CONTATTACI

Direttiva NIS2: pubblicato il decreto di recepimento

Il 1° ottobre è stato ufficialmente pubblicato il decreto di recepimento in materia di NIS2 sulla Gazzetta Ufficiale. Il Decreto Legislativo n. 138 del 4 settembre 2024 che recepisce la direttiva (UE) 2022/2555 -Direttiva NIS 2 – introduce una serie di misure per rafforzare la cybersicurezza nell’Unione Europea.

La direttiva NIS 2 è stata promulgata per aggiornare e migliorare il quadro normativo esistente, in risposta all’aumento delle minacce informatiche e alle sfide poste dalle nuove tecnologie.

 

Decreto NIS2: i punti principali

Il documento in questione approfondisce i seguenti aspetti:

  • Strategia Nazionale di Cybersicurezza: il decreto definisce una Strategia Nazionale di Cybersicurezza, che stabilisce obiettivi e priorità per garantire un livello elevato di sicurezza informatica in Italia, armonizzandosi con gli obiettivi dell’UE. Questa strategia include la governance per la gestione delle crisi cibernetiche e prevede l’integrazione con il quadro di gestione delle crisi nazionali, soprattutto per eventi di grande impatto.

  • Ruolo dell’Agenzia per la Cybersicurezza Nazionale: l’ACN svolge un ruolo chiave nel sistema di cybersicurezza italiano. Essa viene confermata come:
  • Autorità Nazionale Competente NIS: responsabile dell’implementazione e dell’applicazione del decreto, con poteri regolatori e di vigilanza;
  • Punto di contatto unico NIS: funge da collegamento tra le autorità nazionali e quelle europee, facilitando lo scambio di informazioni e la gestione delle crisi cibernetiche;
  • Coordinatore della gestione delle crisi su vasta scala: insieme al Ministero della Difesa per specifici ambiti di competenza, l’ACN è responsabile del coordinamento durante incidenti informatici di grande portata.

 

  • Individuazione di soggetti critici e importanti: il decreto prevede la classificazione di soggetti essenziali e importanti in vari settori chiave, tra cui:
  • Settori altamente critici: energia, trasporti, banche, infrastrutture digitali, settore sanitario, settore idrico e spazio;
  • Settori critici: servizi postali, gestione dei rifiuti, fabbricazione e ricerca.

 

  • Obblighi per i soggetti: I soggetti inclusi nel decreto devono adottare:
  • Misure di gestione dei rischi per la sicurezza dei loro sistemi informativi e di rete, garantendo che questi siano resistenti a eventuali attacchi o incidenti;
  • Obblighi di notifica degli incidenti: in caso di incidente che compromette i servizi essenziali o critici, i soggetti devono notificare tempestivamente le autorità competenti, in particolare l’ACN.

 

  • Collaborazione a livello europeo: il decreto promuove la cooperazione tra le autorità italiane e quelle europee per la gestione degli incidenti e delle crisi informatiche su larga scala.Tra le iniziative di cooperazione, l’Italia partecipa a:
  • Gruppo di cooperazione NIS: dove le autorità nazionali competenti si confrontano per sviluppare una strategia di sicurezza comune;
  • EU-CyCLONe: la rete europea che coordina la risposta operativa agli incidenti cibernetici su vasta scala;
  • Rete dei CSIRT nazionali: i team che cooperano a livello tecnico per rispondere agli incidenti.

 

  • Esenzioni e ambiti non inclusi: alcune categorie di soggetti non sono soggette agli obblighi imposti dal decreto. Tra queste:

  • Organi costituzionali e di rilevo costituzionale: come il Parlamento, la Banca d’Italia e l’Unità di informazione finanziaria, che mantengono una certa autonomia rispetto alle disposizioni del decreto;
  • Settori di difesa e sicurezza nazionale: le attività collegate alla sicurezza nazionale, difesa e intelligence sono escluse dall’applicazione delle norme previste.

 

  • Protezione degli interessi nazionali: il decreto include una clausola che consente allo Stato italiano di escludere l’applicazione di alcune norme per motivi di sicurezza nazionale, ordine pubblico o difesa. Questo garantisce che i dati sensibili e le informazioni strategiche possano essere protetti da eventuali interferenze esterne.

 

  • Audit e supervisione: il decreto prevede meccanismi di audit per verificare la conformità dei soggetti alle disposizioni del decreto. Questi audit possono essere svolti da autorità indipendenti o dalla stessa ACN per garantire il rispetto degli obblighi di sicurezza informatica.

  • Ambito di applicazione e criteri per l’identificazione dei soggetti: il decreto si applica a una vasta gamma di soggetti pubblici e privati che operano in settori considerati essenziali o critici. Inoltre, include anche le piccole e medie imprese – PMI- se superano determinati massimali di rischio e impatto sulla sicurezza informatica. Le autorità competenti possono individuare ulteriori categorie di soggetti critici in base all’evoluzione delle minacce e delle vulnerabilità.

  • Impatto sulla finanza pubblica: il decreto specifica che non devono derivare nuovi o maggiori oneri per la finanza pubblica. Le amministrazioni e le autorità competenti devono operare nell’ambito delle risorse finanziarie e strumentali già disponibili.

 

In conclusione, il decreto rappresenta un significativo passo avanti per l’Italia nell’allineamento delle proprie politiche di cybersicurezza agli standard europei, garantendo una maggiore protezione contro le minacce informatiche per le infrastrutture critiche.

L’obbligo di cooperazione con altri stati membri e la partecipazione a gruppi di lavoro internazionali rafforzano la capacità di rispondere a incidenti su vasta scala.

 

Recepimento della direttiva: le tempistiche

Il recepimento della direttiva NIS2 sarà applicato a partire dal 18 ottobre 2024, come indicato nel decreto legislativo di recepimento.

Al fine di essere conformi alla NIS2, sarà necessario registrarsi ad un’apposita piattaforma fornita da ACN. I soggetti essenziali e importanti potranno registrarsi a partire dalla data di pubblicazione della piattaforma stessa, come previsto dall’articolo 7 del decreto.

La registrazione alla piattaforma sarà obbligatoria per i soggetti elencati nel decreto entro il 17 gennaio 2025 per alcuni fornitori di servizi specifici (es. cloud computing, mercati online, piattaforme di social network).

L’obbligo di iscrizione per i soggetti essenziali e importanti decorre dal 1º gennaio 2026.

Condividi

PrecedentePrecedenteTrattamento illecito di dati sanitari: maxi sanzione nei confronti di Cegedim Santé
SuccessivoMeta: maxi sanzione per gestione inappropriata delle password degli utentiSuccessivo

I nostri clienti

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA 

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Via Cristoforo Colombo, 149
00147 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Matomo
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

ISO/IEC 27001:2022
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042