Cronogramma del NIS2: perché non allarmarsi
È arrivato in Gazzetta Ufficiale il decreto che recepisce in Italia la Direttiva NIS 2. Questo decreto introduce misure essenziali per garantire un elevato standard di cybersicurezza a livello nazionale, contribuendo al miglioramento del livello di sicurezza complessivo all'interno dell'Unione Europea.
Prendiamo in considerazione di analizzare quali siano gli obblighi che le entità pubbliche e private dovranno rispettare e, soprattutto, quali saranno le scadenze associate a tali obblighi.
La questione degli allarmismi
In questi ultimi giorni, aziende e pubbliche amministrazioni hanno ricevuto informazioni riguardo all’immediato obbligo di implementare la Direttiva NIS 2 e i relativi adempimenti, con scadenze che in alcuni casi indicano il 17 ottobre 2024. Tuttavia, la questione è diversa. Per rendere attuabili i vari obblighi che incideranno direttamente su aziende e amministrazioni, come le notifiche di incidenti o l’adozione di misure di sicurezza, il decreto di recepimento della Direttiva NIS 2 prevede l’emissione di ulteriori atti normativi. Solamente entro sei mesi dall’entrata in vigore del decreto attuale si avranno informazioni dettagliate sugli obblighi per gli organi di amministrazione e direttivi, oltre che su quelli relativi alla cybersecurity e alla notifica degli incidenti. Alcuni specifici adempimenti non saranno definiti prima di 18 mesi dall’entrata in vigore del decreto.
Scadenze e obblighi: un riepilogo chiaro
Alla luce di queste considerazioni, è opportuno chiarire le principali scadenze derivanti dal decreto, presentandole in ordine temporale:
- - Entro il 31 dicembre 2024: le aziende e le pubbliche amministrazioni devono effettuare un assessment per determinare se rientrano sotto l’ambito di applicazione della Direttiva NIS 2.
- - Tra il 1° gennaio e il 28 febbraio 2025: le entità che, a seguito dell’assessment, si considerano soggette agli obblighi del decreto dovranno registrarsi sulla piattaforma digitale fornita dall'ACN, fornendo le informazioni richieste dalla normativa.
- - Entro il 17 gennaio 2025: è previsto che si registrino sulla piattaforma i fornitori di servizi relativi ai nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di data center, i fornitori di reti di distribuzione dei contenuti, e altre categorie di servizi online.
- - Entro il 31 marzo 2025: l'ACN dovrà stilare l'elenco dei soggetti essenziali e importanti, basato sulle registrazioni ricevute
- - Tra il 1° e il 15 aprile 2025: l'ACN comunicherà ai soggetti registrati l'inclusione nell'elenco dei soggetti essenziali o importanti.
- - Entro il 15 aprile 2025: le entità che riceveranno tale comunicazione dovranno nominare un responsabile per l'adempimento degli obblighi previsti dal decreto.
- - Tra il 15 aprile e il 31 maggio 2025: le entità dovranno fornire ulteriori informazioni richieste dalla normativa.
Terminata questa fase iniziale, le aziende e le pubbliche amministrazioni che saranno state notificate dall'ACN dovranno adempiere agli ulteriori obblighi previsti dal decreto. A titolo esemplificativo:
- - A partire dal 1° gennaio 2026: dovranno essere rispettati gli obblighi di notifica degli incidenti.
- - Entro il 1° ottobre 2026: si dovranno adempiere agli obblighi per gli organi di amministrazione e per quelli direttivi, adottare misure di sicurezza adeguate, e mantenere una banca dati per la registrazione dei nomi di dominio, se applicabile.
In conclusione, è evidente quanto non sia necessario allarmarsi riguardo alle scadenze della Direttiva NIS 2. È opportuno, per il momento, pianificare con cura le attività di conformità con le disposizioni previste dal decreto di recepimento.