Scaduto il termine del 28 febbraio per la fase di censimento e registrazione al portale di ACN – agenzia per la cybersicurezza Nazionale – prende ora avvio la fase di adeguamento vero e proprio alla Direttiva NIS2, strutturata in 3 step per dare modo alle aziende di recepire e attuare gli obblighi di legge.
L’obiettivo di NIS 2 infatti è quello di rafforzare la sicurezza informatica delle entità essenziali e importanti dell’UE attraverso.
• la gestione del rischio e adozioni di misure di sicurezza adeguate,
• segnalazione tempestiva e gestione delle violazioni,
• sicurezza della catena di approvvigionamento
• formazione e sensibilizzazione sulla cybersicurezza.
1° fase attuativa (da metà ottobre 2024-maggio 2025)
Indicativamente entro il 31 marzo 2025 ACN pubblicherà l’elenco delle aziende soggette alla direttiva.
Entro metà aprile 2025 ACN provvederà a notificare ai soggetti registrati la loro inclusione e definirà le modalità di adozione degli obblighi di base in materia di notifica degli incidenti e di misure di sicurezza informatiche
Entro maggio 2025 le imprese interessate dovranno aggiornare i loro dati sulla piattaforma ACN. La registrazione al portale infatti si aprirà ogni anno fra gennaio e febbraio ed ACN aggiornerà di anno in anno l’elenco delle aziende coinvolte.
2° fase attuativa (da maggio 2025- metà aprile 2026)
Da gennaio 2026 scatterà l’obbligo di notifica tempestiva degli incidenti informatici secondo le misure che saranno indicate dall’Autorità
Entro aprile 2026 ACN dovrà elaborare e pubblicare il modello di categorizzazione delle attività/servizi e verranno pubblicati gli obblighi di sicurezza a lungo termine
Entro settembre 2026 le aziende dovranno essere implementate le misure di sicurezza informatica di base.
3° fase attuativa
Da settembre 2026 NIS 2 avrà piena e completa operatività con piena attuazione anche delle misure di sicurezza a lungo termine.
Indubbiamente il primo e più urgente passo per le organizzazioni che rientrano nell’ambito di applicazione della Direttiva è quello di coinvolgere la direzione dell’azienda per effettuare una valutazione complessiva dei sistemi IT e delle misure di sicurezza esistenti al fine di individuare eventuali lacune e punti deboli.
Dovranno essere implementati i controlli tecnici di sicurezza e dovrà essere garantita una formazione regolare dei dipendenti in quanto senza consapevolezza sull’importanza della cybersicurezza non potrà esserci resilienza dell’azienda.
Avv. Annalisa Barbaglia