Il 16 ottobre 2024 è entrato in vigore il decreto legislativo 138/2024, tramite il quale l’Italia ha recepito nel proprio ordinamento la direttiva europea 2555/2022, meglio conosciuta come NIS2.

Questa nuova norma persegue l’obiettivo di una creazione di un framework di cybersicurezza europeo che armonizzi e superi le discrasie applicative fra stati membri, i quali, dal 18 ottobre, sono tenuti ad adottare nel proprio assetto legislativo interno provvedimenti che rispettino la direttiva.

COSA CAMBIA?

Rispetto alla precedente direttiva che disciplinava il medesimo ambito (anche conosciuta come NIS1), la NIS2:

  1. è applicabile a più soggetti, le cui categorie sono espressamente indicate nel decreto italiano all’articolo 3;
  2. richiede ai destinatari la compilazione di una specifica analisi dei rischi di cybersicurezza;
  3. richiede l’adozione di adeguate misure di sicurezza, la specificità delle quali però sarà adeguata al contesto ed al settore di operatività, considerando quindi anche la capacità di spesa del singolo ente coinvolto.

A CHI SI RIVOLGE?

I destinatari della norma sono indicati, come anticipato, all’interno dell’articolo 3 del decreto. Sul sito di ACN, inoltre, è riportata una tabella riassuntiva dei settori e delle dimensioni richieste alle imprese per considerarsi destinatarie. E’ possibile consultare la tabella all’indirizzo https://www.acn.gov.it/portale/nis/ambito.

In particolare, i requisiti di coinvolgimento riguardano le dimensioni delle imprese e i settori di operatività.

QUALI SONO LE SCADENZE?

Entro il 17 gennaio 2025, per gli enti essenziali (o 28 febbraio, per gli altri casi) è richiesto alle imprese di valutare, sulla base dei criteri indicati nel decreto, il proprio coinvolgimento nell’attuazione della direttiva; pertanto, sarà necessario registrarsi sulla piattaforma presente sul sito dell’Agenzia per la Cybersicurezza Nazionale.

Dal 1° dicembre 2024, infatti, é disponibile sul sito dell’ACN la piattaforma per la registrazione di imprese e pubbliche amministrazioni tenute agli obblighi di cybersicurezza, al link https://www.acn.gov.it/portale/nis/registrazione;

successivamente, entro il 15 Aprile 2024, ACN dirà se il soggetto è effettivamente un soggetto a cui si applica la NIS2.

Gli obblighi di adeguamento scatteranno poi a partire da gennaio 2026.

Ulteriori e più dettagliate informazioni sono raccolte nella scheda di sintesi dedicata ai contenuti della NIS2, liberamente scaricabile qui.

Articoli recenti

Eventi