NIS2 e Decreto di recepimento: termini, scadenze ed ulteriori dettagli

La Direttiva NIS2, descritta all'interno del Decreto Legislativo 138 del 2024, presenta come l'obiettivo quello di rafforzare la sicurezza delle reti e dei sistemi informativi in tutti gli Stati membri dell'Unione Europea, ampliando il campo di applicazione rispetto alla normativa precedente e costituendo un passo in avanti per il tema della cybersicurezza all'interno del nostro paese.

Informativa sul Decreto di attuazione della Direttiva NIS2

Nell’ambito del panorama normativo europeo volto a rafforzare la cyber sicurezza dell’Unione Europea, Il Decreto legislativo che attua la Direttiva NIS2 (Network and Information Security 2) rappresenta un importante passo avanti per migliorare la sicurezza informatica delle reti e dei sistemi informativi in Italia. Il decreto ha ampliato l’ambito di applicazione e introdotto nuovi obblighi per le organizzazioni che operano in settori critici.

Ambito di applicazione

Il Decreto di attuazione della Direttiva NIS2 amplia il campo di applicazione rispetto alla precedente normativa NIS e include un numero maggiore di settori e operatori che forniscono servizi essenziali.

Questi settori includono:

Energia: elettricità, gas, petrolio e idroelettricità;
Trasporti: aerei, ferroviari, marittimi e stradali;
Banche e infrastrutture del mercato finanziario: istituzioni bancarie e sistemi di pagamento;
Sanità: ospedali, centri diagnostici e laboratori medici;
Infrastrutture digitali: provider di servizi di cloud computing, data center e servizi di telecomunicazioni;
Servizi di approvvigionamento idrico: acqua potabile e trattamento delle acque reflue;
Pubblica amministrazione: enti pubblici e servizi governativi essenziali;
Produzione di beni critici: prodotti chimici, farmaceutici e alimentari.

Oltre ai settori tradizionali, il decreto estende l'obbligo anche alle imprese di medie e grandi dimensioni che forniscono servizi essenziali, indipendentemente dalla loro natura giuridica o dalla proprietà, e ai fornitori di infrastrutture digitali strategiche.

Obblighi più severi

Le organizzazioni che rientrano nell’ambito del decreto di recepimento della Direttiva NIS2 devono rispettare una serie di obblighi, suddivisi in diverse categorie:

Gestione del rischio di sicurezza informatica: le aziende devono implementare misure tecniche e organizzative adeguate per mitigare i rischi legati alla sicurezza delle reti e dei sistemi informativi. Ciò comprende l’adozione di protocolli di sicurezza per prevenire attacchi, politiche per la gestione delle vulnerabilità, e l'aggiornamento costante delle difese in base all'evoluzione delle minacce.
Obblighi di notifica degli incidenti: in caso di incidenti significativi, le organizzazioni devono notificare l’accaduto all’autorità nazionale competente entro 24 ore dalla scoperta dell’evento per una valutazione iniziale. Un rapporto dettagliato sull'incidente deve essere presentato entro 72 ore, includendo informazioni sull’impatto, le misure correttive adottate e le cause dell'incidente.
Gestione degli incidenti e continuità operativa: le aziende devono essere in grado di monitorare continuamente le proprie reti e sistemi, reagire tempestivamente agli incidenti, e implementare piani di ripristino per garantire la continuità operativa. Questo include lo sviluppo di piani di emergenza che permettano la rapida ripresa delle attività dopo un attacco o una violazione della sicurezza.
Responsabilità del management: il decreto stabilisce che la responsabilità per la gestione del rischio informatico ricade anche sui dirigenti delle imprese. Il management deve garantire che siano attuate misure appropriate per rispettare gli obblighi di sicurezza e può essere ritenuto responsabile in caso di non conformità.
Formazione e sensibilizzazione: le organizzazioni devono assicurare la formazione continua dei dipendenti in materia di sicurezza informatica, per sensibilizzare sul ruolo che ciascun dipendente ha nella protezione delle infrastrutture critiche e nella prevenzione di potenziali attacchi.

Termini e scadenze

I principali adempimenti previsti dal decreto attuativo della Direttiva NIS2, sono i seguenti:

Tra il 1° gennaio e il 28 febbraio 2025: i soggetti, sia privati che pubblici, che hanno identificato di essere soggetti alla NIS2, devono procedere alla registrazione sulla piattaforma digitale messa a disposizione dall’ACN.
Entro il 17 gennaio 2025: le imprese devono valutare se rientrano nella categoria di soggetti essenziali o importanti e, in tal caso, registrarsi sulla piattaforma dell'ACN.
Entro il 31 marzo 2025: l'ACN predisporrà l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni ricevute tramite la piattaforma.
Tra il 1° aprile 2025 e il 15 aprile 2025: l'ACN comunicherà ai soggetti registrati l’inserimento nell'elenco ufficiale dei soggetti essenziali o importanti.
Entro il 15 aprile 2025: i soggetti che riceveranno la comunicazione di inclusione nell'elenco dovranno nominare, con atto formale, un responsabile incaricato dell’adempimento degli obblighi del decreto.
Tra il 15 aprile 2025 e il 31 maggio 2025: i soggetti che avranno ricevuto la comunicazione dall'ACN tramite la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.

Una volta completata questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno proseguire nel 2026 con ulteriori adempimenti aventi principalmente i seguenti focus:

procedura notifica incidenti
gestione del rischio
implementazione delle misure necessarie

Sanzioni per la non conformità

Il decreto prevede sanzioni severe per le organizzazioni che non rispettano i requisiti della NIS2. Le multe possono arrivare fino al 2% del fatturato globale annuo o una somma massima di 10 milioni di euro, a seconda del maggiore tra i due importi. Le sanzioni si applicano anche alle violazioni degli obblighi di notifica e di gestione del rischio.

Conclusioni

L'entrata in vigore del decreto di recepimento della Direttiva NIS2 rappresenta un significativo rafforzamento della sicurezza delle infrastrutture critiche in Italia. Le organizzazioni devono implementare misure rigorose per garantire la protezione dei propri sistemi informativi e prepararsi a rispondere adeguatamente agli incidenti di sicurezza informatica.

Un consiglio

Gruppo Ecoconsult e il suo team di specialisti Privacy è in grado di fornire assistenza su tutti gli aspetti legati al diritto delle nuove tecnologie supportando lo sviluppo di modelli di compliance che si adattino ad ogni specifica realtà. Ti assisteremo e ti forniremo le informazioni necessarie, in modo chiaro e concreto, richiedi ora un incontro cliccando il tasto qui in basso.

Richiedi un incontro

Oppure scrivi a contatti@ecoconsult.it