L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato una nuova Determinazione attuativa del decreto NIS (D.lgs. 138/2024), che introduce importanti novità per tutte le organizzazioni pubbliche e private che rientrano nel perimetro della direttiva NIS2.

Questa misura è pensata per rafforzare la resilienza dei sistemi informativi e migliorare la capacità di risposta agli incidenti informatici, stabilendo obblighi specifici, scadenze chiare e criteri uniformi.

 A chi si rivolge?

  • Aziende considerate essenziali (es. energia, sanità, trasporti, finanza)
  • Aziende importanti nel settore digitale e IT
  • Operatori di telecomunicazioni
  • Gestori e fornitori di servizi DNS

Cosa devono fare le imprese?

  1. Adottare misure minime di sicurezza Ogni impresa dovrà implementare misure tecniche e organizzative minime, distinte in base al tipo di soggetto (essenziale o importante), in linea con il Framework nazionale per la Cybersecurity.
  2. Notificare tempestivamente gli incidenti significativi Le aziende saranno obbligate a segnalare gli incidenti che hanno un impatto rilevante su disponibilità, integrità o riservatezza dei propri sistemi informativi.
  3. Rispettare scadenze precise
    • Le misure di sicurezza devono essere adottate entro 18 mesi dalla comunicazione formale di inclusione tra i soggetti NIS.
    • La notifica degli incidenti diventa obbligatoria entro 9 mesi dalla stessa comunicazione.
  4. Nuove responsabilità per operatori Telco e gestori di domini I provider di servizi DNS e gli operatori telco devono pubblicare politiche di sicurezza informatica e rispettare soglie ben precise per classificare gli incidenti come “significativi”, in base a durata e numero di utenti colpiti.
  5. Transizione per chi era già soggetto alla normativa precedente Gli operatori che già rispettavano la precedente direttiva NIS (D.lgs. 65/2018) dovranno mantenere le misure esistenti, garantendo continuità nel rispetto degli obblighi, anche in fase transitoria.

Quando entra in vigore?

La nuova determinazione diventa effettiva il 30 aprile 2025, ma alcune disposizioni tecniche saranno operative solo dopo il completamento della procedura di informazione prevista a livello UE.

In sintesi:
La direttiva rappresenta un passo avanti decisivo nella protezione dei servizi digitali e critici, spingendo le imprese italiane verso una maggiore maturità nella gestione della sicurezza informatica. Un’occasione per rafforzare le proprie difese, con scadenze certe e criteri chiari. Contattaci per maggiori informazioni:

    PrivatoProfessionistaAzienda

    Acconsento al trattamento dei miei dati personali*
    Qui puoi consultare il testo della Privacy Policy