NIS2 Obblighi Previsti ed Entrata in Vigore
Il decreto che disciplina il nuovo quadro normativo NIS (Network Information Security) ha introdotto una serie di obblighi previdenti per le organizzazioni che operano in settori specifici, con l’obiettivo di rafforzare la sicurezza informatica e proteggere i dati sensibili. L’entrata in vigore di queste disposizioni è prevista per il 31 marzo 2025, a seguito di un periodo di transizione di nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti da parte di ACN. Questo articolo esamina in dettaglio gli obblighi chiave, strutturati per settore e con un focus sulla tempistica e le responsabilità.
1. Obblighi di Registrazione e Aggiornamento Dati (Articolo 7)
La nuova normativa introduce un obbligo di registrazione e aggiornamento dei dati per i soggetti che si ricavano in uno dei settori/sotto-settori/tipologie previsti dalla normativa NIS. Questo include la registrazione di informazioni cruciali, come la ragione sociale, l’indirizzo e i recapiti aggiornati, la designazione di un punto di contatto con un ruolo/qualifica definita, e la selezione di setori/sotto-settori in cui l’organizzazione opera. L’ACN, come autorità di riferimento, è responsabile di garantire che questi dati siano accurati e completi. La registrazione e l’aggiornamento di questi dati saranno disciplinati con una determinazione di ACN entro aprile 2025.
2. Organi di Amministrazione e Direttivi (Articolo 23)
L’articolo 23 stabilisce chiaramente le responsabilità degli organi di amministrazione e direttivi, sottolineando la loro ruolo di responsabili dell’implementazione delle misure di sicurezza informatica e di eventuali violazioni. Questo implica una maggiore responsabilità e un’attenzione alla governance della sicurezza.
3. Obblighi in Materia di Misure di Sicurezza Informatica (Articolo 24)
La normativa impone ai soggetti essenziali e importanti di adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano. Queste misure devono essere basate su un approccio multi-rischio, che comprenda:
- Analisi dei rischi e della sicurezza dei sistemi informativi e di rete.
- Gestione degli incidenti, inclusa la definizione delle procedure e degli strumenti per le notifiche.
- Continuità operativa, che include la gestione di backup, ripristino in caso di disastro, e la gestione delle crisi.
- Sicurezza della catena di approvazione, che comprende aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi.
- Sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete.
- Relazione finale entro un mese dalla trasmissione della notifica di incidente.
4. Banca dei Dati di Registrazione di Nomi di Dominio (Articolo 29)
L’articolo 29 introduce la necessità di una banca dati di registrazione dei nomi di dominio di primo livello e dei fornitori di servizi di registrazione, che deve essere gestita con la dovuta diligenza, in conformità al diritto dell’Unione Europea in materia di protezione dei dati personali. Questo implica un’attenzione alla gestione dei dati personali e alla conformità alle normative.
In sintesi, il decreto NIS2 rappresenta un’evoluzione significativa nel panorama della sicurezza informatica, con un focus sull’adozione di obblighi rigorosi per le organizzazioni che operano in settori critici, e una maggiore responsabilità per la gestione dei dati e dei sistemi informatici.
