Il governo italiano ha tempo fino al 17 ottobre 2024 per recepire la Direttiva NIS2, ma sembra intenzionato a procedere rapidamente. Domani, 7 agosto, il Consiglio dei ministri potrebbe approvare il decreto legislativo necessario per implementare le “misure per un livello comune elevato di cybersicurezza nell’Unione Europea” previste dalla direttiva.

Obiettivi della Direttiva NIS2
La Direttiva NIS2 mira a migliorare la resilienza e la capacità di risposta agli incidenti cyber degli operatori che forniscono servizi vitali per le attività sociali ed economiche dell’UE. Questo nuovo quadro normativo si applicherà a partire dal 18 ottobre 2024 e includerà un numero significativamente maggiore di operatori rispetto alla precedente Direttiva NIS, estendendosi anche a settori come i servizi postali, la gestione dei rifiuti, la fabbricazione di dispositivi medici e la grande distribuzione alimentare.

Implicazioni per gli operatori
L’Agenzia per la Cybersicurezza Nazionale (ACN) avrà il compito di creare una piattaforma per l’auto-accreditamento degli operatori coinvolti, stimati intorno ai 50.000. Una volta verificata l’idoneità, gli operatori dovranno conformarsi alle disposizioni della NIS2, adottando misure tecniche, operative e organizzative adeguate per gestire i rischi di sicurezza informatica.

Responsabilità e obblighi
I membri degli organi di gestione degli operatori dovranno approvare e sovraintendere all’implementazione delle misure di sicurezza, e saranno obbligati a notificare tempestivamente eventuali incidenti significativi all’autorità competente. Le notifiche dovranno essere inviate entro 24 ore dall’incidente, seguite da un aggiornamento entro 72 ore.

Sanzioni
Le sanzioni previste per la non conformità variano in base alla classificazione dell’operatore:

Operatori essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo.

Operatori importanti: fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo.

Raccomandazioni per gli operatori

Gli operatori dovrebbero iniziare subito a prepararsi per la conformità alla NIS2, tenendo conto delle interconnessioni con altre normative sulla cybersicurezza, come il Regolamento DORA, la Direttiva CER e il Cyber Resilience Act. Un piano di adeguamento integrato aiuterà a razionalizzare gli sforzi organizzativi ed economici necessari per soddisfare i requisiti legislativi europei e nazionali.

L’approvazione del decreto legislativo da parte del Consiglio dei ministri rappresenta un passo cruciale per l’Italia nella costruzione di una solida difesa contro le minacce cibernetiche, allineandosi con gli standard europei di cybersicurezza.