Il D.lgs 4 Settembre 2024 N. 138 recepisce la direttiva UE 1972/18 NIS2, che sostituisce la precedente direttiva NIS.
L’acronimo NIS “Network Information Security” identifica la politica di cooperazione comunitaria finalizzata alla Cybersicurezza.
Gli stati membri, quindi devono recepire tale direttiva con azioni di legge ed identificando una autorità nazionale Competente; Identificata in Italia nell’Agenzia Nazionale per la Cybersicurezza, ACN.
La direttiva obbliga le aziende identificate come critiche od importanti (e tale classificazione è dettata dalle dimensioni, dall’ambito operativo o dalla propria posizione nella filiera dell’informazione) ad adottare soluzioni tecniche ed organizzative per la gestione del rischio cyber, nonché le obbliga ad una collaborazione rapida ed efficace con l’Agenzia Nazionale in caso di incidente.
I settori critici riguardano l’energia, i trasporti, il bancario, la sanità, l’acqua potabile e le acque reflue, lo spazio e le infrastrutture digitali, nonché i rifiuti, i servizi postali, il chimico, l’alimentare e la ricerca.
I settori importanti riguardano le pubbliche amministrazioni, gli enti, le agenzie fiscali, le città metropolitane ed i comuni oltre i 100.000 abitanti.
Qualora l’interessato sia fornitore si servizi essenziali o unico fornitore, oppure attività ad alto rischio di “perturbazione”, viene applicata indipendentemente dalle dimensioni.
Cosa significa adempiere alla NIS2?
L’azienda che ritiene di essere soggetta agli obblighi deve registrarsi nel portale dell’Agenzia Nazionale per la Cybersicurezza entro il 28 febbraio, e l’agenzia provvederà a comunicare alla stessa se è da ritenersi critica od importante, quindi obbligata all’adeguamento NIS2.
Il processo di adeguamento prevede l’introduzione di strumenti tecnici ed organizzativi, una importante responsabilizzazione delle figure apicali in ambito di sicurezza informatica, ed una strutturata gestione degli incidenti, con l’obbligo di comunicazione preliminare, intermedia e di chiusura dell’incidente all’Agenzia, attraverso il CSIRT, il team di risposta agli incidenti informatici dipendente dall’agenzia stessa.
Per qualsiasi approfondimento in merito, o per un contatto con i nostri consulenti, restiamo a vostra disposizione.
Articolo a cura dell’Ing. Lodovico Mabini
Comments are closed