Lo scorso ottobre è entrato in vigore del Dlgs #138/2024 (link qui), che recepisce la direttiva UE 2022/2555, meglio conosciuto come NIS2 che “stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Ue così da migliorare il funzionamento del mercato interno”.
Cosa devi fare?
Innanzitutto, dovrai verificare se fai parte o no dei cosiddetti soggetti essenziali / importanti.
Per farlo hai a disposizione:
- il decreto, e in particolar modo le indicazioni dei suoi allegati (da I a IV*).
- il sito di ACN dove troverai #Faq (link qui) che ti permetteranno di capire se sei un soggetto NIS e in quale categoria eventualmente rientri.
Successivamente, se rientri tra i soggetti essenziali/importanti, potrai proseguire con la registrazione (è possibile farlo fino a fine febbraio 2025) sul sito di ACN.
ACN ha messo a disposizione un tutorial (lo trovi qui) che ti guiderà step by step nell’iter di registrazione. Prima di affrontare la registrazione ti sarà necessario individuare un soggetto interno, che, dalla registrazione in avanti, fungerà da “punto di contatto” (art 7 co.1 lettera c del Dlgs 138/2024). Anche per questo aspetto puoi contare sulle indicazioni delle FAQ di ACN.
Le fasi della registrazione
La registrazione prevede 3 fasi:
- il censimento del punto di contatto,
- la sua associazione al soggetto,
- la compilazione della dichiarazione NIS.
Precisazioni
Occorre fare due precisazioni importanti:
In primo luogo, la registrazione come “soggetto NIS” non implica degli obblighi altrimenti inesistenti o inapplicabili: le PA e i soggetti pubblici o privati che rientrano nell’ambito di applicazione del D.Lgs 138/2024 sono di fatto soggetti NIS e pertanto tenuti a rispettare gli obblighi previsti dal decreto, anche se non provvedono alla registrazione. Inoltre, l’atto di non registrarsi costituisce una violazione passibile di sanzione pecuniaria fino al 0.1% del fatturato annuo su scala mondiale del soggetto.
Tuttavia, non è per motivi punitivi che occorre registrarsi, bensì per supportare responsabilmente ACN nel compito di censire i soggetti che operano nei settori vigilati.
In questo modo ACN potrà:
- Fornire a tali soggetti il necessario supporto nell’implementazione degli obblighi previsti.
- Garantire, attraverso un monitoraggio costante, un percorso di crescita comune e fattivo.
Non dimentichiamo infatti che le previsioni del decreto richiamano alla “Strategia nazionale di cybersicurezza, (…) volte a garantire un livello elevato di sicurezza informatica” nell’Unione Europea.
È dunque un richiamo alla responsabilità per il bene nazionale e comunitario.
Cosa accade dopo
Entro il 31 marzo 2025 (con possibili slittamenti alla metà di aprile), ACN comunicherà al soggetto registrato l’eventuale conferma del suo inserimento nell’elenco tra i soggetti essenziali o importanti.
E tu cosa dovrai fare?
Dovrai dimostrare che stai attuando #misuredisicurezza adeguate ai tuoi rischi cyber. L’adempimento agli obblighi di base in materia di sicurezza informatica diventa indispensabile entro 18 mesi dalla notifica di inclusione. In via generale possiamo porre la deadline a ottobre 2025.
Il ruolo di TÜV NORD Italia
Consigliamo di iniziare sin da ora a implementare specifiche #misure tecniche, organizzative e operative, che ti consentiranno di gestire i rischi legati alla sicurezza della tua Organizzazione.
Per supportarti in questo c’è un validissimo strumento: la Norma UNI CEI EN ISO/IEC #27001:2024, che fornisce i requisiti per l’adozione di un Sistema di Gestione sulla Sicurezza delle Informazioni, Cybersecurity e Data Protection e che ti supporta nella gestione delle richieste della NIS2. Altre norme della famiglia 27000, poi, possono coadiuvare la ISO 27001, per aspetti specifici (ad esempio, le linee guida ISO/IEC #27035 sono dedicate alla gestione degli Incident, che costituiscono uno dei fulcri di attenzione della NIS2).
Per la valutazione dei sistemi di controllo e automazione industriale (IACS) la serie di norme IEC 62443 è l’unico riferimento tecnico attualmente presente e riconosciuto a livello internazionale.
Inoltre, il Decreto impone l’obbligo per i vertici aziendali** di ricevere #formazione #specifica ed esercitare una #supervisione diretta sull’Information Security dell’Organizzazione – obbligo, che, se non ottemperato, prevede sanzioni accessorie con sospensione dalle funzioni dirigenziali.
TÜV NORD Italia offre i servizi di:
- Formazione: con un’offerta formativa arricchita nell’ambito della Data e Information Governance, con corsi su norme della famiglia ISO 27000 e norme collegate/collegabili (es: ISO 22301 Business Continuity) e sulla famiglia di norme IEC 62443;
- Assessment e gap analysis per valutare il posizionamento della tua azienda;
- Audit di terza parte: finalizzati alla verifica di conformità del tuo sistema di gestione e al rilascio di certificazioni di sistemi di gestione-,
- Assessment e certificazione per la valutazione della Cybersecurity della supply chain in accordo alla serie di norme IEC 62443.
Se vuoi approfondire queste tematiche ti invitiamo all’Evento “Cybersecurity: NIS2 e le sfide del nuovo scenario, compliance chiave per il rafforzamento della sicurezza informatica”che si terrà il 28 gennaio 2025 presso I Portici Hotel, Via dell'indipendenza 69, Bologna, 40121. Per partecipare compila il modulo al link.
Per avere ulteriori informazioni sui nostri corsi visita la pagina del Calendari 2025 al link.
---
Note:
* Nell’allegato I del decreto sono elencati i settori altamente critici; nell’allegato II gli altri settori critici. L’allegato III elenca invece le categorie di PA, cui si applica il decreto. Nell’allegato IV sono elencate le ulteriori tipologie di soggetti a cui esso si applica a seguito di identificazione governativa.
** Né la Direttiva né il Decreto chiariscono cosa si intenda per vertici aziendali; tuttavia, è senz’altro possibile ritenere che essi vadano identificati nell’organo direttivo ed esecutivo che definisce il sistema di governance dell’Organizzazione. Ulteriori precisazioni nella prossima news.