Il 1° ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il decreto legislativo n. 138 del 4 settembre 2024, che recepisce la Direttiva NIS2 (UE) 2022/2555. Questa nuova normativa entrerà in vigore il 16 ottobre e introduce misure per garantire un livello elevato di sicurezza informatica a livello nazionale, in linea con gli obiettivi comuni dell’Unione Europea.
Il decreto, approvato definitivamente dal Consiglio dei ministri il 7 agosto, interesserà circa 50.000 nuovi soggetti in Italia, come stimato dall’Agenzia per la Cybersicurezza Nazionale (ACN), che dovranno registrarsi su una piattaforma dedicata a partire dal 18 ottobre 2024. La piattaforma sarà il punto di riferimento per l’auto-registrazione dei soggetti coinvolti, che dovranno fornire dettagli sulle proprie attività e servizi.
Gli operatori considerati essenziali e importanti per il Paese avranno tempo fino al 31 marzo 2025 per adeguarsi agli obblighi della direttiva, con tempi specifici per la gestione di incidenti e la conformità a misure di sicurezza, amministrative e operative. La normativa distingue tra settori critici, come energia, trasporti e sanità, e altri settori chiave, imponendo misure per rafforzare la sicurezza dei sistemi e delle reti informatiche, inclusi corsi di formazione obbligatori per il personale.
Inoltre, i soggetti essenziali e importanti dovranno notificare tempestivamente all’ACN, in particolare al CSIRT Italia, eventuali incidenti che possano compromettere la sicurezza dei loro servizi, garantendo così una maggiore protezione a livello nazionale ed europeo.