Il 16 settembre 2024 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 138/2024, che recepisce la direttiva NIS2 in Italia. Il decreto entra in vigore il 16 ottobre 2024, un giorno prima della deadline europea. Per molte aziende italiane è il momento in cui la teoria diventa adempimento operativo.
Cosa cambia con il decreto italiano
Rispetto al testo della direttiva, il decreto italiano:
- Conferma l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità competente.
- Introduce un portale dedicato per la registrazione dei soggetti, l'aggiornamento dei dati e la notifica degli incidenti.
- Definisce un cronoprogramma di obblighi: registrazione iniziale entro gennaio 2025, adeguamento alle misure tecniche entro ottobre 2025, valutazioni più approfondite negli anni successivi.
- Fissa le sanzioni in linea con la direttiva e introduce una scala di provvedimenti amministrativi.
Le quattro cose da fare nei prossimi 90 giorni
1. Verifica del perimetro
Settore + dimensione. La nostra esperienza: anche aziende che pensavano di essere fuori si sono ritrovate dentro per via del settore manifatturiero "ad alta criticità". Il check va fatto con attenzione e, se serve, con un legale.
2. Iscrizione al portale ACN
I soggetti rientranti devono registrarsi sul portale ACN entro le scadenze indicate. La finestra di registrazione iniziale è prevista da dicembre 2024 a gennaio 2025. Servono dati societari, referente per la sicurezza, perimetro dei servizi.
3. Asset inventory e gap analysis
Lista completa di sistemi, applicazioni, fornitori IT, flussi dati transfrontalieri. Confronto con i requisiti dell'art. 24 del D.Lgs. (le dieci aree di misura). Output: un piano realistico con priorità e budget.
4. Procedura di notifica incidenti
Avere uno script chiaro per quando succede qualcosa: chi viene chiamato, chi prende decisioni, come si arriva alla notifica delle 24 ore. Senza questa procedura, anche solo l'esercizio di rispondere a un attacco diventa caos.
Le sanzioni reali
Soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato globale. Soggetti importanti: 7 milioni o 1,4%. Per la prima volta in Italia c'è anche una responsabilità diretta del management: amministratori che non approvano e non monitorano le misure possono essere ritenuti personalmente responsabili.
L'errore da non fare
Il più frequente: pensare che la NIS2 sia "un audit di compliance". Non lo è. È la richiesta minima di un livello di igiene cyber che molte aziende non hanno e che, prima o poi, sarebbe stato necessario comunque. La compliance, in questo caso, è un sottoprodotto. La sicurezza è il prodotto.
Per chi parte da zero il percorso è di 12-18 mesi. Per chi è già in linea con ISO 27001 è una rimodulazione, non un terremoto. Per chi non sa da dove cominciare, il primo passo è chiamare qualcuno e fare l'asset inventory. Tutto il resto viene dopo.