Contattaci per maggiori informazioni – 041-995202 – info@qasc.it

Obblighi sulla Cybersecurity previsti dalla Direttiva NIS2

Le organizzazioni pubbliche o private interessate dalla nuova direttiva NIS2 per la cybersecurity devono adottare misure specifiche, in particolare, il D.Lgs. 138/2024 introduce i seguenti obblighi per i soggetti che si riconoscono in uno dei settori/sottosettori/tipologie previsti dalla nuova direttiva NIS2:

• Registrazione e aggiornamento dati (articolo 7): le organizzazioni devono registrarsi sulla piattaforma messa a disposizione dall’ACN, fornendo dati aggiornati e identificando un punto di contatto.
• Responsabilità degli organi direttivi (articolo 23): gli organi di amministrazione devono supervisionare l’implementazione delle misure e rispondere di eventuali violazioni.
• Misure di sicurezza informatica (articolo 24): adozione di misure tecniche, operative e organizzative adeguate e proporzionate per la gestione dei rischi, tra cui analisi, gestione incidenti, sicurezza della catena di approvvigionamento e formazione del personale in materia di sicurezza informatica.
• Notifica degli incidenti (articolo 25): gli incidenti significativi devono essere notificati al CSIRT Italia (Computer Security Incident Response Team) entro 24 ore (pre-notifica), 72 ore (notifica completa) e un mese (relazione finale).
• Banca dati di registrazione di nomi di dominio (articolo 29): obblighi specifici per i gestori di domini per garantire dati accurati e completi.

ACN: Il ruolo dell’Agenzia per la Cybersicurezza Nazionale 

Il decreto conferma l’ACN come Autorità nazionale competente NIS e Punto di contatto unico NIS ai sensi della Direttiva (UE) n. 2022/2555 (FAQ 1.1), svolgendo una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità nazionali con le autorità pertinenti degli altri Stati membri, la Commissione e l’ENISA.

Tra i principali compiti dell’ACN troviamo:

• sovrintendere all’implementazione e all’attuazione del decreto per recepire la Direttiva NIS2 per la cybersecurity;
• svolgere le funzioni e le attività di regolamentazione di cui al d.lgs. 138/2024, anche adottando linee guida, raccomandazioni e orientamenti non vincolanti;
• elaborare e adottare l’elenco dei soggetti NIS;
• partecipare al Gruppo di cooperazione NIS, nonché ai consessi e alle iniziative promosse a livello di Unione europea per l’attuazione della Direttiva (UE) n. 2022/2555;
• definire gli obblighi di cui all’articolo 7, comma 6, e al capo IV. (Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente);
• svolgere le attività ed esercita i poteri di monitoraggio, vigilanza ed esecuzione.

Come e Quando Registrarsi sulla Piattaforma ACN

Tutte le organizzazioni pubbliche e private rientranti nel campo di applicazione NIS devono registrarsi sulla piattaforma dedicata ACN tra il 1° gennaio e il 28 febbraio di ogni anno, con prima scadenza fissata quindi già al 28 febbraio 2025.

Tuttavia, per fornitori di servizi specifici (domini, cloud, data center, mercati online, motori di ricerca, social network), la registrazione è obbligatoria entro il 17 gennaio 2025.

In fase di prima applicazione, al fine di agevolare i soggetti, sarà possibile avviare il processo di registrazione già a partire dal 1° dicembre 2024.

I soggetti pubblici e privati rientranti nel D.Lgs. 138/2024 (NIS) devono rispettare gli obblighi previsti, inclusa la registrazione sulla piattaforma ACN. L’Agenzia analizzerà le registrazioni e comunicherà l’inserimento nell’elenco dei soggetti essenziali o importanti entro il 31 marzo 2025. Ad aprile 2025, notificherà ai registrati se rientrano nell’ambito del decreto, chiarendo la loro posizione normativa.

