Il Decreto Legislativo 138 del 2024, che recepisce la Direttiva NIS2 (Direttiva UE 2022/2555), introduce nuove regole per migliorare la sicurezza informatica delle aziende e delle Pubbliche Amministrazioni (PA) essenziali o importanti per l’economia e la società. Il nostro studio è pronto per guidarvi nel processo di adeguamento e fornire chiarimenti sulla timeline NIS2 stabilita per conformarsi.
Tempistiche Chiave
Ecco le principali scadenze che le aziende e le PA devono tenere a mente per evitare sanzioni e garantire la conformità.
1. Valutazione preliminare: Entro il 31 dicembre 2024
Le aziende e le Pubbliche Amministrazioni devono valutare se rientrano tra i destinatari della normativa NIS2. Questa fase iniziale è essenziale per determinare se la vostra organizzazione è classificata come “essenziale” o “importante” ai sensi della legge.
2. Registrazione obbligatoria: Dal 1 gennaio 2025 al 28 febbraio 2025
Le aziende identificate come destinatari devono registrarsi sulla piattaforma digitale predisposta dall’Autorità per la Cybersicurezza Nazionale (ACN). Entro il 17 gennaio 2025, soggetti come fornitori di servizi cloud, data center, mercati online e social network, sono obbligati a completare questa registrazione.
3. Redazione elenco ACN: Entro il 31 marzo 2025
L’ACN redigerà un elenco ufficiale di tutti i soggetti considerati essenziali o importanti. Questo documento sarà fondamentale per identificare coloro che devono rispettare le misure di sicurezza rafforzate previste dalla normativa.
4. Comunicazione dell’ACN: Tra il 1 aprile e il 15 aprile 2025
I soggetti inseriti nell’elenco riceveranno una comunicazione ufficiale dall’ACN. A partire da questo momento, sarà necessario prendere provvedimenti per garantire il rispetto delle nuove norme.
5. Nomina del responsabile NIS2: Entro il 15 aprile 2025
Le aziende o le PA incluse nell’elenco dell’ACN devono nominare un Responsabile per la conformità alle regole della NIS2. Questa figura sarà incaricata di gestire la sicurezza informatica e di comunicare eventuali violazioni o incidenti all’ACN.
6. Obbligo di comunicazione degli incidenti: Dal 1 gennaio 2026
Dal 2026, diventerà obbligatorio per le aziende segnalare qualsiasi incidente informatico all’ACN, garantendo una risposta tempestiva alle minacce alla sicurezza.
Questa timeline è fondamentale per evitare ritardi o non conformità. Il nostro team di esperti vi accompagnerà in ogni fase del processo di adeguamento, assicurandovi di soddisfare tutti i requisiti legali e operativi.
Soggetti coinvolti
Per la valutazione di cui al punto 1 è indispensabile conoscere la classificazione dei soggetti coinvolti. Le aziende interessate dalla NIS 2 e dal relativo Decreto Legislativo 138/2024 si dividono in diverse categorie e settori ritenuti critici o altamente critici per la sicurezza nazionale e la stabilità economica. Il decreto si applica sia ai soggetti privati che pubblici, come indicato negli Allegati I, II, III e IV del decreto.
Scarica qui la Timeline di adeguamento NIS2 PDF