E’ stato prorogato al 31 luglio 2025, il termine per adempiere a quanto stabilito dal Decreto legislativo n. 138/2024 con cui l’Italia ha recepito la direttiva NIS2 [Network and Information Security] di derivazione europea.
A darne comunicazione è l’Agenzia per la cybersicurezza nazionale, che ha concesso più tempo a tutti operatori obbligati alla trasmissione annuale dei dati e non solo a coloro che avevano chiesto supporto.
La proroga si è resa necessaria, in quanto ad oggi solo la metà dei soggetti NIS ha trasmesso parte delle informazioni all’autorità nazionale competente.
L’ACN confida, dunque, che l’allungamento dei termini consentirà agli operatori di concludere la procedura di aggiornamento annuale delle informazioni, permettendo altresì di programmare sessioni informative dedicate agli organi di amministrazione e direttivi.
La presa d’atto telematica prevista dall’articolo 16 della Determinazione n. 136117 del 10 aprile u.s. potrà invece essere completata anche dopo la scadenza del termine del prossimo 31 luglio.
Obiettivo della NIS2 e del decreto di recepimento è quello di garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni, in armonia con gli altri Stati membri dell’Unione Europea.
A tal fine, il decreto n. 138/2024 ha stabilito che le imprese, in alcuni casi anche pmi e micro imprese e pubblica amministrazione, che rientrano nelle definizioni di soggetti essenziali ed importanti, in relazione al livello di criticità delle attività svolte e del settore in cui operano per il funzionamento della società e del mercato nazionale ed UE, sono tenute ad effettuare procedure interne di compliance e analisi del rischio per aumentare il livello di sicurezza informatica, segnalando all’autorità anche gli incidenti significativi.
Il campo di applicazione dei soggetti obbligati (definiti soggetti NIS) è stato ampliato rispetto alla NIS 1 (direttiva n. 1148 del 2016, che l’Italia aveva a suo tempo recepito con il decreto legislativo 18 maggio 2018, n. 65); oggi si contano 18 settori soggetti agli obblighi della NIS2, di cui 11 considerati altamente critici (inizialmente erano 8) e 7 critici (aggiunti), interessando oltre 80 tipologie di soggetti pubblici e privati, incluse diverse pubbliche amministrazioni, elencate negli allegati I, II, III e IV del decreto. Per fare degli esempi, rientrano tra i soggetti tenuti al rispetto delle previsioni normative, le imprese del settore dei trasporti, energia, sanità , digitale, GDO, logistica, ricerca. L’Autorità nazionale competente NIS, su proposta delle Autorità di settore, può comunque aggiungere ulteriori soggetti ritenuti critici.
Per rientrare nel campo di applicazione della NIS2, le imprese devono operare in uno dei settori indicati, avere sede o operare in almeno uno Stato UE, avere più di 50 dipendenti e 50 milioni di euro di fatturato o 43 milioni di bilancio.
Secondo quanto previsto dal decreto n. 138/2024, i cosiddetti soggetti NIS (imprese ed enti pubblici cui si applica la direttiva), sono tenuti ad effettuare l’aggiornamento delle informazioni entro il 31 maggio di ogni anno, scadenza per quest’anno prorogata dall’ACN al 31 luglio 2025.
Mentre, a partire da gennaio 2026, i suddetti soggetti sono tenuti a notificare al CSIRT Italia gli incidenti significativi di base come precisati nella norma; entro ottobre dello stesso anno, infine, dovranno avere adottato le misure di sicurezza.
Cosa devono fare quindi i soggetti destinatari degli obblighi previsti dal decreto n. 138/2024 entro il prossimo 31 luglio 2025?
I soggetti interessati (già informati via PEC dall’ACN), entro il 31 luglio 2025, sono tenuti a trasmettere all’Agenzia:
- Indirizzi IP utilizzati;
- Stati UE in cui operano;
- Designazione e quindi dati del responsabile della sicurezza e di un sostituto di contatto.
Chi non effettua le dovute comunicazioni oppure trasmette informazioni incomplete, rischia sanzioni amministrative pecuniarie, che, ai sensi dell’art. 38 del decreto n. 138/2024, possono arrivare fino a 7 milioni di euro o l'1,4% del fatturato mondiale annuo.
il decreto n. 138/2024 che recepisce la direttiva NIS2, impone alle imprese che rientrano nel campo di applicazione della stessa di dotarsi di un piano programmatico finalizzato alla riduzione del rischio, secondo un approccio di prevenzione degli incidenti che consenta di rilevarli per tempo e permetta il ripristino tempestivo dei servizi, segnalando all’autorità a partire dal 2026 gli incidenti significativi.