La tua ricerca

    02.10.2024

    NIS2 al via!


    Articolo a cura di Giulio Uras, Francesco Fidel Camera e Matteo Pagliarulo.

    È stato pubblicato in Gazzetta Ufficiale il d.lgs. n. 138/2024 (“Decreto NIS2”) che recepisce la direttiva (UE) 2022/2555, più nota come “Direttiva NIS2”. 

    Il Decreto NIS2 oltre ad abrogare il d.lgs. n. 65/2018 – che recepiva la direttiva 2016/1148, c.d. Direttiva NIS – ha disposto anche l’abrogazione degli artt. 40 (“Sicurezza delle reti e dei servizi”) e 41 (“Attuazione e controllo”) del d.lgs. n. 259/2003 (“Codice delle Comunicazioni Elettroniche”), con la conseguenza che ora i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico sono soggetti unicamente alla disciplina dettata dal Decreto NIS2.

    A chi si applica?

    Il Decreto NIS2 si applica a soggetti, sia pubblici che privati, che operano in settori “critici” (es. energia, trasporti, settore bancario, settore sanitario, infrastrutture digitali, spazio, gestione dei rifiuti, fabbricazione di dispositivi medici, macchinari, autoveicoli, etc.). 

    I soggetti obbligati si distinguono poi in essenziali e importanti, in funzione della loro importanza per il settore o il tipo di servizi che forniscono, nonché́ delle loro dimensioni. L’appartenenza ad una o all’altra categoria rileva ai fini dell’applicazione delle sanzioni in caso di violazione degli obblighi previsti dal Decreto NIS2, che sono più elevate per i soggetti essenziali (pari a un massimo di almeno 10 milioni EUR o a un massimo di almeno il 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore).

    Quali sono gli obblighi?

    I principali obblighi gravanti sui soggetti obbligati consistono nell’adozione di misure di gestione dei rischi per la sicurezza informatica e nella notifica di incidenti significativi.

    Con riguardo agli obblighi in materia di gestione dei rischi per la sicurezza informatica, ai soggetti essenziali e importanti è imposta l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati nelle loro attività o nella fornitura dei loro servizi. 

    Per quanto riguarda gli obblighi di notifica, il Decreto NIS2 prevede che i soggetti essenziali e importanti notifichino al CSIRT gli incidenti che hanno un impatto significativo sulla fornitura dei loro servizi. 

    La notifica è effettuata per fasi e prevede: una pre-notifica entro 24 ore dall’incidente, la notifica vera e propria entro 72 ore dall’incidente e una relazione finale entro 1 mese dalla notifica.

    Tanto gli obblighi in materia di gestione dei rischi per la sicurezza informatica quanto gli obblighi di notifica saranno definiti nel dettaglio (anche con riguardo a termini, modalità, specifiche e tempi graduali di implementazione) dall’ACN con proprie determinazioni sulla base di criteri di gradualità e proporzionalità.

    La responsabilità di assicurare il rispetto degli obblighi stabiliti dal Decreto NIS2 ricade sugli organi amministrativi e direttivi dei soggetti essenziali e importanti, che sono responsabili delle violazioni del Decreto NIS2.

     

    Per maggiori informazioni consulta la nostra Guida sulla Cybersecurity (aggiornata a Decreto NIS2, Decreto CER e Legge sulla Cybersicurezza) o contatta i nostri professionisti dedicati alla materia.

    GC Summit Italy 2025
    19 febbraio 2025 | 13.00-19.00 | Hilton Milan, Via Luigi Galvani 12, Milano Pao…
    Approfondisci
    Linee guida sulla pseudonomizzazione
    Nell’ambito del Regolamento (UE) 2016/679 (“GDPR”), che ne introduce per la prim…
    Approfondisci
    Dati personali dei soci di fondi di investimento: tra Gdpr e diritti degli altri soci
    Articolo a cura di Paolo Francesco Bruno per Citywyre Una recente decisione del…
    Approfondisci
    Italian Insurtech Summit 2024
    21-22 novembre 202409.00-21.00Milano LUISS Hub Jacopo Arnaboldi parteciperà all…
    Approfondisci
    Dalla polizza alle partnership: come proteggersi dai nuovi rischi cyber?
    Martedì 29 ottobre 202409.30-10.30 Paolo Gallarati e Giulio Uras parteciperanno…
    Approfondisci
    Introduzione alla cybersecurity
    Approfondisci
    E-mail aziendali e metadati | Il documento di indirizzo del garante
    Lo scorso 21 dicembre il Garante per la protezione dei dati personali ha adottato il documento di indirizzo "Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e tr…
    Approfondisci
    E-mail aziendali e metadati | Il documento di indirizzo del garante
    Lo scorso 21 dicembre il Garante per la protezione dei dati personali ha adottato il documento di indirizzo "Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e tr…
    Approfondisci
    China Data Protection Report 2022
    Al seguente link il memorandum "China Data Protection Report 2022", l'approfondimento sulla nuova disciplina del trattamento dei dati personali in Cina tramite una spiegazione delle principali leggi che la…
    Approfondisci