HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi NIS2: Le novità normative in tema di cybersecurity

NIS2: Le novità normative in tema di cybersecurity

PrintMailRate-it

​​​​​​​​​​​​​​​​Ultimo aggiornamento del 21.10.2024 | Tempo di lettura ca. 4 minuti


Der Text ist auch auf Deutsch verfügbar »​

The article is available also in English »​

La sicurezza informatica non è mai stato un tema così urgente e cruciale per le organizzazioni, sia private che pubbliche. 

Con l’introduzione della Direttiva 2022/2555 (“NIS 2”), avvenuta il 16 ottobre 2024 con l’entrata in vigore del D.Lgs n. 138/2024 di recepimento (“Decreto”), il panorama normativo subisce infatti un'evoluzione significativa che richiede un'attenzione immediata, introducendo requisiti più stringenti per la gestione dei rischi e la segnalazione degli incidenti e ampliando il suo campo di applicazione a più soggetti e settori.

Molto sinteticamente, la NIS2 prevede l’obbligo per le organizzazioni di:
  1. mettere a punto un approccio di natura risk based volto a verificare la sicurezza delle infrastrutture e migliorare la resilienza operativa(“assessment”); 
  2. valutarne il livello di rischio di sicurezza (“gap analysis”); 
  3. identificare ed adottare misure di rimedio tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari dei loro servizi e per altri servizi garantire un livello elevato di cybersicurezza (“remediation”). Tra le tante, la notifica degli incidenti al CSIRT e l’adozione degli schemi di certificazione della cybersicurezza;
  4. monitorarne l’efficacia (“monitoraggio”), anche valutando l’adozione di un Cybersecurity Officer.

Per raggiungere l’adeguata compliance, il Decreto indica alle organizzazioni le attività da svolgere e le tempistiche, aiutandole quindi a definire le priorità. 

In particolare, concentrandoci sulle prime in scadenza, il Decreto indica anzitutto che le organizzazioni debbono registrarsi sulla piattaforma digitale resa disponibile all’Agenzia per la cybersicurezza nazionale (“ACN”) dal 1° gennaio 2025 e ciò solo in caso di esito positivo dello screening di applicabilità o meno della normativa alla singola organizzazione. 

Screening che andrebbe quindi completato prima dell’avvio del periodo di registrazione e, pertanto, entro la fine del 2024.

Inoltre, va ben tenuto a mente che:
  1. entro il 17 gennaio 2025, dovranno senz’altro completare la registrazione i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  2. tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti;
  3. entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
  4. tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione dovranno fornire le ulteriori informazioni richieste dalla normativa. Informazioni nascenti per l’appunto dall’attività di assessment e gap analysis sopra indicate.
  5. A seguire, dal 2026 dovranno essere adottate le azioni di rimedio e monitoraggio.

Il mancato assolvimento di quanto sopra potrà esporre le organizzazioni a un severo regime sanzionatorio (pari, ad esempio, per i soggetti essenziali fino a un massimo dello 0,1 per cento del totale del fatturato annuo; per i soggetti importanti, allo 0,07 per cento del totale del fatturato annuo). Inoltre, l’ACN, in certi casi, potrà addirittura sospendere i servizi delle organizzazioni.

In considerazione di quanto sopra, risulta quindi necessario per tutte le organizzazioni private e pubbliche procedere anzitutto con un primo screening di applicabilità della nuova normativa entro la fine del 2024.

screening NIS2
Clicca qui​ per prenotare il tuo screening personalizzato preliminare e orientativo, che ti potrà aiutare ad approfondire l’applicabilità o meno della nuova normativa.​

dalla newsletter

Legal Newsletter​​​​​​​​​​

autore

Contact Person Picture

Nadia Martini

Avvocato

Partner

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu