### Nuove Direttive per la Cybersecurity: Cosa Aspettarsi dalla NIS2
Nel contesto sempre più tempestoso della cybersecurity, il 26 novembre è una data che segna una tappa cruciale per l’Italia e per tutti gli attori, pubblici e privati, che operano nei settori critici. È stata pubblicata la prima determina attuativa della direttiva NIS2, con l’obiettivo di rafforzare la sicurezza informatica delle infrastrutture essenziali. Con il termine “NIS” si fa riferimento alla Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi, una normativa europea che mira a garantire un elevato livello di sicurezza per gli operatori di servizi essenziali e di fornitori di servizi digitali.
### Obbligo di Registrazione: Il Ruolo della Piattaforma Digitale
La determina richiede la creazione di una piattaforma digitale per la registrazione di tutti i soggetti designati come “soggetti NIS”. Questi includono una vasta gamma di attori, da aziende internazionali a piccole imprese, e dovranno iscriversi entro il 28 febbraio 2025. La registrazione non avverrà in modo indistinto; ogni entità dovrà nominare un “punto di contatto”, una figura responsabile delle comunicazioni e degli adempimenti richiesti. Questo aspetto evidenzia l’importanza della responsabilità individuale all’interno di una struttura aziendale e il bisogno di avere un riferimento chiaro per le interazioni con l’Agenzia per la Cybersecurity Nazionale (ACN).
Tutte le informazioni inserite nella piattaforma saranno sottoposte a verifica da parte delle strutture competenti dell’ACN, che valuteranno la loro correttezza e coerenza. È previsto che questa piattaforma sarà attiva dal primo dicembre 2024, segnando l’inizio di un nuovo capitolo nella gestione della sicurezza informatica in Italia.
### Un Processo di Attuazione Step by Step
Il percorso di attuazione della NIS2 è strutturato in vari passaggi, che si concretizzano attraverso decreti e determina attuative. Alcuni di questi strumenti normativi sono già in vigore e riguardano criteri di applicazione delle clausole di salvaguardia e le informazioni minime che ogni soggetto dovrà fornire. Altri elementi sono ancora in fase di sviluppo e riguardano la cooperazione tra le autorità nazionali e l’identificazione di soggetti esclusi dai criteri generali.
L’obiettivo è arrivare alla piena attuazione degli obblighi di base entro il 31 marzo 2025, con successive scadenze fissate per il completamento delle misure di sicurezza da adottare entro il 2026. Questo approccio graduale mira a garantire che tutti i soggetti coinvolti possano adattarsi adeguatamente alle nuove normative senza creare eccessive difficoltà operative.
### Chi Sono i Soggetti NIS2
L’ambito di applicazione della NIS2 è ampio e comprende oltre 80 categorie di soggetti operanti in vari settori cruciali. La legislazione distingue tra “soggetti essenziali” e “soggetti importanti”, valutando le dimensioni aziendali (il cosiddetto “size cap”) per determinare chi rientra negli obblighi di registrazione. Imprese di grandi dimensioni e medie sono tenute a registrarsi, mentre le piccole e micro imprese sono escluse, a meno che non siano considerate critiche in relazione ai loro fornitori.
Questo nuovo panorama normativo sottolinea la crescente responsabilità dei soggetti NIS2 nel garantire la sicurezza delle proprie reti e dei sistemi informativi, tenendo conto dell’interdipendenza delle infrastrutture e dei servizi nel contesto di una catena di approvvigionamento globale.
### La Fase di Registrazione: Un Processo Complesso
Durante il seminario di presentazione della determina, è stato messo in evidenza quanto sia cruciale la figura del “punto di contatto”. Questa persona, designata dall’entità registrata, sarà incaricata di gestire tutte le comunicazioni con l’ACN, e quindi è fondamentale che possieda una delega chiara e definita da parte dell’azienda. Nonostante la semplicità apparente di questo compito, molte aziende potrebbero affrontare difficoltà nel fare chiarezza sulle deleghe e sulle responsabilità, in particolare per quanto riguarda la suddivisione dei compiti e le policy di “Segregation of Duties” (
