Si è tanto parlato della Direttiva NIS2 che prevede nuovi obblighi per innalzare la sicurezza del Paese e ieri, 16 ottobre 2024 è entrata ufficialmente in vigore. Il decreto NIS, recante la nuova normativa italiana sulla Network and Information Security (NIS), mira a rafforzare la sicurezza e la resilienza cibernetica di imprese e pubbliche amministrazioni. L’Agenzia per la cybersicurezza nazionale (ACN) è confermata quale Autorità competente e punto di contatto unico per la sua applicazione, delineando un percorso graduale e sostenibile per consentire alle organizzazioni pubbliche e private di adempiere ai nuovi obblighi di legge.
Le novità introdotte dal decreto NIS
Il decreto NIS introduce maggiori obblighi in materia di misure di sicurezza e notifica degli incidenti e rafforza i poteri di supervisione dell’Agenzia, in qualità di Autorità nazionale competente, nonché quelli degli organi preposti alla risposta agli incidenti e alla gestione delle crisi informatiche.
Aumentano inoltre i campi di applicazione della normativa. I settori interessati diventano 18, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti, distinti tra essenziali e importanti in relazione al livello di criticità delle attività svolte e del settore in cui operano.
Sono previsti anche nuovi strumenti per la sicurezza informatica, come la divulgazione coordinata delle vulnerabilità, da realizzarsi attraverso la cooperazione e la condivisione delle informazioni a livello nazionale ed europeo.
Il percorso di attuazione
L’adeguamento al decreto NIS prevede un percorso sostenibile con la graduale implementazione degli obblighi di legge. Per i soggetti interessati il primo passo è quello di registrarsi al portale di ACN. Per farlo c’è tempo dal 1° dicembre 2024 fino al 28 febbraio 2025.
Gli obblighi di notifica di incidente e delle misure di sicurezza verranno definiti in maniera progressiva e a valle delle consultazioni nell’ambito dei tavoli settoriali con le determine del Direttore Generale di ACN, che saranno adottate entro il primo quadrimestre del 2025.
È prevista, inoltre, una finestra temporale di implementazione differenziata: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS, previsto per aprile 2025.
Da aprile 2025 partirà quindi un percorso condiviso di rafforzamento della sicurezza informatica nazionale.
Per facilitare la comprensione delle novità del decreto NIS, l’ACN ha già pubblicato un video e alcune pagine informative sul proprio sito web istituzionale con questo slogan: “Proteggiamo i sistemi informatici per proteggere il Paese”.