Consulenza e soluzioni integrate per il mondo del lavoro

NOTIZIE

7 Febbraio 2025

LA DIRETTIVA NIS2 CYBERSECURITY

La Direttiva NIS2, entrata in vigore a metà ottobre e recepita in Italia con apposito decreto legislativo (D. Lgs n. 138/2024), mira a rafforzare la sicurezza informatica e la resilienza operativa digitale delle organizzazioni che offrono servizi all’interno dell’Unione Europea in specifici settori (chiamati “settori ad alta criticità” e “altri settori critici”).

La Direttiva sostituisce la precedente del 2016, ampliando il suo ambito di applicazione e introducendo requisiti più stringenti per la protezione delle reti e dei sistemi informativi.

Se da un lato la compliance alla NIS2 è obbligatoria per motivi di sicurezza, dall’altro offre alle imprese l’opportunità di:

  • incentivare l’innovazione interna, modernizzando la propria infrastruttura IT e aumentando la sicurezza e l’efficienza dei processi;
  • rafforzare la credibilità aziendale e la fiducia di clienti e partner;
  • potenziare la competitività e accedere a mercati più ampi.

A chi si applica la Direttiva NIS2

La Direttiva obbliga le organizzazioni pubbliche e private, che operano in 18 settori considerati particolarmente rilevanti (perché ritenuti fondamentali per il funzionamento della società e dell’economia europea), ad alzare i loro livelli di sicurezza informatica.

L’ACN (Agenzia per la Cybersicurezza Nazionale), nominata autorità italiana competente per l’applicazione della Direttiva dal decreto legislativo di recepimento, ha individuato questi settori critici in conformità alla Direttiva stessa, tra cui:

  • energia
  • trasporti
  • sanità
  • infrastrutture digitali (data center, cloud, telecomunicazioni)
  • servizi ICT

Pubblica Amministrazione

Per quanto riguarda le organizzazioni private, sono obbligate ad adeguarsi solo le imprese di grandi e di medie dimensioni. Per le piccole e microimprese invece dipende dalla loro rilevanza nel settore di riferimento.

Inoltre, ogni organizzazione coinvolta è classificata come essenziale o importante.

Implicazioni della Direttiva NIS2

Le organizzazioni interessate dalla NIS2 devono implementare misure tecniche, operative e organizzative appropriate per gestire i rischi legati alla sicurezza informatica, tra cui:

  • attuazione di misure per la gestione dei rischi e la protezione dei sistemi da vulnerabilità e minacce cibernetiche emergenti;
  • obbligo di notifica degli incidenti con impatti significativi entro 24 ore dalla scoperta, per garantire una risposta rapida e coordinata; le notifiche andranno fatte al competente CSIRT Italia (Computer Security Incident Response Team), la struttura interna all’ACN che ha la responsabilità di monitorare, intercettare, analizzare e rispondere agli incidenti informatici;
  • adozione di misure di sicurezza avanzate, come ad esempio l’autenticazione multifattore, la crittografia e la cifratura, per aumentare la protezione dei dati e prevenire accessi non autorizzati;
  • formazione continua degli organi apicali delle imprese coinvolte (organi di amministrazione e organi di direzione), e promozione della formazione di tutto il personale coinvolto, allo scopo di creare, in ottica preventiva, una cultura aziendale della sicurezza.

Il dettaglio degli obblighi e delle misure sarà definito da ACN nel corso del 2025 e, secondo la timeline condivisa dalla stessa Agenzia, l’implementazione dei nuovi obblighi sarà graduale e progressiva:

  • i nuovi obblighi di notifica si applicheranno da gennaio 2026;
  • le nuove misure di cybersicurezza dovranno essere implementate a partire da settembre 2026.

Il portale dell’ACN per la conformità a NIS2

A partire dal 1° dicembre 2024, l’ACN ha messo a disposizione un portale per la registrazione delle organizzazioni cui si applica la Direttiva NIS2.

Ecco i passi da seguire per registrarsi:

  • scelta del punto di contatto: l’impresa deve nominare una persona fisica (tendenzialmente un dipendente) come punto di contatto, che ha il compito di attuare le misure di cybersicurezza. Il punto di contatto deve essere in possesso di specifici requisiti ed essere delegato dal rappresentante legale (o deve coincidere con quest’ultimo). Il punto di contatto deve inoltre occuparsi di interloquire con l’ACN;
  • censimento del punto di contatto e convalida dell’iscrizione: una volta nominato, il punto di contatto deve autenticarsi sul portale tramite SPID e caricare la delega che lo abilita a operare nel contesto NIS per conto dell’organizzazione. Una volta terminato il processo di censimento, l’ACN invia un link per la convalida dell’iscrizione;
  • inserimento dei dati societari: il punto di contatto dovrà poi inserire una serie di dati relativi all’impresa (contesto, caratterizzazione, tipologie di soggetto e autovalutazione).

Sulla piattaforma sono riportati anche i contatti cui chiedere assistenza in caso di dubbi.

Le registrazioni si chiuderanno il 28 febbraio 2025, scadenza anticipata al 17 gennaio 2025 in alcuni casi particolari (fornitori di servizi di dominio, cloud, data center, reti di distribuzione dei contenuti, sicurezza, mercati online, motori di ricerca e piattaforme social).

Fonte: Aruba.it