Dal 16 ottobre 2024, è entrata in vigore la nuova normativa Network and Information Security 2 (NIS 2), un importante provvedimento europeo che mira a rafforzare la sicurezza informatica in Italia. Questa normativa è stata recepita attraverso il decreto legislativo del 4 settembre 2024, n. 138, noto come decreto NIS: Scopri gli obblighi e i soggetti coinvolti.
Obiettivi della Nuova Normativa
Il decreto NIS ha come obiettivo principale quello di garantire un aumento significativo del livello di sicurezza informatica all’interno del tessuto produttivo e delle Pubbliche Amministrazioni del Paese. In un contesto globale in cui le minacce informatiche sono in costante evoluzione, è fondamentale che l’Italia si allinei con le best practices e le normative degli altri Stati membri dell’Unione Europea.
L’Agenzia per la Cybersicurezza Nazionale
Un elemento chiave della nuova normativa è l’istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN), che funge da Autorità competente. Questa agenzia avrà il compito di coordinare le attività di sicurezza informatica, fornire linee guida e supporto alle organizzazioni e garantire una risposta efficace alle minacce informatiche.
Soggetti coinvolti
Il NIS 2 si applica a due categorie principali di soggetti: gli operatori di servizi essenziali e quelli di servizi importanti. Sono inclusi settori come energia, trasporti, sanità e acqua e fornitori di servizi digitali. Si tratta di 18 settori di cui 11 altamente critici e 7 critici per oltre 80 tipologie di soggetti.
Visualizza l’elenco completo dei soggetti.
Misure di sicurezza e obblighi
Per gestire i rischi legati alla sicurezza informatica, le organizzazioni devono adottare misure di sicurezza adeguate. Queste misure includono l’implementazione di sistemi di monitoraggio, la formazione del personale e l’adozione di protocolli di sicurezza avanzati. È fondamentale che le aziende sviluppino una cultura della sicurezza informatica, in cui ogni dipendente sia consapevole delle proprie responsabilità.
Un ulteriore aspetto cruciale del NIS 2 è l’obbligo di segnalazione degli incidenti di sicurezza. Le organizzazioni devono essere pronte a comunicare tempestivamente eventuali incidenti che possano compromettere la sicurezza delle loro reti e sistemi. Questa trasparenza è fondamentale per garantire una risposta rapida e coordinata alle minacce informatiche.
Obbligo di registrazione
Dal 1 dicembre 2024 i soggetti pubblici e privati soggetti alla normativa NIS 2 devono registrarsi attraverso una piattaforma digitale fornita dall’ACN. La registrazione potrà essere effettuata entro il 28 febbraio 2025.
La registrazione è necessaria per consentire il censimento dei soggetti operanti nei settori vigilati e fornire supporto nell’implementazione degli obblighi, come previsto dall’articolo 35.
La mancata registrazione comporta una sanzione amministrativa pecuniaria fino allo 0,1% del fatturato annuo globale del soggetto.
Dopo la registrazione, nel mese di aprile 2025, i soggetti registrati riceveranno una comunicazione per confermare il loro inserimento nell’elenco dei soggetti NIS.