Dal 16 ottobre 2024 è entrato in vigore il decreto NIS (Network and Information Security), che ha l’obiettivo di rafforzare la sicurezza informatica di aziende e pubbliche amministrazioni in tutta Europa.
Scopriamo insieme quali sono le principali novità, chi è coinvolto e quali obblighi ne derivano per le aziende italiane.
Obiettivi e nuovi obblighi della normativa
La normativa NIS ha un obiettivo chiaro: elevare gli standard di sicurezza informatica, promuovendo una cooperazione efficace tra gli Stati membri e assicurando che le infrastrutture digitali siano pronte ad affrontare minacce sempre più sofisticate.
Rispetto al passato, la nuova versione amplia il campo d’azione, includendo un numero maggiore di settori e categorie di aziende considerate essenziali o strategiche.
Ora, le imprese e le amministrazioni coinvolte devono adottare misure di sicurezza che coprano tutte le dimensioni della cyber security: riservatezza, integrità e disponibilità dei dati.
Inoltre, la normativa introduce un sistema di notifica più tempestivo per segnalare eventuali incidenti, così da favorire una risposta rapida e coordinata.
Un elemento di novità è anche la divulgazione coordinata delle vulnerabilità, che permette di affrontare in modo condiviso le minacce emergenti.
Ambiti di applicazione e obblighi per le aziende
La nuova normativa NIS amplia il suo raggio d’azione. comprendendo ora 18 settori totali rispetto agli 8 precedenti e distinguendo tra settori altamente critici e critici, ampliando notevolmente il suo campo d’azione:
- Settori altamente critici (già presenti e aggiornati): energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali.
- Nuovi settori altamente critici: spazio, gestione dei servizi TIC (b2b), gestione dei rifiuti
- Nuovi settori critici: servizi postali e di corriere, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione alimentare, fabbricazione industriale, fornitori di servizi digitali, ricerca.
Questo ampliamento rispecchia la necessità di garantire una sicurezza informatica più estesa, coprendo oltre 80 tipologie di soggetti pubblici e privati.
Quali sono i tempi da rispettare per essere conformi?
A partire dal 1° dicembre 2024, tutti i soggetti coinvolti devono registrarsi sul portale dell’Agenzia per la cybersicurezza nazionale (ACN), che funge da autorità di riferimento per l’applicazione della normativa. Questa fase di registrazione è solo il primo passo di un percorso di rafforzamento della sicurezza che continuerà nei mesi successivi.
Gli obblighi relativi alla notifica degli incidenti e all’adozione di misure di sicurezza saranno introdotti gradualmente e definiti attraverso le decisioni del Direttore Generale di ACN, sulla base delle consultazioni settoriali. Le disposizioni complete sono attese entro il primo quadrimestre del 2025.
Sarà previsto inoltre un periodo di implementazione differenziato: le aziende avranno 9 mesi per adeguarsi agli obblighi di notifica e 18 mesi per adottare le misure di sicurezza, a partire dalla data in cui sarà consolidato l’elenco dei soggetti NIS, fissata per aprile 2025. Da quel momento, prenderà il via un percorso coordinato per rafforzare la sicurezza informatica a livello nazionale.
Gestione del rischio e responsabilità aziendale
La gestione del rischio è uno degli elementi centrali della nuova normativa, che punta all’adozione di un approccio proattivo: non solo protezione delle reti, ma anche capacità di reagire rapidamente in caso di crisi.
Un altro aspetto fondamentale è la responsabilità aziendale, che diventa ancora più stringente. Le imprese devono rispettare obblighi di comunicazione chiari e adottare misure di sicurezza per l’intera catena di fornitura.
Il mancato rispetto delle norme può comportare sanzioni significative, mentre la supervisione dell’ACN garantisce un monitoraggio costante per verificare la conformità.
La tua azienda rientra tra i soggetti coinvolti?
Contattaci per una consulenza gratuita e scopri come possiamo supportarti ad essere conforme alla normativa.
