Il D.lgs. 138/2024, pubblicato ieri in Gazzetta Ufficiale, recepisce la Direttiva NIS 2, portando all’interno dell’ordinamento nazionale nuove e stringenti regole per garantire la sicurezza delle infrastrutture critiche digitali.
Ogni azienda e pubblica amministrazione che opera in settori chiave deve comprendere le implicazioni e agire prontamente.
Ma cosa devono fare, esattamente ed entro quali termini?
Indice degli argomenti
Identificazione dei soggetti coinvolti
L’Autorità Nazionale Competente per la NIS (ACN) gioca un ruolo essenziale nel determinare chi rientra tra i “soggetti essenziali” e i “soggetti importanti”, attraverso decisioni che coinvolgono le autorità di settore e il Tavolo per l’attuazione della disciplina NIS.
Per l’identificazione e l’elencazione dei soggetti essenziali e importanti, l’art.7 del D.lgs. 138/2024 ha stabilito un calendario e i relativi seguenti adempimenti.
Il calendario degli adempimenti
Il decreto stabilisce un rigoroso calendario di adempimenti. Strumento chiave per la realizzazione di tali adempimenti è la piattaforma dell’ACN.
L’autorità è chiamata a definire termini, le modalità di utilizzo di tale piattaforma nonché le informazioni che le organizzazioni devono fornire, garantendo un processo strutturato e conforme alle nuove disposizioni normative.
Di seguito il calendario.
Registrazione annuale (1 gennaio – 28 febbraio) di ogni anno
I soggetti essenziali ed importanti devono registrarsi o aggiornare le informazioni sulla piattaforma digitale dell’Autorità nazionale competente NIS (cioè ACN), fornendo:
- ragione sociale;
- indirizzo e contatti (email e telefono);
- punto di contatto (ruolo e contatti);
- settori pertinenti (allegati I, II, III e IV).
Elenco annuale (entro il 31 marzo di ogni anno)
L’Autorità nazionale competente NIS redige l’elenco dei soggetti essenziali e importanti basato sulle registrazioni e sulle decisioni.
Comunicazione tramite piattaforma
L’Autorità nazionale competente NIS, tramite piattaforma digitale, comunica ai soggetti l’inserimento, la permanenza o la rimozione dall’elenco.
Aggiornamenti annuali (15 aprile – 31 maggio) di ogni anno
I soggetti essenziali e importanti devono aggiornare le informazioni sulla piattaforma, includendo:
- indirizzi IP pubblici e nomi di dominio;
- elenco degli Stati membri dove operano;
- responsabili e loro contatti;
- sostituto del punto di contatto.
Fornitori specifici
Si tratta di quei fornitori diservizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, i fornitori di motori di ricerca online e i fornitori di piattaforme di social network.
Questi soggetti devono fornire anche:
- indirizzo della sede principale e altre sedi nell’UE;
- indirizzo del rappresentante nell’UE (se non stabiliti nell’UE).
Proporzionalità e gradualità: le chiavi per l’implementazione
Un altro aspetto importante è la proporzionalità degli obblighi. L’ACN adotterà misure che tengono conto del livello di rischio e delle dimensioni dei soggetti coinvolti, evitando un approccio “unico per tutti”.
Gli obblighi saranno implementati gradualmente, con scadenze che permetteranno alle organizzazioni di adattarsi senza eccessivi aggravi.
Adempimenti a geometria variabile: attendere o agire subito?
Prima di intraprendere azioni di adeguamento al D.lgs.138/2024 è fondamentale attendere le determinazioni dell’ACN.
Questa raccomandazione è particolarmente valida per le organizzazioni che hanno già una postura di sicurezza informatica accettabile rispetto agli attuali scenari di minaccia. In questo caso, attendere le indicazioni ufficiali consente di evitare sprechi e di allineare le iniziative di compliance alle specifiche regole che verranno stabilite.
Tuttavia, per le organizzazioni che non possiedono una solida base di sicurezza, il discorso cambia radicalmente. Chi non ha ancora raggiunto un livello minimo di protezione deve agire immediatamente. È essenziale attivarsi per implementare le misure fondamentali di igiene informatica, che includono pratiche di gestione delle password, aggiornamenti regolari dei sistemi e l’uso di software di sicurezza adeguati.
Inoltre, la formazione dei dirigenti e del personale diventa imprescindibile per creare una cultura di consapevolezza (cyber awareness) all’interno dell’organizzazione. Tutti devono essere in grado di riconoscere e rispondere in modo appropriato alle minacce informatiche. Parallelamente, è necessario definire procedure efficaci per la gestione degli incidenti di sicurezza, così da garantire una risposta rapida e strutturata in caso di attacco.
In sostanza, mentre chi ha già solide basi può attendere le determinazioni dell’ACN, chi è in ritardo sulla sicurezza informatica deve agire immediatamente per colmare le lacune e costruire un ambiente sicuro prima che sia troppo tardi.
Un futuro sicuro, ma solo con pianificazione e prudenza
Il D.lgs.138/2024 segna un punto di svolta per la cyber sicurezza in Italia, imponendo alle organizzazioni di essere più vigilanti e proattive.
Ma la chiave del successo sarà seguire attentamente il calendario e le linee guida dell’ACN, assicurandosi di rispettare ogni passaggio senza fretta.
Il futuro della sicurezza informatica è già qui, e la differenza tra un’organizzazione preparata e una vulnerabile dipenderà da quanto saprà pianificare e agire con consapevolezza.
