Il 16 Ottobre 2024 entra ufficialmente in vigore il “Decreto Legislativo 4 Settembre 2024 n. 138” con il quale l’Italia recepisce la Direttiva (UE) 2022/2555 (Direttiva NIS2) in materia di cybersicurezza.
Con il D.lgs. 138-2024 l’Italia si allinea alle disposizioni europee in materia di sicurezza informatica, adottando misure concrete per la gestione delle crisi informatiche, la designazione di autorità competenti e la definizione di obblighi cybersecurity per soggetti pubblici e privati, al fine di migliorare la resilienza delle reti e dei sistemi informativi a livello nazionale ed europeo.
Il D.lgs. 138-2024 abroga il D.lgs. 65-2018 (che recepiva la precedente Direttiva NIS) definendo una nuova Strategia Nazionale di Cybersicurezza, che prevede obiettivi strategici e misure specifiche per garantire un alto livello di sicurezza informatica e affida all'Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di Autorità Nazionale Competente NIS e di Punto di Contatto Unico NIS previsti dalla Direttiva NIS2.
Il D.lgs. 138-2024 introduce nuovi obblighi di sicurezza informatica e di cybersicurezza ed estende la platea dei soggetti pubblici e privati destinatari della Direttiva NIS2.
In particolare, le aziende e le pubbliche amministrazioni destinatarie degli obblighi cybersecurity previsti dalla Direttiva NIS2 devono:
- adottare misure tecniche e organizzative adeguate per gestire i rischi di sicurezza informatica
- implementare un approccio alla gestione dei rischi basato su un'analisi approfondita delle minacce informatiche e della vulnerabilità dei sistemi
- disporre un piano di gestione degli incidenti informatici, che includa procedure per la rilevazione, la risposta e il recupero da un incidente
- svolgere audit cybersecurity periodici per verificare l'adeguatezza delle misure di sicurezza adottate e garantire la conformità alla normativa
- garantire una formazione cybersecurity continua per tutto personale dipendente ed i collaboratori al fine di prevenire e gestire eventuali incidenti di cybersicurezza
- notificare tempestivamente gli incidenti di sicurezza informatica significativi all'Agenzia per la Cybersicurezza Nazionale (ACN).
Gli obblighi di cybersicurezza previsti dal D.lgs. 138-2024, inoltre, si integrano e si aggiungono a quelli già previsti dal GDPR in materia di protezione dei dati personali.
In caso di mancato adeguamento agli obblighi cybersecurity, il D.lgs. 138-2024 prevede per i trasgressori sanzioni amministrative pecuniarie fino a € 10.000.000 o il 2% del fatturato mondiale annuo.
Dr. Eric Falzone – Consulente Cyber Security – Partner EUCS
Articoli Cybersecurity ©EUCS