Dal 1° dicembre 2024 è attiva la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) per la registrazione obbligatoria delle organizzazioni pubbliche o private rientranti nella normativa NIS. La registrazione è gestita autonomamente e prevede la designazione di un punto di contatto, responsabile della procedura e delle comunicazioni con l’ACN.

Il punto di contatto accede alla piattaforma con l’identità digitale SPID e il processo successivo comprende:

• Associazione del punto di contatto all’organizzazione (tramite codice fiscale o codice IPA).
• Convalida tramite PEC inviata dall’ACN all’organizzazione.
• Inserimento dei dati dell’organizzazione e autovalutazione, da parte del punto di contatto, dello status dell’organizzaizone come “essenziale”, “importante” o “fuori ambito”.

Entro aprile 2025, l’ACN notificherà il risultato della valutazione al domicilio digitale dei registrati.

Contattaci per maggiori informazioni – 041-995202 – info@qasc.it

Questa nuova normativa definisce le misure per la gestione del rischio informatico e stabilisce i criteri per considerare un incidente come significativo, richiedendo alle aziende che gestiscono infrastrutture e servizi digitali di segnalarlo alle autorità nazionali. Si tratta di un passo importante per rafforzare la resilienza delle infrastrutture digitali critiche in Europa.

Applicazione del regolamento a settori chiave

Le nuove disposizioni si applicano a specifiche categorie di aziende digitali, tra cui fornitori di servizi di cloud computing, data center, marketplace online, motori di ricerca e piattaforme di social network. Per ogni categoria di fornitori di servizi, il provvedimento di attuazione stabilisce anche i criteri per considerare un incidente significativo, il quale deve quindi essere segnalato alle autorità nazionali.

La direttiva NIS2: scadenze e recepimento a livello nazionale

Il regolamento coincide con la scadenza per il recepimento della direttiva NIS2 nei singoli ordinamenti nazionali. Ricordiamo che, a differenza di una direttiva, un regolamento è immediatamente applicabile senza necessità di recepimento tramite legge nazionale. Dal 18 ottobre 2024, tutti gli Stati membri dovranno applicare le misure necessarie per garantire il rispetto della direttiva, incluse le attività di vigilanza e controllo.

Obbligo di autovalutazione per le imprese

In Italia, il 7 agosto 2024, il Consiglio dei Ministri ha approvato in via definitiva il decreto legislativo n. 138 del 4 settembre 2024, pubblicato sulla Gazzetta Ufficiale n. 230 del 1° ottobre 2024. Questo decreto recepisce la Direttiva NIS2, che mira a innalzare gli standard di cibersicurezza nell’Unione. Le aziende potenzialmente interessate devono prima eseguire un’autovalutazione per verificare se rientrano nell’ambito di applicazione del decreto. In caso positivo, devono registrarsi sulla piattaforma digitale dell’Agenzia Nazionale per la Cybersicurezza (ACN), che comunicherà se tali aziende sono soggette alle nuove normative.

Una panoramica sulle iniziative europee per la sicurezza informatica

La prima direttiva sulla sicurezza informatica, nota come NIS, è stata introdotta nel 2016 e ha gettato le basi per una sicurezza comune delle reti e dei sistemi informativi nell’UE. Nel 2020, la Commissione ha proposto la revisione della direttiva per adattarla alle esigenze dell’era digitale. Entro il 17 Ottobre 2024 , gli Stati membri hanno dovuto recepire la direttiva NIS2 nel diritto nazionale che introduce misure rafforzate che coprono settori essenziali, quali servizi ICT, sanità, energia, trasporti, gestione dei rifiuti, spazio, e pubblica amministrazione.

Gli obiettivi della NIS2 per un’Unione più sicura

La direttiva NIS2:

• rafforza i requisiti di sicurezza per le aziende,
• affronta la sicurezza delle catene di fornitura,
• semplifica gli obblighi di segnalazione,
• introduce misure di vigilanza più rigorose,
• mira a un’armonizzazione delle sanzioni tra Stati membri,
• promuove la cooperazione e la condivisione delle informazioni nella gestione delle crisi informatiche a livello UE.