari critici.
- Fornitori di servizi digitali: piattaforme, marketplace, motori di ricerca.
- Organizzazioni di ricerca.
Con l’introduzione della NIS2, si stima che saranno coinvolti 50.000 nuovi soggetti in Italia.
Obblighi Principali per le Organizzazioni
Le aziende e le pubbliche amministrazioni coinvolte devono rispettare specifici obblighi:
- Registrazione e aggiornamento dati: piattaforma ACN attiva dal 1° dicembre 2024.
- Responsabilità degli organi direttivi: supervisione e gestione delle misure di sicurezza.
- Misure di sicurezza informatica: gestione dei rischi, protezione della supply chain, formazione del personale.
- Notifica degli incidenti: pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro un mese.
- Banca dati domini: obblighi per garantire dati accurati e completi.
Il Ruolo Chiave dell’ACN
L’Agenzia per la Cybersicurezza Nazionale (ACN) svolge un ruolo centrale come Autorità nazionale per la NIS2. Le sue funzioni includono:
- Supervisione sull’attuazione della normativa.
- Definizione dell’elenco dei soggetti NIS.
- Vigilanza e monitoraggio della conformità.
- Partecipazione a iniziative europee per la cooperazione transfrontaliera.
Scadenze e Prossimi Passi per le Organizzazioni
Ecco le principali scadenze da ricordare:
Registrazione sulla piattaforma ACN:
- 1° dicembre 2024: apertura della piattaforma.
- 17 gennaio 2025: termine per fornitori di servizi specifici.
- 28 febbraio 2025: termine generale per le altre organizzazioni.
Notifica della conformità: entro il 31 marzo 2025, l’ACN informerà le organizzazioni sull’inserimento nell’elenco dei soggetti essenziali o importanti.
Come Registrarsi sulla Piattaforma ACN?
Il processo di registrazione prevede:
- Accesso tramite SPID e designazione di un punto di contatto.
- Associazione del punto di contatto all’organizzazione (tramite codice fiscale o IPA).
- Validazione tramite PEC inviata dall’ACN.
- Autovalutazione dello status come “essenziale”, “importante” o “fuori ambito”.
Entro aprile 2025, l’ACN notificherà il risultato al domicilio digitale dell’organizzazione.