È stato ufficialmente pubblicato nella Gazzetta Ufficiale del primo ottobre 2024 il Decreto Legislativo n. 138, che recepisce la direttiva (UE) 2022/2555, nota come NIS 2 e che entrerà in vigore il prossimo 16 ottobre 2024. 

Il provvedimento si inserisce in un contesto fortemente digitalizzato in cui la cyber security è diventata una priorità assoluta, con minacce informatiche sempre più sofisticate che mettono a rischio la stabilità delle infrastrutture e la sicurezza dei dati. 

Il decreto, che ha come obiettivo primario quello di proteggere le infrastrutture “essenziali” e “importanti”, introduce nuovi obblighi per le aziende considerate fondamentali per l’economia e la società, rafforzando la resilienza contro le minacce informatiche. 

Il decreto si compone di 6 capi e 44 articoli, ognuno dei quali affronta aspetti fondamentali della sicurezza informatica, dalle definizioni operative fino alle sanzioni in caso di inadempimento: non ci sono più scuse per le aziende che non implementano una governance della cyber strutturata ed efficiente. 

• l cuore della NIS 2 è la protezione delle infrastrutture critiche: l’articolo 1 sottolinea che il decreto stabilisce misure atte a garantire un livello elevato di sicurezza informatica, contribuendo all’incremento del livello comune di sicurezza all’interno dell’Unione Europea. 

• Uno degli articoli centrali è l’articolo 7, che disciplina l’identificazione e la registrazione dei soggetti essenziali e importanti: questi soggetti devono registrarsi annualmente sulla piattaforma digitale messa a disposizione dall’Autorità nazionale competente NIS. Questa registrazione include la ragione sociale, i recapiti e la designazione di un punto di contatto, informazioni vitali per assicurare una comunicazione efficace e tempestiva tra le aziende e le autorità in caso di minacce alla sicurezza. 

• Il top management ricopre un ruolo fondamentale nella gestione della sicurezza informatica, come stabilito dall’articolo 23: essi devono approvare e sovrintendere l’implementazione delle misure di gestione del rischio e garantire che i dipendenti siano adeguatamente formati. 

• L’articolo 24 introduce l’obbligo di adottare misure tecniche e organizzative proporzionate per la gestione dei rischi informatici: tali misure includono politiche di sicurezza, gestione degli incidenti, continuità operativa e sicurezza della catena di approvvigionamento; particolare attenzione è rivolta alla gestione delle vulnerabilità e all’uso di tecnologie di sicurezza avanzate come l’autenticazione a più fattori. 

• L’articolo 25 stabilisce tempistiche stringenti per la notifica degli incidenti significativi: entro 24 ore per la notifica iniziale e 72 ore per fornire dettagli aggiuntivi, inclusi gli indicatori di compromissione (IoC); la notifica finale deve essere inviata entro 60 giorni dall’incidente. Questo approccio garantisce che le autorità siano immediatamente informate di eventuali minacce e possano intervenire tempestivamente. 

Il percorso di conformità alla NIS 2 non è un evento una tantum, ma richiede un impegno costante da parte delle aziende, scandito da precise scadenze annuali: 

• Ogni anno, dal primo gennaio al 28 febbraio, le aziende devono registrarsi o aggiornare le informazioni sulla piattaforma digitale predisposta dall’ACN. 

• Entro il 31 marzo di ogni anno, l’ACN pubblica l’elenco aggiornato delle aziende registrate e comunica ufficialmente la loro inclusione o eventuale esclusione dall’elenco dei soggetti regolamentati. 

• Dal 15 aprile al 31 maggio le aziende notificate dall’ACN devono fornire informazioni aggiornate su indirizzi IP pubblici, domini e responsabili della sicurezza. 

• Dal 1 maggio al 30 giugno le aziende devono comunicare le informazioni relative ai servizi e alle attività svolte (Art. 24 comma 1 e 2), in modo da consentire una categorizzazione accurata da parte delle autorità competenti. (Entro 90 giorni dalla comunicazione ACN fornisce riscontro ai soggetti circa la conformità. In assenza del riscontro la conformità si intende convalidata.) 

La compliance alla direttiva NIS 2 richiede una pianificazione strategica e una collaborazione continua tra le aziende e le autorità. Non si tratta semplicemente di soddisfare requisiti burocratici, ma di costruire un sistema di sicurezza che protegga in modo efficace dalle minacce, in un mondo in cui gli attacchi informatici sono in costante evoluzione. 

Le aziende devono percepire questo percorso non come un obbligo imposto dall’alto, ma come un’opportunità per rafforzare le proprie difese e garantire continuità operativa in un contesto sempre più interconnesso e vulnerabile. 

In definitiva, il successo dell’implementazione della direttiva NIS 2 dipenderà dalla capacità delle imprese di comprendere la portata di queste misure e di tradurle in azioni concrete e continuative, in grado di adattarsi ai cambiamenti del panorama delle minacce informatiche. Questa capacità dipende fortemente dai partner scelti dall’azienda a supporto della propria strategia di cyber security.