**”NIS2: La Nuova Frontiera della Cybersicurezza – Registrazione, Obblighi e Prospettive Future per le Imprese”**

Dicembre 18, 2024 Certinews Magazine, E-Magazine, News
**"NIS2: La Nuova Frontiera della Cybersicurezza - Registrazione, Obblighi e Prospettive Future per le Imprese"**

**Introduzione alla Direttiva NIS2: verso un sistema di cybersicurezza più robusto**

La cybersicurezza è un tema cruciale nel contesto attuale. Con l’aumento delle minacce informatiche, è fondamentale che le aziende, tanto pubbliche quanto private, si attrezzino per affrontare e gestire i rischi legati alla sicurezza delle informazioni. In questo panorama si inserisce la direttiva NIS2, un’importante normativa che stabilisce gli obblighi per aumentare il livello di sicurezza informatica in vari settori critici.

Il 26 novembre è stata firmata una determina fondamentale da parte del Direttore dell’Agenzia per la Cybersecurity Nazionale (ACN), che è stata ufficialmente pubblicata il giorno successivo. Questo atto segna un passo significativo verso l’attuazione della NIS2 in Italia, stabilendo le modalità di registrazione per tutti i soggetti coinvolti, ora designati come “soggetti NIS”. Questa registrazione avrà scadenze specifiche, da rispettare entro il 28 febbraio 2025.

**I principali ambiti di applicazione della NIS2**

La nuova determina si concentra sulla creazione di una piattaforma digitale per la registrazione di enti pubblici e privati. Ogni soggetto NIS dovrà nominare un “punto di contatto” responsabile delle comunicazioni e della gestione degli adempimenti necessari per il rispetto della normativa. Queste informazioni saranno poi verificate dall’ACN per garantire la loro correttezza e coerenza.

Dal primo dicembre 2024, la piattaforma digitale sarà disponibile e fungerà da strumento per il monitoraggio e la registrazione dei soggetti soggetti agli obblighi della direttiva.

**Il percorso attuativo della NIS2: tappe e scadenze**

La realizzazione della NIS2 non sarà immediata, bensì si articolerà in varie fasi successive. Un recente convegno tenutosi presso un’importante università ha illustrato il percorso attuativo della direttiva. Sono stati sottolineati criteri di proporzionalità per gli obblighi delle entità “essenziali” e “importanti”, secondo le categorie previste dalla stessa direttiva NIS2.

Altie informazioni fondamentali riguardano le modalità di comunicazione in caso di incidente informatico e la necessità di monitorare attentamente i fornitori, in particolare per garantire la sicurezza nella catena di approvvigionamento. È evidente che la salute di un’intera filiera dipende dalla robustezza di ciascun anello che la compone.

**Dettagli sui DPCM e le determinate attuative**

L’attuazione della NIS2 è un processo in evoluzione, strutturato attraverso diverse disposizioni e determina. Sono già stati approvati alcuni DPCM, che dettano criteri e modalità operative per il rispetto della normativa, compresi i criteri per le clausole di salvaguardia e l’organizzazione del tavolo interministeriale.

Tuttavia, è importante notare che la completa attuazione degli obblighi rimarrà un lavoro in corso fino a marzo 2025, con ulteriori sviluppi previsti entro il 2026. Questo approccio graduale permette una gestione più controllata e una pianificazione sistematica dell’adeguamento alle nuove normative.

**Chi sono i soggetti NIS2: un panorama ampio e variegato**

La direttiva NIS2 si applica a una vasta gamma di soggetti, comprendendo oltre 80 categorie di servizi essenziali e importanti, inclusi quelli operanti in settori critici. È importante notare che la distinzione tra le varie entità si basa anche sulle dimensioni aziendali (size cap). Le grandi e medie imprese devono registrarsi, mentre le piccole e micro imprese sono generalmente escluse dagli obblighi, salvo alcune eccezioni in cui possono essere classificate come importanti a seconda dei loro legami con fornitori soggetti a NIS2.

**Il processo di registrazione: linee guida e raccomandazioni**

Uno dei punti cruciali trattati nel convegno è stato il processo di registrazione. È essenziale che l’impresa designi una figura come “punto di contatto” che avrà il compito di gestire tutte le comunicazioni e la documentazione necessaria. Questa designazione comporta una serie di responsabilità, che possono non essere sempre chiare o formalizzate.

Il concetto di “Segregation of Duties” (SOD) è fondamentale in questo contesto: le policy aziendali di segregazione delle funzioni potrebbero entrare in conflitto con la delega estesa necess

Share Button