Pubblicato in Gazzetta Ufficiale il Decreto NIS 2: Novità per la cybersicurezza in Italia

Il 1° ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo n. 138, che recepisce la Direttiva (UE) 2022/2555, meglio nota come NIS 2. Questo decreto abroga il precedente D. Lgs. 65/2018 e introduce nuove misure per garantire un livello elevato di sicurezza informatica, allineandosi agli standard europei.

La NIS 2 stabilisce un nuovo quadro normativo per rafforzare la sicurezza informatica nazionale e contribuire a un livello comune di protezione nel mercato interno dell'Unione. Con l’introduzione di regole più stringenti, il decreto mira a garantire che sia il settore pubblico che quello privato adottino misure adeguate a prevenire, rilevare e affrontare le minacce informatiche. Tra le novità più rilevanti, si segnala l'introduzione di nuove definizioni, tra cui "sicurezza dei sistemi informativi e di rete", "cybersicurezza", "incidente" e "gestione degli incidenti", che riflettono una comprensione più moderna e ampia delle minacce cyber.

Definizioni chiave
Il decreto fornisce importanti definizioni relative alla cybersicurezza:

• Sicurezza dei sistemi informativi e di rete: capacità dei sistemi di resistere a eventi che ne comprometterebbero integrità o riservatezza.
• Sicurezza informatica: protezione dei sistemi e delle reti da minacce esterne.
• Incidente: evento che danneggia la disponibilità o la sicurezza dei dati.
• Minaccia informatica: circostanza che può compromettere i sistemi e gli utenti.

Ambiti di applicazione e soggetti coinvolti Il decreto si applica a una vasta gamma di soggetti pubblici e privati, con particolare attenzione a settori considerati critici, come il settore bancario, le infrastrutture finanziarie, e le piccole e medie imprese che superano specifici parametri economici (50 dipendenti o fatturato superiore a 10 milioni di euro). Inoltre, include obblighi specifici per i fornitori di servizi fiduciari e gestori di infrastrutture digitali, come i registri di nomi di dominio di primo livello e i prestatori di servizi di comunicazione elettronica.

Obblighi e sanzioni

I soggetti coperti dal decreto dovranno registrarsi presso l’Agenzia per la Cybersicurezza Nazionale (ACNS) e segnalare tempestivamente eventuali incidenti significativi al CSIRT Italia (Gruppo nazionale di risposta agli incidenti informatici). I soggetti essenziali dovranno, inoltre, fornire relazioni intermedie e finali su ogni incidente, descrivendo l’impatto e le misure adottate per risolverlo.

Per quanto riguarda le sanzioni, il decreto prevede multe fino a 10 milioni di euro o il 2% del fatturato annuo per i soggetti essenziali, mentre per i soggetti importanti, le sanzioni possono raggiungere i 7 milioni di euro o l’1,4% del fatturato annuo.

Il recepimento della NIS 2 rappresenta un passo cruciale verso la protezione delle infrastrutture digitali dell'Italia e dell'Unione Europea. Le aziende, specialmente quelle operanti in settori critici, dovranno adeguarsi tempestivamente alle nuove disposizioni per evitare sanzioni e, soprattutto, per proteggere le proprie attività dalle crescenti minacce informatiche.

Non solo obblighi, ma opportunità 

Aderire alla NIS 2 significa proteggere non solo i propri dati e sistemi, ma anche salvaguardare la continuità operativa e la fiducia dei propri clienti.

È il momento di agire: preparati ad affrontare queste nuove sfide con una strategia di cybersecurity solida e conforme.

Contattaci ora per una consulenza personalizzata e scopri come metterti in regola con le normative NIS 2.
Non aspettare, proteggi il tuo business!