Con l’approvazione del Decreto Legislativo che recepisce la direttiva (UE) 2022/2555, meglio conosciuta come NIS2, l’Italia e l’Unione Europea compiono un importante passo avanti nella protezione delle infrastrutture digitali e nel rafforzamento della resilienza delle imprese contro le minacce cyber sempre più sofisticate. Questo nuovo quadro normativo introduce nuovi obblighi specifici per i soggetti considerati essenziali e rilevanti, con l’obiettivo di migliorare la gestione della sicurezza informatica.

Struttura del Decreto NIS2

Il Decreto Legislativo, che si sviluppa in 6 Capi e 44 articoli, prende il posto del Decreto Legislativo n. 65 del 2018, che aveva attuato la prima direttiva NIS (Network and Information Systems) del 2016. Con queste nuove disposizioni, l’attenzione si concentra principalmente sull’aumento della sicurezza delle reti e dei sistemi informativi per le aziende considerate di importanza strategica, come i fornitori di cloud, i data center, le piattaforme social, i motori di ricerca e i mercati digitali.

Nuovi Obblighi per i Soggetti Essenziali e Rilevanti

Una delle novità più rilevanti introdotte dal decreto riguarda la responsabilità dei vertici aziendali. I consigli di amministrazione e i dirigenti delle imprese classificate come essenziali o importanti sono ora chiamati ad approvare e supervisionare le misure di sicurezza informatica, garantendo una gestione efficace dei rischi. In caso di violazioni, queste figure dirigenziali saranno ritenute direttamente responsabili. Inoltre, il decreto prevede che i dipendenti delle aziende coinvolte ricevano una formazione continua sulla cybersecurity (Articolo 23).

L’Articolo 24, poi, impone l’adozione di misure aggiornate e sicure per prevenire accessi non autorizzati e gestire con efficacia gli incidenti informatici, ponendo un accento particolare sulla continuità operativa delle aziende in caso di attacchi informatici.

Notifica di Incidenti e Quasi-Incidenti

Il decreto stabilisce tempi stringenti per la notifica degli incidenti significativi: le imprese devono comunicarli entro 24 ore dalla rilevazione e fornire un report dettagliato entro le 72 ore successive. Accanto a questa novità, viene introdotta anche la notifica dei cosiddetti “quasi-incidenti”, ossia eventi che potrebbero avere un impatto grave ma che non hanno ancora causato danni (Articoli 25 e 26). Questo obbligo rappresenta un passo importante per favorire la prevenzione e il monitoraggio continuo delle minacce informatiche.

Fase di Prima Applicazione e Tempistiche

Il periodo iniziale di applicazione del decreto prevede una serie di scadenze ben precise. Ad esempio, le aziende fornitrici di servizi digitali, come cloud e data center, devono registrarsi entro il 17 gennaio 2025 sulla piattaforma digitale predisposta dalle autorità. Inoltre, gli obblighi previsti dagli articoli 23, 24 e 29 dovranno essere attuati entro 18 mesi dalla comunicazione ricevuta dalle autorità competenti.

Ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN)

L’Agenzia per la Cybersicurezza Nazionale (ACN) è incaricata di vigilare sull’attuazione del decreto. Ogni anno, entro il 31 marzo, l’ACN aggiorna l’elenco dei soggetti obbligati alla registrazione e comunica loro l’inclusione o l’eventuale rimozione dall’elenco stesso. A partire dal 18 ottobre 2024, le aziende potranno iniziare a registrarsi sul portale dedicato, mentre dal 1 gennaio al 28 febbraio di ogni anno sarà obbligatorio aggiornare o confermare la propria iscrizione, fornendo dati essenziali come recapiti, settore di appartenenza e informazioni sui servizi erogati.

Impatti e Importanza del Decreto NIS2

Il recepimento della direttiva NIS2 rappresenta un fondamentale passo avanti per la protezione delle infrastrutture critiche e dei dati sensibili, in risposta alle minacce cyber in continua evoluzione. Grazie a questa nuova normativa, il sistema italiano di Cybersecurity si rafforza ulteriormente, promuovendo un ambiente digitale più sicuro e affidabile sia per i cittadini sia per le aziende. L’attuazione delle nuove misure richiederà alle imprese una pianificazione accurata, con particolare attenzione al rispetto delle scadenze e alla collaborazione costante con le autorità preposte.

In definitiva, il Decreto NIS2 mira a costruire una solida infrastruttura di sicurezza informatica per proteggere le aziende e i cittadini dalle crescenti minacce online. Le aziende interessate saranno chiamate a rispondere a nuove sfide, garantendo la protezione delle loro reti e sistemi, e adempieranno a obblighi di notifica e aggiornamento periodico delle informazioni. Il rispetto di queste nuove normative sarà essenziale per aumentare la resilienza del mercato digitale e garantire una maggiore fiducia da parte degli utenti.

Cos’è la certificazione ISO/IEC 27001

La certificazione ISO/IEC 27001 è uno standard internazionale per la gestione della sicurezza delle informazioni. Questo certificato attesta che un’organizzazione ha implementato un sistema di gestione della sicurezza delle informazioni (SGSI) efficace, capace di proteggere i dati sensibili da accessi non autorizzati, attacchi informatici, o altre minacce. Ottenere la certificazione ISO 27001 implica l’adozione di una serie di politiche, procedure e controlli per garantire la riservatezza, l’integrità e la disponibilità delle informazioni aziendali. Questa certificazione è particolarmente rilevante per le aziende che trattano dati sensibili e si allinea con gli obiettivi di conformità normativa come quelli introdotti dalla direttiva NIS2.

Noi di NETWORK GTC rimaniamo a disposizione per assistervi nel processo di certificazione ISO 27001 e per aiutarvi a diventare auditor certificati, offrendo supporto e consulenza per garantire il successo della vostra organizzazione in questo ambito cruciale.