fbpx

NIS2: Il calendario degli adempimenti per le imprese

NIS2 Calendario direttiva

Con la pubblicazione del decreto di recepimento della Direttiva NIS2 nella Gazzetta Ufficiale, l’Italia si allinea alle nuove disposizioni europee volte a rafforzare la sicurezza informatica a livello nazionale ed europeo. La Direttiva NIS2 rappresenta un’evoluzione significativa della precedente Direttiva NIS, con l’obiettivo di elevare il livello di protezione contro le minacce informatiche che colpiscono infrastrutture critiche, servizi essenziali e settori strategici.

Tempistiche Chiare per un Adeguamento Graduale

Una delle principali criticità riscontrate in questi mesi è stata la diffusione di informazioni errate o fuorvianti sulle scadenze per l’implementazione della Direttiva NIS2. Molti hanno ritenuto, erroneamente, che tutti gli obblighi della direttiva dovessero essere soddisfatti entro il 17 ottobre 2024. Tuttavia, la realtà è ben diversa: il decreto di recepimento italiano prevede una serie di atti normativi e amministrativi che renderanno operativi gli obblighi nel tempo, con scadenze dilazionate.

Di fatto, per molte delle misure più impattanti, come la notifica degli incidenti e l’adozione di specifiche misure di sicurezza, è prevista l’emanazione di ulteriori regolamenti entro sei mesi dall’entrata in vigore del decreto. Alcuni obblighi, addirittura, non diventeranno effettivi prima di 18 mesi. Pertanto, è fondamentale per le aziende e le pubbliche amministrazioni monitorare attentamente l’evoluzione normativa per pianificare l’adeguamento nei tempi previsti.

Le Scadenze Chiave: Un Calendario degli Obblighi

Per aiutare i soggetti interessati a comprendere meglio il calendario degli adempimenti previsti dal decreto di recepimento della Direttiva NIS2, ecco una sintesi delle principali scadenze:

  • Entro il 31 dicembre 2024: Entro questa data, aziende e pubbliche amministrazioni dovranno condurre un’analisi interna per determinare se rientrano tra i soggetti soggetti agli obblighi della Direttiva NIS2. Questo processo di assessment dovrà essere condotto seguendo quanto stabilito dagli articoli 6 e 7 del decreto e gli allegati pertinenti. L’obiettivo è identificare quali organizzazioni devono attuare le misure di sicurezza richieste.
  • Dal 1° gennaio al 28 febbraio 2025: I soggetti che, a seguito dell’assessment, ritengono di essere coperti dal decreto dovranno registrarsi sulla piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale (ACN). La registrazione richiede l’inserimento di informazioni dettagliate sulla natura dell’attività e l’ambito di applicazione.
  • Entro il 17 gennaio 2025: Alcuni fornitori specifici, tra cui quelli di servizi di cloud computing, data center, distribuzione di contenuti, social network e motori di ricerca, dovranno registrarsi entro questa data per essere conformi alle disposizioni del decreto.
  • Entro il 31 marzo 2025: L’ACN completerà la redazione dell’elenco dei soggetti considerati “essenziali” o “importanti” in base alle registrazioni effettuate.
  • Tra il 1° e il 15 aprile 2025: L’ACN comunicherà ai soggetti registrati la loro inclusione nell’elenco dei soggetti essenziali o importanti.
  • Entro il 15 aprile 2025: I soggetti inclusi nell’elenco dovranno nominare un responsabile incaricato di garantire il rispetto degli obblighi previsti dalla normativa.
  • Tra il 15 aprile e il 31 maggio 2025: I soggetti interessati dovranno fornire ulteriori informazioni richieste dalla normativa tramite la piattaforma dell’ACN.
  1.  

Una volta completata la fase preliminare di registrazione e nomina dei responsabili, le aziende e le amministrazioni pubbliche dovranno prepararsi per altri adempimenti futuri. Tra questi:

  • Dal 1° gennaio 2026: Inizia l’obbligo di notifica degli incidenti di sicurezza. Le aziende dovranno segnalare tempestivamente eventuali eventi di cyberattacco che potrebbero compromettere i loro sistemi o dati.

  • Entro il 1° ottobre 2026: Saranno pienamente operativi gli obblighi in capo agli organi direttivi delle organizzazioni, nonché l’adozione delle misure di sicurezza informatica e la creazione e gestione di una banca dati per la registrazione dei nomi di dominio, ove applicabile.

Pianificazione e Monitoraggio: Le Parole Chiave per un Adeguamento di Successo

Alla luce di questo schema temporale, è chiaro che, sebbene gli obblighi previsti dalla Direttiva NIS2 siano stringenti, c’è ancora tempo per adeguarsi in maniera efficace. La priorità per le aziende e le pubbliche amministrazioni dovrebbe essere quella di pianificare con attenzione le attività necessarie, assicurandosi di seguire il calendario delle scadenze e di restare informati sugli ulteriori atti normativi che saranno emanati.

Il panorama normativo della cybersicurezza è in continua evoluzione, e la Direttiva NIS2 rappresenta un passo importante per garantire un livello di sicurezza omogeneo e adeguato alle crescenti minacce globali. Tuttavia, non è il momento per allarmismi: con una gestione oculata e un approccio metodico, l’adeguamento può essere portato avanti senza eccessivi oneri o interruzioni per le attività quotidiane.

Se avete bisogno di ulteriori chiarimenti e volete scoprire se la vostra retribuzione è sufficiente, non esitate a contattarci ai contatti previsti nell’apposita sezione oppure a lasciare i vostri dati sul nostro sito, così da venire richiamati!

Vuoi prenotare una consulenza legale?

Inserisci qui sotto i tuoi dati per essere ricontattato e fissare un appuntamento direttamente con noi

Dove Siamo a Roma

  • Via Caio Canuleio 43, 00174, Roma
  • 0697635399
  • riccardofratini@pecaruba.it
  • studiolegale@fratinidamico.it

Dove siamo fuori roma

  • Via E. De Amicis 71, 00045 Genzano di Roma (RM)
  • 0697635399
  • dario.damico@oav.legalmail.it
  • studiolegale@fratinidamico.it

Ⓒ Studio Legale Fratini D'Amico 2019 - All Rights Are Reserved

Enter your Details here

Inserisci qui i tuoi dati