Il decreto legislativo n. 138 del 4 settembre 2024 entrerà in vigore il prossimo 16 ottobre. Stabilisce misure volte ad assicurare un livello elevato di cybersecurity in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Ue così da migliorare il funzionamento del mercato interno.
Lo scorso 7 agosto il Consiglio dei ministri ha approvato, in esame definitivo, il decreto legislativo n. 138 del 4 settembre, adesso pubblicato sulla Gazzetta Ufficiale n. 230 del 1° ottobre 2024, di recepimento della direttiva (UE) 2022/2555 – la Direttiva NIS2 – relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.
Stabilendo misure volte ad assicurare un livello elevato di sicurezza informatica in ambito nazionale, il decreto contribuisce ad incrementare il livello comune di sicurezza nell’Unione europea così da migliorare il funzionamento del mercato interno. Dal 18 ottobre 2024 scatteranno gli obblighi presenti nel decreto legislativo approvato in CdM.
Cosa prevede la Direttiva NIS2
I nuovi soggetti coinvolti, circa 50mila secondo le stime del direttore generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), vanno ad aggiungersi a quelli già interessati dalla direttiva precedente NIS. La stessa ACN realizzerà la piattaforma (che sarà attiva dal prossimo 18 ottobre) sulla quale tutti i soggetti che ritengono di essere “sicuramente” coinvolti dalle prescrizioni della NIS2 dovranno “auto-registrarsi”, indicando un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi indispensabili alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
Dal 1 gennaio al 28 febbraio 2025 i soggetti essenziali e importanti per il Paese si registrano o aggiornano la propria registrazione sulla piattaforma (il termine di scadenza si anticipa al 17 gennaio 2025 per i fornitori di domini, cloud computing e data center). Quindi, entro il 31 marzo 2025 l’Agenzia risponderà ai soggetti essenziali e ai soggetti importanti in merito alla conformità.
In concreto, la Direttiva NIS2 in Italia partirà il 31 marzo 2025, quando l’ACN avrà completato la lista dei soggetti che dovranno attenersi alla direttiva. Gli obblighi di adeguamento (art. 42) decorrono dalla data di comunicazione dell’Agenzia per la Cybersicurezza Nazionale ai soggetti (il 31 marzo) e, nel dettaglio, sono 9 mesi per gli incidenti e 18 mesi per gli obblighi in materia di organi amministrativi, misure di sicurezza.
Principali adempimenti della NIS2
Come già avvenuto per l’originaria Direttiva NIS, la direttiva NIS2 – che, puntualizza l’ACN, “effettua una distinzione tra settori critici e ad alta criticità e tra operatori di servizi essenziali e di servizi importanti. I settori ad alta criticità sono: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acqua reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio. Gli altri settori critici sono: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali e ricerca” – prevede che gli operatori inclusi nel suo campo di applicazione dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti.
Tra tali misure, ci sono corsi di formazione obbligatori per il personale. In particolare, gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono tenuti a seguire una formazione in materia di cybersecurity nonché a promuovere l’offerta periodica di una formazione coerente ai loro dipendenti (formazione mirata a favorire l’acquisizione di conoscenze e competenze sufficienti in tema di sicurezza cibernetica).
In aggiunta, i soggetti essenziali e importanti saranno obbligati a notificare all’Agenzia per la Cybersicurezza Nazionale – in particolare al CSIRT Italia –, senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi.