Il Governo ha tempo di recepire la Direttiva NIS2 entro il 17 ottobre 2024, ma sembra voglia fare presto nell’approvarla. Il via potrebbe arrivare domani in Consiglio dei ministri con l’approvazione del relativo decreto legislativo con cui l’Italia va a recepire “le misure per un livello comune elevato di cybersicurezza nell’Unione Europea” previste proprio nella direttiva NIS2.
Aggiornamento. Il Governo il 7 agosto ha recepito la direttiva europea NIS2 con la quale si introducono le misure per un livello comune elevato di cybersicurezza nell’Unione Europea. Dal 18 ottobre prossimo scatteranno gli obblighi presenti nel decreto legislativo approvato oggi in CdM, con cui il Consiglio dei ministri ha recepito la NIS2.
Obiettivo della NIS2
L’obiettivo del legislatore europeo con l’entrata in vigore della NIS2 è migliorare le capacità di resilienza e di risposta agli incidenti cyber da parte di operatori che forniscono servizi di vitale importanza per le principali attività sociali ed economiche dell’UE.
Prima certezza. Oggi alle ore 12 sul tavolo della riunione preparatoria del CdM di domani c’è stato anche lo schema del decreto legislativo per recepire la NIS2, schema che ha già ricevuto i pareri del Senato e della Camera dei deputati. Manca quindi solo l’approvazione del Consiglio dei ministri.
NIS2, le disposizioni del decreto legislativo di recepimento si applicano a decorrere dal 18 ottobre 2024
Dopo l’approvazione del CdM, il decreto legislativo viene emanato dal Presidente della Repubblica e pubblicato sulla Gazzetta Ufficiale. Entra in vigore dopo 15 giorni dalla pubblicazione.
Secondo la bozza visionata da Cybersecurity Italia, giornale del nostro Gruppo editoriale, le disposizioni del decreto legislativo di recepimento della NIS2 si applicano a decorrere dal 18 ottobre 2024.
Per tutti i soggetti coinvolti cosa cambierà?
L’Agenzia per la Cybersicurezza Nazionale (ACN) avrà meno tempo per realizzare la piattaforma sulla quale tutti i soggetti che ritengono di essere “sicuramente” coinvolti dalle prescrizioni della NIS2 dovranno “auto-registrarsi”. Poi dopo le verifiche di ACN, sarà la stessa Agenzia a rispondere ai soggetti e a confermare o meno lo status di NIS2. L’elenco sarà definitivo entro il 17 aprile 2025, da aggiornare ogni 2 anni.
Il direttore generale dell’ACN Bruno Frattasi ai nostri microfoni ha detto sono circa “50mila i nuovi operatori interessati dalla NIS2”.
Quali sono i settori e i soggetti interessati dalla direttiva NIS2?
La NIS2 effettua una distinzione tra settori “critici” e ad “alta criticità” e tra operatori di servizi “essenziali” e di servizi “importanti”, a seconda del livello di criticità che essi rivestono per la cybersicurezza europea.
I settori ad alta criticità sono: energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile, acqua reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio.
Gli altri settori critici sono: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali e ricerca.
NIS2 si applica a soggetti pubblici e privati in uni dei settori critici o ad alta criticità
La direttiva si applica, secondo quanto disposto dall’articolo 2, in generale ai soggetti pubblici o privati, operanti in uno dei settori critici o ad alta criticità, che presentano le caratteristiche proprie della media impresa (meno di 250 persone; fatturato annuo non superiore ai 50 milioni di euro; bilancio annuo non superiore a 43 milioni di euro) o che superano i massimali previsti dallo stesso articolo.
PMI e microimprese
Vengono dunque escluse dall’ambito di applicazione della direttiva, con qualche eccezione relativa ad alcuni settori e alcuni servizi, le piccole imprese e le microimprese che potranno essere però, soggette a una identificazione da parte dello Stato membro e, di conseguenza, inserite nell’ambito di applicazione.
Per sapere quali sono i principali obblighi della Direttiva NIS2 leggi l’approfondimento su Cybersecurity Italia
Articolo aggiornato l’8 agosto 2024.
