# Nuove Normative in Materia di Cibersicurezza: Cosa Cambia con il Decreto Legislativo del 2024
Il 1 ottobre 2024 ha segnato un momento cruciale per il panorama della cibersicurezza nazionale con la pubblicazione in Gazzetta Ufficiale del Decreto Legislativo n. 138. Questo decreto rappresenta l’attuazione della Direttiva (UE) 2022/2555, nota come NIS2, e introduce significativi cambiamenti nel campo della sicurezza informatica, imponendo requisiti più rigorosi e ampi rispetto alla precedente Direttiva NIS (2016/1148).
## Un Nuovo Livello di Sicurezza
La principale finalità del Decreto è quella di garantire un elevato standard di sicurezza informatica tanto in ambito nazionale quanto nell’intera Unione Europea, con l’obiettivo di migliorare il funzionamento del mercato unico. È un approccio che riconosce l’importanza della cibersicurezza come fattore chiave nelle attività economiche e sociali contemporanee.
### Cosa Cambia?
Le novità introdotte dal D. Lgs. 138/2024 si articolano in sei capi, designati a sostituire il D. Lgs. 65/2018, ora abrogato, che era ancorato ai requisiti meno stringenti della precedente direttiva NIS. Tra i cambiamenti più rilevanti ci sono nuove definizioni che offrono chiarezza su termini importanti come ‘sicurezza dei sistemi informativi e di rete’, ‘incidente di sicurezza informatica’ e ‘cybersicurezza’. È fondamentale che le organizzazioni comprendano queste definizioni poiché costituiscono la base operativa su cui si sviluppa il nuovo framework di sicurezza.
## Definizioni Chiave
Diverse definizioni adottate rappresentano pilastri fondamentali del nuovo regime normativo:
– **Sicurezza dei sistemi informativi e di rete**: Riferita alla capacità di resistere a eventi potenzialmente compromettenti per la riservatezza, l’integrità e la disponibilità dei dati.
– **Incidente**: Qualsiasi evento che comprometta in qualsiasi modo i sistemi informativi, a seguito del quale potrebbe rendersi necessaria l’attuazione di misure correttive.
– **Minaccia informatica**: Un insieme di circostanze o eventi che potrebbero avere effetti negativi sui sistemi informativi e sulla loro operatività.
La comprensione e l’implementazione di queste definizioni sono essenziali per le organizzazioni, in quanto delineano cosa si intende per rischi e vulnerabilità nel contesto della cibersicurezza.
## Soggetti Obbligati: Un Nuovo Scenario
Il Decreto identifica vari soggetti pubblici e privati i quali sono tenuti ad aderire alle nuove disposizioni. La categorizzazione avviene in base a specifici allegati, nei quali vengono delineati i settori considerati altamente critici, come il settore bancario e delle infrastrutture dei mercati finanziari.
Si evidenziano anche le micro e piccole imprese operanti in settori chiave, implicando che anche attori di dimensioni ridotte devono adattarsi alla nuova normativa se operano in ambiti strategici.
### Categorie di Soggetti
Il decreto classifica i soggetti in due principali categorie: **soggetti essenziali** e **soggetti importanti**. I primi sono quelli che superano specifici requisiti strutturali e operativi, come le dimensioni aziendali. Tra le caratteristiche comuni c’è l’obbligo di registrarsi presso l’autorità competente e notificare qualsiasi incidente significativo che possa influenzare i servizi erogati.
## Misure Organizzative e Tecniche Necessarie
Le organizzazioni designate come soggetti essenziali e importanti devono adottare una serie di misure tecniche e organizzative. Tali misure devono essere adeguate e proporzionate ai rischi che riflettono l’ambiente operativo in cui operano.
### I Principali Requisiti
Le misure richieste dal Decreto comprendono:
– **Politiche di analisi dei rischi**: Identificare e mitigare i potenziali rischi informatici attraverso un’approfondita analisi.
– **Gestione degli incidenti**: Stabilire procedure chiare per rilevare, rispondere e recuperare da eventuali incidenti di sicurezza informatica.
– **Politiche di sicurezza della catena di appro
