La Timeline per recepimento della NIS2 è pronto, è stato appena pubblicato in Gazzetta Ufficiale l’attesissimo decreto di recepimento in Italia della Direttiva NIS2, il quale stabilisce misure volte a garantire un livello elevato di cybersicurezza in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea.
Nonostante gli inutili allarmismi che – purtroppo da più parti – si sono sollevati in questi ultimi mesi, occorre chiedersi quali siano realmente gli obblighi a cui gli attori privati e pubblici dovranno adempiere e soprattutto la vera timeline e quali i relativi termini.
Negli ultimi mesi è stato spesso veicolato ad aziende e pubbliche amministrazioni il messaggio fuorviante dell’imminente obbligo di implementare – in alcuni casi, addirittura entro il 17 ottobre 2024 – la Direttiva NIS2 e tutti i suoi onerosi e complessi adempimenti. La realtà dei fatti, tuttavia, è completamente differente.
Infatti, al fine di rendere operativi molti degli obblighi che avranno un impatto diretto sulle aziende e sulle pubbliche amministrazioni – come quello di notifica degli incidenti o di implementazione delle misure di sicurezza – il decreto di recepimento della Direttiva NIS2 richiede l’emanazione di ulteriori e successivi atti normativi. Ad esempio, soltanto entro 6 mesi dall’entrata in vigore del decreto appena emanato potremo conoscere i dettagli degli obblighi rivolti agli organi di amministrazione e a quelli direttivi, così come quelli in materia di misure di sicurezza cibernetica e di notifica degli incidenti. Addirittura, alcuni specifici adempimenti non verranno definiti prima di 18 mesi dall’entrata in vigore del decreto.
Alla luce di ciò, è opportuno sintetizzare una timeline con i principali adempimenti derivanti dal decreto, ordinandoli per data.
- entro il 31 dicembre 2024, aziende e pubbliche amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato;
- tra il 1° gennaio e il 28 febbraio 2025, i soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa.
- entro il 17 gennaio 2025, dovrannoregistrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network;
- entro il 31 marzo 2025, l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;
- tra il 1° aprile 2025 e il 15 aprile 2025, attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elencodei soggetti essenziali o importanti;
- entro il 15 aprile 2025, i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto;
- tra il 15 aprile e il 31 maggio 2025, i soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa.
Chiusa questa fase preliminare, le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN dovranno procedere con gli ulteriori adempimenti previsti nel decreto. A tal proposito, a titolo esemplificativo:
- a partire dal 1° gennaio 2026, si dovrà adempiere all’obbligo di notifica degli incidenti;
- entro il 1° ottobre 2026, si dovrà adempiere:
- agli obblighi degli organi di amministrazione e direttivi;
- agli obblighi in materia di misure di sicurezza;
- all’obbligo di raccolta e mantenimento di una banca dei dati di registrazione dei nomi di dominio, laddove applicabile.
Stefano Mele e Flavia Bavetta ci spiegano la timeline della NIS2 con questo articolo