Il Governo ha recepito la direttiva europea NIS2 con la quale si introducono le misure per un livello comune elevato di cybersicurezza nell’Unione Europea. Dal 18 ottobre prossimo scatteranno gli obblighi presenti nel decreto legislativo approvato ieri in CdM, con cui il Consiglio dei ministri ha recepito la NIS2.
I 7 punti chiave sono:
- I nuovi soggetti coinvolti, circa 50mila secondo le stime del direttore generale dell’Agenzia per la Cybersicurezza nazionale (ACN), che vanno ad aggiungersi a quelli già interessati dalla direttiva precedente NIS.
- Questi nuovi soggetti sono considerati essenziali e importanti per il Paese, perché forniscono anche essi servizi critici, come, ad esempio, quelli postali e dei corrieri, di gestione dei rifiuti, di fabbricazione di dispositivi medici, di computer e prodotti di elettronica e ottica, oppure, ancora, quelli legali alla grande distribuzione alimentare.
- Tuttavia, il nuovo testo normativo non si rivolge indistintamente a tutte le società che insistono all’interno dei suddetti settori, ma specifica in maniera precisa delle “regole”, basate principalmente sulla dimensione del soggetto e sul suo fatturato.
- L’Agenzia per la Cybersicurezza Nazionale (ACN) realizzerà la piattaforma (che sarà attiva dal 18 ottobre 2024) sulla quale tutti i soggetti che ritengono di essere “sicuramente” coinvolti dalle prescrizioni della NIS2 dovranno “auto-registrarsi”, indicando un elenco delle proprie attività e dei propri servizi, comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza.
- Dal 1 gennaio al 28 febbraio 2025 i soggetti essenziali e importanti per il Paese si registrano o aggiornano la propria registrazione sulla piattaforma.
- Poi entro il 31 marzo 2025 la stessa Agenzia a risponderà ai soggetti essenziali e ai soggetti importanti circa la conformità. L’ACN quindi andrà a stabilire le categorie di rilevanza nonché il processo, le modalità e i criteri per l’elencazione, caratterizzazione e categorizzazione delle attività e dei servizi da registrare sulla piattaforma.
- Concretamente la NIS2 in Italia partirà il 31 marzo 2025, quando l’ACN avrà completato la lista dei soggetti che dovranno attenersi alla direttiva.