Baker Tilly Italy
Close
Dylan gillis Kdeq A3a Tn BY unsplash
Insights

Direttiva NIS 2: verso uno standard di sicurezza informatica elevato

Michela Tirelli 14 ott 2024
Newsletter
Legal

Negli ultimi anni si è registrato un significativo incremento di incidenti e attacchi informatici, che hanno colpito sia grandi aziende che piccole e medie imprese. Secondo l’ultimo Report dell’Associazione italiana per la sicurezza informatica, tra il 2022 e il 2023 gli attacchi informatici sono aumentati del 12% a livello mondiale e del 65% in Italia.

Per far fronte ai numerosi episodi che hanno colpito le infrastrutture informatiche europee e affrontare le nuove minacce legate alla digitalizzazione, l’Unione Europea ha approvato la Direttiva 2022/2555, comunemente chiamata “Direttiva NIS 2” (Network and Information Systems Directive), con l’obiettivo principale di garantire, per tutta l’Unione, uno standard di sicurezza adeguato nel campo della cybersecurity. 

Il Governo italiano ha recentemente recepito la suddetta Direttiva con l’emanazione del Decreto Legislativo n. 138 del 4 settembre 2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, stabilendo misure mirate a rafforzare la sicurezza e resilienza dei nostri sistemi. 

Di seguito, esaminiamo le questioni che riteniamo, al momento, più rilevanti. 

Quali sono le tempistiche?

Le disposizioni contenute nel Decreto Legislativo n. 138/2024 si applicheranno dal 16 ottobre 2024, ma tale data non deve allarmare, in quanto lo stesso Decreto prevede una serie di fasi successive in cui enti e società potranno comprendere precisamente a quali obblighi sono tenuti. 

Occorrerà quindi attendere per avere un quadro completo delle tempistiche e degli obblighi correlati.

Ecco alcune delle scadenze più importanti: 

  1. entro il 31 dicembre 2024: aziende e pubbliche amministrazioni devono svolgere un assesment per verificare se gli stessi rientrano nell’ambito di applicazione della Direttiva 2 (secondo gli artt. 6, 7 e allegati I, II, III, IV);
  2. entro il 17 gennaio 2025: obbligo di registrazione sulla piattaforma della ACN (Agenzia per la Cybersicurezza Nazionale) per i fornitori di servizi di sistema dei nomi di dominio, gestori di registri dei nomi di dominio di primo livello,  fornitori di servizi di registrazione dei nomi di dominio, fornitori di servizi di cloud computing, fornitori di servizi di data center, fornitori di reti di distribuzione dei contenuti, fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  3. entro il 28 febbraio 2025: gli altri enti e aziende che ritengono di essere soggetti alla Direttiva NIS 2, devono registrarsi sulla piattaforma della ACN fornendo i dati necessari;
  4. entro 15 aprile 2025: l’ACN si occuperà di dividere i soggetti registrati in “essenziali” o “importanti” inserendo gli stessi in appositi elenchi e provvedendo a comunicarlo ai soggetti interessati;

Questi ultimi dovranno poi nominare un responsabile degli adempimenti previsti dal Decreto. 

  • A partire dal 2026: le aziende e le pubbliche amministrazioni che hanno ricevuto la comunicazione dalla ACN dovranno attuare gli obblighi previsti dalla normativa.

Coinvolgerà tutte le aziende o enti?

No. Difatti in prima fase “preliminare” (fino al 28 febbraio 2025) le società e gli enti dovranno verificare se siano o meno soggetti agli obblighi della Direttiva NIS 2, facendo riferimento agli artt. 6 e 7, e gli Allegati I, II, III e IV.

Inoltre, non vengono ricomprese nell’ambito della normativa le piccole imprese, a meno che le stesse non presentino alcuni requisiti precisati dalla legge.  Tra questi vi è anche l’essere ritenuto un soggetto “critico”, in quanto parte integrante di una catena di approvvigionamento di soggetti essenziali o importanti. Quindi il Decreto non si riferisce soltanto a società o enti che sono ritenuti critici, ma anche suoi fornitori, in un’ottica espansiva. 

Quali obblighi per le aziende? 

Per i soggetti ritenuti essenziali o importanti, la Direttiva e il Decreto prevedono l’adozione di misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informatici. Il Decreto non specifica quali misure devono essere adottare, in quanto, per il dettaglio degli adempimenti, è prevista l’emanazione di successive norme.

In generale possiamo rilevare che: 

  • vi sarà un rafforzamento degli obblighi di notifica degli incidenti informatici; 
  • vi saranno ulteriori e specifici obblighi in materia di sicurezza mediante l’implementazione di misure tecniche, organizzative e operative; 
  • vi saranno obblighi e responsabilità per gli organi amministrativi e direttivi: 
  • vi sarà l’obbligo di raccolta e mantenimento di una banca dati di registrazione dei nomi a dominio (dove applicabile). 

In caso di mancato adeguamento? 

La Direttiva NIS2 prevede delle sanzioni pecuniarie in caso di mancato adeguamento, che variano secondo l’appartenenza al servizio importante o essenziale e al tipo di violazione. 

Leggi di più

Contenuti correlati

Newsletter Audit
Codice della crisi e dell’insolvenza
14 ott 2024
Newsletter Sostenibilità - ESG
Il revisore di sostenibilità
14 ott 2024
Trova un ufficio
I nostri uffici