OBBLIGHI DIRETTIVA NIS2
La direttiva NIS2 sulla sicurezza delle reti e delle informazioni è una delle più importanti normative sulla cybersecurity mai applicate in Europa.
Per quel che riguarda l’italia è stato da poco pubblicato in Gazzetta Ufficiale il decreto di recepimento della Direttiva NIS2.
Il decreto ha come obiettivo primario quello di proteggere le infrastrutture essenziali e introduce nuovi obblighi per le aziende considerate fondamentali per l’economia e la società. Lo scopo è quello di rafforzare la resilienza contro le minacce informatiche.
Il decreto disciplina l’identificazione e la registrazione dei soggetti essenziali e importanti. Questi soggetti dovranno registrarsi sulla piattaforma digitale messa a disposizione dall’Autorità nazionale competente. Questa registrazione includerà le informazioni essenziali per assicurare una comunicazione tempestiva tra le aziende e le autorità in caso di minacce alla sicurezza. L’Agenzia per la Cybersicurezza Nazionale ha il cmpito di realizzare al piattaforma (entro il 18 ottobre 2024).
OBBLIGHI DIRETTIVA NIS2: QUALI SONO
La direttiva introduce l’obbligo di adottare misure tecniche e organizzative proporzionate per la gestione dei rischi informatici, attraverso un approccio multirischio che tiene conto non solo delle minacce digitali, ma anche di rischi fisici come furti, incendi e inondazioni. Le misure includono politiche di sicurezza, gestione degli incidenti, continuità operativa e sicurezza della catena di approvvigionamento.
Per quel che riguarda la notifica degli incidenti di sicurezza le aziende sono obbligate a segnalare gli eventi significativi entro 24 ore dalla rilevazione; sono poi tenute a fornire una relazione dettagliata entro le successive 72 ore. Viene inoltre introdotto l’obbligo di segnalare i “quasi-incidenti”. I quasi incidenti sono le situazioni che, pur non avendo ancora causato danni rilevanti, potrebbero portare in futuro a conseguenze serie.
Gli organi di amministrazione delle aziende devono approvare e sovrintendere l’implementazione delle misure di gestione del rischio. Inoltre devono garantire che i dipendenti siano adeguatamente formati.
OBBLIGHI DIRETTIVA NIS2: SCADENZE
Per quel che riguarda le scadenze dal 1 gennaio al 28 febbraio 2025 i soggetti essenziali e importanti si registrano sulla piattaforma. Il termine di scadenza si anticipa al 17 gennaio 2025 per i fornitori di domini, cloud computing e data center.
Entro il 31 dicembre 2024, aziende e pubbliche amministrazioni avranno quindi svolto un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato.
Entro il 31 marzo 2025 la stessa Agenzia pubblica l’elenco aggiornato delle aziende registrate e comunica ufficialmente la loro inclusione o eventuale esclusione dall’elenco dei soggetti regolamentati.
L’Agenzia per la Cybersicurezza Nazionale andrà a stabilire le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi da registrare sulla piattaforma.
Gli obblighi di adeguamento decorrono dalla data di comunicazione di ACN ai soggetti e sono i seguenti: 9 mesi (dal 31 marzo 2025) per gli incidenti e 18 mesi per gli obblighi in materia di organi amministrativi, misure di sicurezza.
Consulta le faq sul sito dell’ Agenzia per la Cybersicurezza Nazionale.
Oikos è una società di consulenza e formazione che opera nei settori Sicurezza e Igiene sul Lavoro, Sistemi di gestione, Ambiente, Sicurezza Alimentare, Privacy. Ci trovate nei nostri uffici di Parma e Piacenza. Per essere sempre informati sulle ultime novità legislavite, sui nostri servizi e sui nostri corsi è possibile iscriversi alla newsletter.
Per ulteriori approfondimenti potete chiamarci allo 0521 291590 oppure inviarci un messaggio:
