Area riservata - Login
Home » Compliance » DIRETTIVA NIS2: DAL 28 FEBBRAIO 2025 I PRIMI ADEMPIMENTI IN TEMA DI CIBERSICUREZZA
22/01/2025

DIRETTIVA NIS2: DAL 28 FEBBRAIO 2025 I PRIMI ADEMPIMENTI IN TEMA DI CIBERSICUREZZA

La Direttiva 2022/2555 ha introdotto misure finalizzare a garantire un livello elevato di cibersicurezza sia a livello nazionale che nell’Unione, in modo da migliorare il funzionamento del mercato interno. Gli Stati Membri sono dunque tenuti ad adottare strategie nazionali in materia di cibersicurezza.
Con il D. Lgs 138/2024 lo Stato italiano ha attuato nel proprio ordinamento la Direttiva 2022/2555.
 
Ambito di applicazione
Il D.lgs 138/2024 si applica ai soggetti pubblici e privati ricompresi nei settori e tipologie di cui agli allegati I, II, III, IV che superano i massimali previsti per essere considerati Piccole Imprese.
Le disposizioni distinguono inoltre, sulla base del grado di criticità, tra soggetti “essenziali” (con un grado più alto) e “importanti” (con un grado più basso). Spetta agli Stati Membri il compito di individuare, predisponendo precisi elenchi, i soggetti essenziali e importanti che rientrano nell’ambito di applicazione della normativa. Ai fini dell’individuazione di tali soggetti bisogna fare riferimento agli allegati I, II, III, IV e all’art. 3 del decreto legislativo.
 
Obblighi e adempimenti richiesti
Il decreto legislativo prevede:
  • Obblighi di registrazione e informazione
I soggetti obbligati (di cui all’art. 3) devono registrarsi sulla piattaforma digitale resa disponibile dall’Autorità nazionale competente NIS al fine della predisposizione dell’elenco dei soggetti essenziali/importanti. Successivamente, dopo le valutazioni dell’Autorità, solo i soggetti effettivamente inseriti nell’elenco sono tenuti a fornire un ulteriore set di informazioni.
  • Obblighi in materia di misure di gestione dei rischi per la sicurezza informativa
I soggetti essenziali/importanti devono adottare misure tecniche, operative e organizzative adeguate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete utilizzati nonché per ridurre l’impatto di possibili incidenti.
  • Obblighi in materia di notifica di incidente
I soggetti essenziali/importanti devono notificare ogni incidente con significativi impatti sulla fornitura dei loro servizi.
 
Sanzioni
Il D.lgs 138/2024 prevede sanzioni amministrative pecuniarie sia per l’inosservanza degli obblighi e delle disposizioni adottate dall’Autorità nazionale competente NIS (fino ad un massimo tra 7.000 e 10.000 euro o tra 1.4% e 2% del fatturato annuo) sia per la mancata registrazione e comunicazione, inosservanza delle disposizioni e mancata collaborazione con le autorità preposte (in questo caso le sanzioni variano tra lo 0.07% e lo 0.1% del fatturato annuo).
 
* * *
 
Il Decreto legislativo 138/2024 è entrato in vigore dal 18 ottobre 2024.
La scadenza per i primi obblighi di registrazione sul portale dell’Agenzia per la Cibersicurezza Nazionale (di cui all’art. 7) è fissata al 28 febbraio 2025.
Il primo step consiste quindi nella valutazione dell’applicabilità della normativa alla propria azienda e sull’identificazione della stessa come soggetto importante o essenziale.
 
Per chiarimenti e consulenza, Confimi è disponibile con un servizio di compliance preliminare finalizzato alla valutazione dell’applicabilità della normativa e assistenza nei rapporti con l’Autorità Nazionale.
Confimi Servizi Srl – info@confimiservizi.it
Stampa
Non perderti nulla,
iscriviti alla nostra newsletter.

Torna in cima