Recepimento della Direttiva NIS2: niente panico!

Stefano Mele e Flavia Bavetta, Gianni & Origoni

È stato appena pubblicato in Gazzetta Ufficiale l’attesissimo decreto di recepimento in Italia della Direttiva NIS2, il quale stabilisce misure volte a garantire un livello elevato di cybersicurezza in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.

Nonostante gli inutili allarmismi che – purtroppo da più parti – si sono sollevati in questi ultimi mesi, occorre chiedersi quali siano realmente gli obblighi a cui gli attori privati e pubblici dovranno adempiere e soprattutto quali i relativi termini.

Perché niente panico?

Negli ultimi mesi è stato spesso veicolato ad aziende e pubbliche amministrazioni il messaggio fuorviante dell’imminente obbligo di implementare – in alcuni casi, addirittura entro il 17 ottobre 2024 – la Direttiva NIS2 e tutti i suoi onerosi e complessi adempimenti. La realtà dei fatti, tuttavia, è completamente differente.

Infatti, al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle aziende e sulle pubbliche amministrazioni – come quello di notifica degli incidenti o di implementazione delle misure di sicurezza – il decreto di recepimento della Direttiva NIS2 richiede l’emanazione di ulteriori e successivi atti normativi. Ad esempio, soltanto entro 6 mesi dall’entrata in vigore del decreto appena emanato potremo conoscere i dettagli degli obblighi rivolti agli organi di amministrazione e a quelli direttivi, così come quelli in materia di misure di sicurezza cibernetica e di notifica degli incidenti. Addirittura, alcuni specifici adempimenti non verranno definiti prima di 18 mesi dall’entrata in vigore del decreto.

Quali sono i reali termini degli obblighi discendenti dal decreto di recepimento della Direttiva NIS2?

Alla luce di ciò, appare opportuno sintetizzare i principali adempimenti derivanti dal decreto, ordinandoli per data.

In particolare, preliminarmente occorre sapere che:

  • entro il 31 dicembre 2024, aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato;
  • tra il 1° gennaio e il 28 febbraio 2025, i soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
  • entro il 17 gennaio 2025, dovrannoregistrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
  • entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
  • tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elencodei soggetti essenziali o importanti;
  • entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
  • tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.

Chiusa questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel decreto. A tal proposito, a titolo esemplificativo:

  • a partire dal 1° gennaio 2026, si dovrà adempiere all’obbligo di notifica degli incidenti;
  • entro il 1° ottobre 2026, si dovrà adempiere:
    • agli obblighi degli organi di amministrazione e direttivi;
    • agli obblighi in materia di misure di sicurezza;
    • all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.

Alla luce di questo schema, quindi, appare evidente quanto sia oggi prematuro “agitarsi” in relazione al complesso – ma imprescindibile – impianto normativo della Direttiva NIS2. Occorre solo, per il momento, pianificare con attenzione le attività, seguendo il dettato normativo previsto nel decreto di recepimento.

Related Posts

Ultime news