Lo scorso 16 ottobre è entrato in vigore il d.lgs. n. 138/2024 con il quale l’Italia ha dato attuazione alla direttiva (UE) 2022/2555 (c.d. Direttiva NIS2).
Il d.lgs. n. 138/2024 si applica, di regola, a medie e grandi imprese rientranti in 17 settori critici e altamente critici (oltre a pubbliche amministrazioni e talune ulteriori tipologie di soggetti identificati direttamente dall’Agenzia per la Cybersicurezza Nazionale) e prevede a carico dei soggetti NIS obblighi riconducibili alle seguenti categorie:
obblighi di registrazione e aggiornamento delle informazioni: ogni anno i soggetti NIS devono registrarsi o aggiornare la registrazione già effettuata sul portale web dell’ACN, indicando il punto di contatto e fornendo una serie di informazioni relative, tra l’altro, alle attività svolte e ai servizi forniti;
obblighi in materia di misure di sicurezza: ai soggetti NIS è richiesta l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati nelle loro attività o nella fornitura dei loro servizi;
obblighi in materia di notifica degli incidenti: i soggetti NIS devono notificare al CSIRT, per fasi ed entro termini temporali stringenti, gli incidenti di sicurezza che hanno un impatto significativo sulla fornitura dei loro servizi;
obblighi a carico degli organi amministrativi e direttivi: gli organi amministrativi e direttivi, che sono responsabili per le violazioni della disciplina NIS, sono tenuti a seguire una formazione in materia di sicurezza informatica e a promuovere l’offerta periodica di formazione in materia di sicurezza informatica ai propri dipendenti.
Se la tua organizzazione è un soggetto NIS o presumi che lo diventerà nel corso di quest’anno, trovi di seguito un calendario con le date da tenere a mente per assicurare la conformità al d.lgs. n. 138/2024.
| 15 aprile 2025 | Se hai effettuato la registrazione sul portale dell’ACN entro il 10 marzo 2025, riceverai agli indirizzi e-mail (dell’organizzazione e del punto di contatto) che hai fornito in fase di registrazione conferma da parte dell’ACN dell’inserimento della tua organizzazione nell’elenco dei soggetti essenziali o importanti. Sempre il 15 aprile 2025, l’ACN adotterà le determinazioni con le quali saranno definiti gli obblighi di base in materia di notifica degli incidenti e di misure di sicurezza a cui i soggetti NIS dovranno conformarsi a partire da gennaio 2026. |
| Dal 15 aprile al 31 maggio 2025 | Se sei stato inserito nell’elenco dei soggetti essenziali e importanti, dovrai fornire, tramite il portale, ulteriori informazioni relative, in particolare, ai nomi di dominio in uso, agli Stati membri in cui offri i servizi soggetti alla NIS e ai responsabili nella tua organizzazione. |
| Da 1 gennaio al 28 febbraio 2026 | Se hai effettuato la registrazione sul portale dell’ACN entro il 10 marzo 2025, dovrai confermare le informazioni fornite o aggiornarle, se del caso. Se, invece, non hai effettuato la registrazione sul portale dell’ACN entro il 10 marzo 2025 (in quanto hai valutato di non rientrare nell’ambito di applicazione del d.lgs. n. 138/2024 a quella data) ma nel corso dell’anno hai superato i massimali delle medie imprese o avviato attività che determinano l’applicazione della disciplina NIS, dovrai effettuare la prima registrazione. |
| Da gennaio 2026 | Gli obblighi di base in materia di notifica degli incidenti, definiti dall’ACN con la determinazione che sarà adottata entro il 15 aprile 2025, diventeranno applicabili. |
| Da ottobre 2026 | Gli obblighi di base in materia di misure di sicurezza, definiti dall’ACN con la determinazione che sarà adottata entro il 15 aprile 2025, diventeranno applicabili. |
Se hai bisogno di assistenza e supporto nell’adempimento degli obblighi previsti dalla disciplina NIS, rivolgiti ai tuoi professionisti di riferimento.
