Notizie

D.lgs. 138-2024: in vigore gli obblighi cybersecurity della Direttiva NIS2

Il 16 Ottobre 2024 entra ufficialmente in vigore il “Decreto Legislativo 4 Settembre 2024 n. 138” con il quale l’Italia recepisce la Direttiva (UE) 2022/2555 (Direttiva NIS2) in materia di cybersicurezza.

Con il D.lgs. 138-2024 l’Italia si allinea alle disposizioni europee in materia di sicurezza informatica, adottando misure concrete per la gestione delle crisi informatiche, la designazione di autorità competenti e la definizione di obblighi cybersecurity per soggetti pubblici e privati, al fine di migliorare la resilienza delle reti e dei sistemi informativi a livello nazionale ed europeo.

Il D.lgs. 138-2024 abroga il D.lgs. 65-2018 (che recepiva la precedente Direttiva NIS) definendo una nuova Strategia Nazionale di Cybersicurezza, che prevede obiettivi strategici e misure specifiche per garantire un alto livello di sicurezza informatica e affida all'Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di Autorità Nazionale Competente NIS e di Punto di Contatto Unico NIS previsti dalla Direttiva NIS2.

Il D.lgs. 138-2024 introduce nuovi obblighi di sicurezza informatica e di cybersicurezza ed estende la platea dei soggetti pubblici e privati destinatari della Direttiva NIS2.

In particolare, le aziende e le pubbliche amministrazioni destinatarie degli obblighi cybersecurity previsti dalla Direttiva NIS2 devono:

  • adottare misure tecniche e organizzative adeguate per gestire i rischi di sicurezza informatica
  • implementare un approccio alla gestione dei rischi basato su un'analisi approfondita delle minacce informatiche e della vulnerabilità dei sistemi
  • disporre un piano di gestione degli incidenti informatici, che includa procedure per la rilevazione, la risposta e il recupero da un incidente
  • svolgere audit cybersecurity periodici per verificare l'adeguatezza delle misure di sicurezza adottate e garantire la conformità alla normativa
  • garantire una formazione cybersecurity continua per tutto personale dipendente ed i collaboratori al fine di prevenire e gestire eventuali incidenti di cybersicurezza
  • notificare tempestivamente gli incidenti di sicurezza informatica significativi all'Agenzia per la Cybersicurezza Nazionale (ACN).

Gli obblighi di cybersicurezza previsti dal D.lgs. 138-2024, inoltre, si integrano e si aggiungono a quelli già previsti dal GDPR in materia di protezione dei dati personali.

In caso di mancato adeguamento agli obblighi cybersecurity, il D.lgs. 138-2024 prevede per i trasgressori sanzioni amministrative pecuniarie fino a € 10.000.000 o il 2% del fatturato mondiale annuo.

Dr. Eric Falzone – Consulente Cyber Security – Partner EUCS

Articoli Cybersecurity ©EUCS