La Direttiva europea NIS2 sta cambiando la sicurezza informatica a livello di Unione Europea, dovendosi gli Stati Membri, tra cui ovviamente l’Italia, adeguare. In questi termini, tra Aprile e Maggio, l’Agenzia della Cybersicurazza Nazionale ha inviato e invierà ai soggetti preposti tutta una serie di comunicazioni in materia.
Le necessità di adeguamento
Proseguono le comunicazioni – via PEC – tra l’Agenzia della Cybersicurazza Nazionale (ACN) e i soggetti che in Italia dovranno adeguarsi alla NIS2, per una migliore cybersicurezza comunitaria. Con il Decreto Legislativo 4 settembre 2024, n. 138, l’Italia ha infatti recepito nell’ordinamento nazionale la Direttiva (UE) 2022/2555 (NIS2).
L’atto, relativo a tutte quelle misure per un livello comune elevato di sicurezza informatica nell’Unione ha abrogato la precedente Direttiva NIS del 2016. Trattandosi di una Direttiva – da implementare all’interno di ciascuno Stato – il ‘Sistema Paese’ Italia si è dovuto confrontare con alcuni obblighi. Quelli in capo agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (FSD).
Nella misura in cui i cambiamenti strutturali andranno ad agire direttamente sulle catene del valore – nazionali ed europee – si è stilato un crono programma, cominciando dalla prima fase attuativa.
Obiettivi della Direttiva NIS 2
In termini generali, la Direttiva ha indicato tre macro-obiettivi:
- Migliorare la protezione delle infrastrutture critiche da attacchi informatici sempre più sofisticati e frequenti.
- Promuovere la cooperazione e la condivisione delle informazioni tra tutti i Paesi membri.
- Creare un mercato unico della sicurezza cibernetica, sostenendo lo sviluppo di tecnologie innovative e standardizzati.
Il tutto, in linea con le forme più avanzate di conflitto ‘ibrido’ che – all’interno di un sistema internazionale sempre più complicato e instabile – si stanno moltiplicando. Da qui, la centralità del tema della cooperazione, anche per evitare le inefficienze e minimizzare le esternalità negative.
I riferimenti temporali
In linea con la prima fase attuativa, l’ACN sta inviando tramite PEC la notifica ai soggetti NIS che hanno effettuato la registrazione nei termini. All’interno della missiva si sono indicati i riferimenti per l’adeguamento.
Secondo l’ACN, entro Aprile 2025, bisognerà adeguarsi agli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti.
Successivamente, entro Maggio 2025, i soggetti NIS, dovranno trasmettere e aggiornare tempestivamente (comunque non oltre 14 giorni dalla modifica) le informazioni dei soggetti NIS. Questo, secondo quanto prescritto dall’articolo 7, commi 4, 5 e 7.
All’interno di questo lungo e probante processo, dunque, i prossimi mesi saranno fondamentali. L’adeguamento tecnico-normativo potrebbe poi trovare anche un completamento in termini normativi. Si pensi solo alla Proposta di Legge contro gli attacchi ransomware, fondamentale anche per migliorare la consapevolezza dei rischi che si possono correre tutti i giorni, con annessi disservizi.
English (US)