Il 28 febbraio 2025 si avvicina ed entro questa data scade il termine per i soggetti NIS di adempiere all’obbligo di registrazione sulla piattaforma digitale accessibile tramite il Portale dei Servizi di dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Questa scadenza è importante perché riguarda numerosi settori, pubblici e privati, compresi quelli che si avvicinano per la prima volta alla tematica della cybersecurity, oggi tra le priorità del sistema Paese.
Tra questi, il settore alimentare, chimico e della fabbricazione più in generale. Negli ultimi mesi, ACN ha intensificato le proprie attività divulgative per aumentare la consapevolezza sulla nuova disciplina Direttiva NIS 2, in vigore dal 16 ottobre 2024, e informare sui prossimi adempimenti.
Gli adempimenti della Direttiva NIS 2
- Dal 1° dicembre 2024 al 28 febbraio 2025, medie e grandi imprese – e, in alcuni casi, anche piccole e microimprese – nonché le Pubbliche Amministrazioni interessate, sono tenute a registrarsi sul portale servizi Acn.
- Ad aprile 2025 partirà un percorso condiviso per il rafforzamento della sicurezza informatica.
NIS 2 mira a incrementare il livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni italiane, in linea con gli standard europei e l’ACN nazionale è l’autorità competente per l’applicazione della normativa.
I punti salienti della Direttiva NIS 2
La nuova normativa ha un grande impatto sul tessuto produttivo perché estende il campo di applicazione a 18 settori, di cui 11 ritenuti altamente critici (in aumento rispetto agli originari 8) e 7 critici, per oltre 80 tipologie di soggetti, distinguendoli in categorie essenziali e importanti.
Il decreto prevede, inoltre, un’implementazione graduale degli obblighi normativi: i primi adempimenti, relativi a notifiche di incidente e misure di sicurezza, saranno definiti attraverso consultazioni settoriali e determinate dal Direttore Generale di Acn entro il primo quadrimestre del 2025. Le tempistiche di adeguamento variano: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, a decorrere dalla data di consolidamento dell’elenco dei soggetti NIS previsto per aprile 2025.
Il principio di proporzionalità è un altro elemento fondamentale della normativa, realizzato attraverso una dettagliata categorizzazione delle attività e dei servizi dei soggetti NIS. A partire dal 2026, questa attività consentirà di distinguere i diversi livelli di esposizione al rischio all’interno delle organizzazioni, applicando obblighi progressivi in funzione della criticità dei sistemi informativi e di rete.