Direttiva NIS2: obblighi e scadenze per aziende - A partire dal 1° dicembre 2024, i punti di contatto dovranno autenticarsi sul Portale ACN

La Direttiva NIS2, pubblicata sulla Gazzetta Ufficiale dell’UE a fine Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS del 2016. A partire dal 1° dicembre 2024 fino al 28 febbraio 2025, i punti di contatto dovranno autenticarsi sul Portale ACN (Agenzia per la cybersicurezza nazionale), utilizzando le credenziali SPID.

La Direttiva NIS2 mira a rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, per garantire l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber attraverso un aumento delle capacità di resilienza aziendale su tutto il processo di gestione di tali rischi, dalla prevenzione alla minimizzazione dell’impatto che tali incidenti possono causare.

Principali novità della Direttiva NIS2:

  • Impone agli Stati membri di adottare piani nazionali di cybersicurezza e di nominare o istituire autorità nazionali, autorità di gestione delle emergenze informatiche, punti di contatto unici e meccanismi di vigilanza e sanzione.
  • Richiede una rapida reazione agli incidenti più gravi e la collaborazione tra gli Stati membri.
  • Prevede la creazione di un team di risposta agli incidenti di sicurezza informatica (CSIRT) per assistere gli Stati membri e gli operatori economici.
  • Introduce il concetto di catena di approvvigionamento e i relativi requisiti di sicurezza.
  • Ridefinisce e amplia le categorie di soggetti a cui la Direttiva stessa si applica: soggetti essenziali (settori ad alta criticità) e soggetti importanti(altri settori critici) precedentemente “Operatori di servizi essenziali” & “Fornitori di servizi digitali”. 

Cosa succede in Italia? 

Lo Stato italiano ha pubblicato sulla Gazzetta Ufficiale il decreto di recepimento della Direttiva NIS2 in data 1° ottobre 2024.

Il decreto introduce gli obblighi e le scadenze di recepimento della NIS2, in dettaglio:

  • Le aziende e le pubbliche amministrazioni dovranno svolgere un assesment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2;

  • A partire dal 1° dicembre 2024 fino al 28 febbraio 2025, i punti di contatto dovranno autenticarsi sul Portale ACN (Agenzia per la cybersicurezza nazionale), utilizzando le credenziali SPID. Durante questo periodo, gli utenti designati come punti di contatto dovranno compilare una dichiarazione tramite il Servizio NIS/Registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate.

    In particolare, gli utenti dovranno:

    • Indicare se il soggetto è parte di un gruppo di imprese e fornire il codice fiscale della capogruppo, se applicabile.
    • Elencare le imprese collegate e fornire i relativi codici fiscali.
    • Elencare i codici ATECO che descrivono l'attività del soggetto.
    • Indicare le normative settoriali dell'Unione europea pertinenti.
    • Fornire i valori del fatturato, del bilancio e il numero di dipendenti per determinare la categoria dell'impresa.
    • Elencare le tipologie di soggetto a cui il soggetto è riconducibile.
  • entro il 17 gennaio 2025, dovranno registrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  • entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
  • tra il 1° aprile 2025 e il 15 aprile 2025, l’ACN comunicherà ai soggetti interessati se sono stati inseriti tra l’elenco dei soggetti essenziali o importanti;
  • entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto.

Dopodiché, i soggetti interessati dalla Direttiva dovranno procedere con ulteriori adempimenti:  

  • entro il 01/01/2026 obbligo di notifica incidenti
  • entro il 1° ottobre 2026, si dovrà adempiere agli obblighi in materia di organi amministrativi e delle misure di sicurezza

Ogni anno l'ACN aggiornerà l'elenco dei soggetti coinvolti. Le aziende e le pubbliche amministrazioni avranno la possibilità di registrarsi ogni anno, tra gennaio e febbraio, qualora ritengano di far parte dei soggetti interessati.

A seguito dell’entrata in vigore della NIS2 e dell’individuazione degli operatori coinvolti potranno essere eseguite attività di vigilanza ed audit a campione per verificare la conformità degli stessi alla Direttiva. Nel caso di non conformità, per le aziende coinvolte saranno applicabili delle sanzioni.

La nuova direttiva è stata allineata con altre normative europee settoriali specifiche come la Direttiva sulla resilienza operativa digitale per il settore finanziario (DORA), cioè il Regolamento approvato in data 10/11/2022 avente lo scopo  di incrementare le misure di sicurezza a favore della resilienza e della sicurezza informatica del settore finanziario attraverso l’attuazione di una serie di misure di sicurezza obbligatorie, volte a garantire l’integrità delle informazioni e la cybersicurezza dei servizi, e la Direttiva sulla resilienza delle entità critiche (CER), volta a  garantire chiarezza giuridica e coerenza tra le diverse direttive.