L’Agenzia per la Cybersicurezza Nazionale (ACN) sta continuando a definire le misure e a indicare le azioni che i soggetti impattanti dovranno compiere, in base alla Direttiva NIS2. Da questo punto di vista, si è stilato tutto un crono programma da rispettare.
Le misure di NIS2
L’adeguamento alla Direttiva NIS2 dei soggetti “essenziali” e “importanti” sta proseguendo sotto l’egida e nelle misure dell’Agenzia per la Cybersicurezza Nazionale (ACN). Ci sono tutta una serie di prescrizioni da rispettare, con tempi precisi.
Da questo punto di vista, in Italia si è tradotta la Direttiva in una cornice in cui l’Autorità nazionale competente NIS stabilisce obblighi proporzionati. Ovviamente, tenendo debitamente conto del grado di esposizione dei soggetti di merito ai rischi.
E insieme, delle loro dimensioni e della probabilità che si possano verificare degli incidenti. Tutto questo va considerato nell’ottica di una connessione e di una relazione di tutte le problematiche e del loro impatto sociale ed economico.
I riferimenti normativi
In questi termini, sono già cominciate le comunicazioni – mediante PEC – tra l’Agenzia della Cybersicurazza Nazionale (ACN) e gli attori che in Italia dovranno adeguarsi alla NIS2. Il tutto, in ossequio ai nuovi riferimenti comunitari. Con il Decreto Legislativo 4 settembre 2024, n. 138, l’Italia ha infatti recepito nell’ordinamento nazionale la Direttiva (UE) 2022/2555 (NIS2).
L’atto, relativo a tutte quelle misure vertenti un livello comune elevato di sicurezza informatica nell’Unione, ha abrogato la precedente Direttiva NIS del 2016. In quanto Direttiva – da implementare all’interno di ciascuno Stato – il ‘Sistema Paese’ Italia si è dovuto confrontare con degli obblighi. Quelli in capo agli operatori di servizi essenziali (OSE) e ai fornitori di servizi digitali (FSD).
Nella misura in cui i cambiamenti strutturali andranno ad agire direttamente sulle catene del valore – nazionali ed europee – vige un crono programma, partendo dalla prima fase attuativa.
Le misure specifiche
Come da normativa e da direttive dell’ACN, ai sensi degli articoli 23, 24, 25, 29 e 32 del “Decreto NIS” (Decreto Legislativo 4 settembre 2024, n. 138) valgono delle specifiche di base da rispettare.
Con diciotto mesi di tempo dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, c’è poi un preciso ambito operativo. Da qui, i gestori di registri dei nomi di dominio di primo livello e i fornitori di servizi di registrazione si devono adeguare alle previsioni su “Sicurezza, stabilità e resilienza dei sistemi di nomi di dominio“.
Per gli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica, i ‘soggetti importanti’ devono adempire alle fattispecie di cui agli articoli 23 e 24. I ‘soggetti essenziali’ – sempre ex artt. 23 e 24 – troveranno le specifiche di base nel medesimo articolato. Si aggiunga anche l’implementazione degli allegati 3 e 4, sempre con riferimento all’articolo 25.
English (US)