L’Agenzia Nazionale per la Cybersicurezza, autorità competente per l’applicazione della NIS2, ha prorogato al 31 luglio la scadenza (in precedenza fissata per il 31 maggio) per l’aggiornamento annuale dei dati, quindi per la comunicazione a completamento della pre-iscrizione delle aziende al portale ACN.
La Direttiva NIS2 (Network and Information Security 2) rappresenta un passo fondamentale per rafforzare la sicurezza informatica in Europa. Recepisce infatti la direttiva UE 2018/1972, che sostituisce la NIS (UE 2016/1148) con il D.Lgs. 4 Settembre 2024 n. 138 – GU n. 230 del 01.10.2024 ed origina dalla consapevolezza che la sicurezza informativa è sempre più strategica per la sopravvivenza stessa degli stati e per l’erogazione dei servizi essenziali alla popolazione.
Per questa ragione, sono chiamati a rispettare le nuove direttive tutti i soggetti pubblici e privati rientranti nelle categorie dei 4 allegati al decreto con queste condizioni:
- Indipendentemente dalle dimensioni se il soggetto è identificato come «Critico»
- Aziende con oltre 50 dipendenti e Fatturato/Bilancio superiore a 10Ml, se il soggetto è identificato come “Importante”
Ai fini della dimensione, si considera la «dipendenza del soggetto alle imprese collegate» (in termini di sistemi informativi e reti).
Si considerano imprese collegate quelle realtà, collegate ad un soggetto “essenziale”, nel caso in cui
- Adottano decisioni o esercitano influenza dominante sulle decisioni in fatto di sistemi informativi e rete
- Detengono sistemi da cui dipende il soggetto essenziale
- Effettuano operazioni di sicurezza informatica per il soggetto essenziale
- Forniscono servizi TIC (TLC) o di sicurezza, anche gestiti per il soggetto essenziale
Quali gli Obblighi Normativi previsti dalla NIS2?
La normativa in vigore prevede che le aziende possiedano e dimostrino:
- Consapevolezza generale, con responsabilizzazione delle figure apicali
- Adozione di misure adeguate tecniche e organizzative
- Procedure e strumenti di tracciabilità incidenti
- Denuncia degli incidenti
Questo significa, all’atto pratico, che sono chiamate a rispettare:
- Compliance GDPR (art. 8)
- Adottare misure tecniche, operative e organizzative adeguate
- Assicurare un livello di sicurezza adeguato ai rischi esistenti
- Proporzionare le misure al grado di esposizione ed al rischio
- Eseguire politiche di valutazione multi-rischio
- Gestire gli incidenti di sicurezza, con obbligo di comunicazione all’autorità competente
- Garantire continuità operativa
- Garantire la sicurezza della catena di approvvigionamento
- Eseguire audit interni (o meglio esterni)
- Eseguire pratiche di igiene e formazione
- Usare la crittografia
- Usare autenticazione MFA
Scadenze e proroghe
Nei primi due mesi di quest’anno, le aziende coinvolte nella NIS2 sono state chiamate a registrarsi sul portale ACN.
Mentre, entro il 31 maggio, scadeva l’obbligo per l’aggiornamento annuale delle informazioni attraverso la piattaforma predisposta dall’Agenzia per la Cybersicurezza Nazionale.
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha disposto il differimento del termine per l’aggiornamento annuale delle informazioni previste dal decreto NIS.
Il nuovo termine è stato posticipato al 31 luglio 2025, offrendo un’ulteriore finestra di tempo per completare le attività necessarie. L’inserimento delle informazioni richieste dovrà avvenire tramite il servizio NIS/Aggiornamento annuale disponibile sulla piattaforma digitale ufficiale.
Si segnala inoltre che tutte le comunicazioni o richieste, ai sensi dell’ Art.31 del decreto 138, devono avvenire preferibilmente attraverso la piattaforma digitale, utilizzando il Service HelpDesk all’indirizzo portale.acn.gov.it/support.
“Ad oggi – ha comunicato la stessa ACS – circa la metà dei soggetti NIS ha inserito una parte delle informazioni richieste e oltre mille le hanno già trasmesse all’Autorità nazionale competente NIS”.
Ing. Lodovico Mabini – consulente in ambito NIS2, ISO 27001
lodovico.mabini@lmteam.eu
