NIS 2 ora in vigore, l’iter per le aziende

A partire dal 16 ottobre 2024 è in vigore il Decreto Legislativo 4/09/2024 n. 138 (NIS 2) che introduce nuove disposizioni sulla Network and Information Security (NIS) in Italia. L’Agenzia per la cybersicurezza nazionale (ACN) mantiene il ruolo di Autorità competente e punto di contatto unico per l’attuazione di queste nuove norme, garantendo un percorso graduale che permette alle organizzazioni di conformarsi ai nuovi requisiti.

Tra le principali novità, il decreto impone maggiori obblighi in merito alle misure di sicurezza e alla notifica degli incidenti. Rafforza inoltre i poteri dell’Agenzia per la supervisione e il coordinamento delle risposte a incidenti e crisi informatiche. Si amplia anche il campo di applicazione della normativa, che ora coinvolge 18 settori, di cui 11 considerati altamente critici e 7 critici, e interessa oltre 80 tipologie di soggetti, classificati in “essenziali” e “importanti” in base alla criticità delle attività svolte.

Tra i nuovi strumenti introdotti vi è la “divulgazione coordinata delle vulnerabilità”, che prevede una cooperazione a livello nazionale ed europeo per migliorare la condivisione delle informazioni e potenziare la sicurezza informatica complessiva.

L’adeguamento alla normativa sarà graduale, con l’introduzione progressiva degli obblighi di legge. Dal 1° dicembre 2024 al 28 febbraio 2025, le organizzazioni interessate dovranno registrarsi sul portale dell’ACN. Gli obblighi relativi alla notifica degli incidenti e all’adozione delle misure di sicurezza verranno definiti progressivamente, dopo le consultazioni nei tavoli settoriali. Le decisioni definitive saranno adottate entro il primo quadrimestre del 2025 dal Direttore Generale dell’ACN.

ACN, in qualità di Autorità Nazionale Competente per la NIS, gioca un ruolo cruciale nel determinare quali organizzazioni rientrano tra i “soggetti essenziali” e “importanti”, in collaborazione con le autorità di settore e il Tavolo per l’attuazione della disciplina NIS. Queste categorie di soggetti sono tenute a registrarsi o aggiornare i propri dati sulla piattaforma digitale dell’ACN, fornendo informazioni come ragione sociale, contatti, settore di appartenenza e altre informazioni rilevanti.

Entro il 31 marzo di ogni anno, l’ACN redige un elenco annuale dei soggetti essenziali e importanti, basato sulle registrazioni e sulle decisioni. Questo elenco include fornitori di servizi cruciali per l’infrastruttura digitale, come gestori di domini, servizi cloud, data center, reti di distribuzione dei contenuti e fornitori di piattaforme online. Tali soggetti devono inoltre fornire informazioni aggiuntive, come l’indirizzo del rappresentante nell’UE e della sede principale, se applicabile.