**”NIS2 in Italia: Obblighi e Nuove Frontiere della Cybersecurity per le Organizzazioni”**

Dicembre 9, 2024 Certinews Magazine, E-Magazine, News
**"NIS2 in Italia: Obblighi e Nuove Frontiere della Cybersecurity per le Organizzazioni"**

### NIS2: Nuove Regole per la Cybersecurity in Italia

Con l’entrata in vigore della nuova normativa NIS2, le organizzazioni italiane dovranno affrontare significativi cambiamenti in tema di sicurezza informatica. A partire dal 1° dicembre, tutte le entità interessate dalla normativa potranno iniziare a registrarsi sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale. Questa mossa è fondamentale, poiché il rispetto di queste normative non è facoltativo: il mancato rispetto dei requisiti comporterà sanzioni pecuniarie e altre conseguenze amministrative.

### Chi Sono i Soggetti Coinvolti dalla NIS2?

Il recepimento della direttiva NIS2 amplia notevolmente il campo di applicazione rispetto alla precedente NIS1. La nuova normativa si rivolge a ben oltre 80 tipologie di soggetti che operano in 11 settori di alta criticità, come l’energia, i trasporti, il settore bancario, sanitario e le infrastrutture digitali. Inoltre, include sette settori critici: alimentare, chimico, manifatturiero, servizi digitali e ricerca.

Le problematiche di cybersicurezza colpiranno tutte le imprese di dimensioni medie e grandi, ovvero quelle con almeno 50 dipendenti o un fatturato superiore a 10 milioni di euro, e un fatturato di almeno 50 milioni di euro per le grandi imprese. Micro e piccole imprese, salvo eccezioni specifiche, non rientrano in questa categoria.

### Obblighi e Responsabilità

I soggetti essenziali e importanti sono tenuti a registrarsi o aggiornare periodicamente la loro registrazione sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale. Questo obbligo si applica annualmente entro il 28 febbraio, ed è cruciale per garantire la trasparenza e la sicurezza nella gestione della cybersicurezza.

Un altro elemento fondamentale della registrazione è l’indicazione di un punto di contatto dedicato all’interno dell’organizzazione. Questa figura sarà responsabile della comunicazione tra l’organizzazione e l’Autorità, curando l’attuazione delle disposizioni del Decreto. Il punto di contatto può essere un rappresentante legale o un dipendente appositamente delegato, e dovrà rispondere direttamente agli organi di amministrazione.

### Il Rischio Cyber e la Gestione degli Incidenti

Una delle novità più significative introdotte dalla NIS2 è l’obbligo di adottare misure tecniche e organizzative per la gestione dei rischi cibernetici. Le organizzazioni devono sviluppare un modello di governance adeguato che includa:

– **Policy di analisi dei rischi**: Identificazione e valutazione delle minacce potenziali.
– **Procedure di gestione degli incidenti**: Protocollo per affrontare le minacce cibernetiche in modo efficiente.
– **Controlli di accesso e crittografia**: Misure preventive per proteggere le informazioni sensibili.

La normativa richiede anche un’attenzione particolare alla supply chain. I fornitori dovranno essere selezionati in base a criteri di sicurezza specifici e dovranno garantire il rispetto delle normative cyber.

### La Notifica degli Incidenti

Un altro obbligo rilevante per i soggetti essenziali e importanti è la notifica al CSIRT Italia di qualsiasi incidente che possa influire significativamente sulla fornitura dei servizi. Gli incidenti rilevanti devono essere segnalati entro 24 ore dalla loro scoperta, seguito da una notifica dettagliata entro 72 ore. Questo processo di reporting è cruciale per garantire la trasparenza e la pronta gestione degli incidenti.

In aggiunta, i soggetti possono anche inviare informazioni su incidenti e minacce in modo volontario, con l’obiettivo di contribuire a una rete di protezione collettiva contro le cyber minacce.

### Adeguatezza e Proporzionalità delle Misure di Sicurezza

La NIS2 sottolinea l’importanza della proporzionalità delle misure di sicurezza adottate. Non esiste una soluzione unica; le misure devono essere adeguate e proporzionate ai rischi e alle dimensioni dell’organizzazione. Ciò richiede una continua valutazione e il riallineamento delle strategie di cybersecurity con quanto richiesto dalla legge e dai regolamenti esistenti.

La governance dell’organizzazione giocherà un ruolo cruciale in questo processo. È fondamentale che ciascun soggetto non solo rispetti le normative, ma che anche le integri nel proprio sistema di gestione complessiva

Share Button