Il 16 ottobre 2024 segna un’importante svolta per la sicurezza informatica in Italia, con l’entrata in vigore della nuova normativa sulla Network and Information Security (NIS) e L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità responsabile dell’applicazione della NIS e del coordinamento delle attività per migliorare la sicurezza delle reti e delle informazioni nel Paese. Questo nuovo percorso mira a fornire un quadro normativo chiaro e strutturato per le organizzazioni pubbliche e private, introducendo obblighi specifici e un piano di attuazione graduale.
Le novità della normativa NIS
La nuova normativa NIS estende i settori e le organizzazioni soggette agli obblighi di sicurezza. Ora sono 18 i settori coperti, 11 considerati altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti. Le imprese e le organizzazioni vengono distinte in base alla criticità delle attività svolte e al settore di appartenenza, classificandosi come essenziali o importanti. Questo implica un incremento degli obblighi di sicurezza e delle procedure di notifica degli incidenti informatici.
L’ACN, in qualità di punto di contatto unico per l’Italia, acquisisce anche maggiori poteri di supervisione sugli incidenti e sulla gestione delle crisi, collaborando con le autorità nazionali ed europee. Uno degli strumenti introdotti è la divulgazione coordinata delle vulnerabilità, promossa attraverso la cooperazione e la condivisione delle informazioni tra le varie organizzazioni.
Il percorso di attuazione: sostenibile e graduale
L’implementazione della NIS prevede un percorso di adeguamento graduale per le organizzazioni interessate. Il primo passo consiste nella registrazione al portale ACN, disponibile dal 1° dicembre 2024 fino al 28 febbraio 2025 per le medie e grandi imprese. Anche alcune piccole e microimprese saranno coinvolte, a seconda del livello di criticità delle loro operazioni.
Gli obblighi di notifica degli incidenti e delle misure di sicurezza saranno introdotti progressivamente, seguendo le consultazioni settoriali previste fino al primo quadrimestre del 2025. Le organizzazioni avranno 9 mesi per adeguarsi agli obblighi di notifica e 18 mesi per implementare le misure di sicurezza, a partire dalla pubblicazione definitiva dell’elenco dei soggetti NIS a marzo 2025.
Applicazione e supervisione della normativa
Il Tavolo per l’attuazione della disciplina NIS è un organo chiave nella supervisione della normativa. La ACN, in collaborazione con le autorità competenti, definisce i criteri e le modalità operative per garantire la sicurezza informatica nei settori essenziali e critici. La normativa include la cooperazione nazionale e internazionale, la divulgazione coordinata delle vulnerabilità e la gestione delle crisi di sicurezza informatica.
Fasi di attuazione
Entro 31 marzo 2025, la ACN pubblicherà l’elenco dei soggetti obbligati a conformarsi alla normativa NIS. Inoltre, entro sei mesi dall’entrata in vigore del D.Lgs NIS2, saranno definiti i criteri di monitoraggio, vigilanza e le modalità di collaborazione tra le autorità. Un percorso graduale è previsto per consentire alle imprese di adeguarsi, con strumenti di collaborazione e notifiche tra soggetti.
Ambito e registrazione per la normativa NIS2: come e quando registrarsi
Dal 1° dicembre 2024 al 28 febbraio 2025, tutti i soggetti pubblici e privati che rientrano nell’applicazione della normativa NIS2 dovranno registrarsi presso l’Autorità nazionale competente NIS e la registrazione sarà possibile attraverso una piattaforma digitale fornita dall’Agenzia per la Cybersicurezza Nazionale (ACN), che fungerà da punto di riferimento per monitorare l’implementazione degli obblighi di sicurezza.
La registrazione è obbligatoria per consentire all’ACN di censire i soggetti operanti nei settori essenziali e critici, come stabilito dalla normativa. L’articolo 7 del decreto NIS fornisce le linee guida per questa procedura, che sarà ulteriormente dettagliata in un provvedimento attuativo. I soggetti critici che non si registrano entro i termini stabiliti potrebbero incorrere in una sanzione amministrativa, pari al 0.1% del fatturato annuo su scala mondiale.
Dopo la fase di registrazione, nell’aprile 2025, i soggetti riceveranno una conferma ufficiale della loro inclusione nell’elenco NIS.
Obblighi per i soggetti NIS: registrazione e attuazione delle misure di sicurezza
Dal 1° dicembre 2024 al 28 febbraio 2025, i soggetti pubblici e privati che rientrano nell’ambito della normativa NIS2 sono tenuti a registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACN). Questo è solo il primo passo di un percorso che prevede l’implementazione graduale di obblighi di sicurezza informatica e notifiche di incidenti.
Gli obblighi principali, come stabilito dal decreto legislativo, includono la notifica di eventuali incidenti e l’adozione di misure di sicurezza adeguate. Le notifiche di incidente devono essere implementate entro 9 mesi dall’inclusione nell’elenco dei soggetti NIS, mentre le misure di sicurezza dovranno essere operative entro 18 mesi. Questo periodo di attuazione graduale è pensato per permettere alle organizzazioni di adattarsi in modo sostenibile alle nuove regole.
Inoltre, a partire dal 2026, le organizzazioni dovranno categorizzare i loro sistemi e servizi, valutando i diversi livelli di esposizione al rischio per adottare misure proporzionate.
