Sulla Gazzetta Ufficiale n. 230 del 1 ottobre è stato pubblicato il Dd.lgs 4 settembre 2024, n. 138 recante recepimento della Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che modifica il Regolamento (UE) n. 910/2014 e della Direttiva (UE) 2018/1972 e che abroga la Direttiva (UE) 2016/1148.
Più nota come Direttiva NIS2, tale provvedimento stabilisce misure volte a garantire un livello elevato di cybersicurezza contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea e di conseguenza nazionale.
Sebbene il decreto legislative di recepimento si applichi – come si legge al comma 1 dell’art. 41 – a decorrere dal 18 ottobre 2024, è necessario prestare attenzione alle tempistiche di effettiva applicazione delle disposizioni: utile può quindi essere un riepilogo in forma schematica.
entro il 31 dicembre 2024 | Aziende e Pubbliche Amministrazioni dovranno svolgere un assessment per comprendere se siano o meno soggette agli obblighi della Direttiva NIS2, seguendo il dettato degli artt. 6 e 7, degli Allegati I, II, III e IV, nonché di ogni altro atto che verrà emanato; |
tra il 1° gennaio e il 28 febbraio 2025 | I soggetti privati e pubblici – che a seguito dell’assessment ritengano di rientrare nell’ambito di applicazione del decreto – dovranno registrarsi sulla piattaforma digitale resa disponibile da ACN fornendo le informazioni richieste dalla normativa |
entro il 17 gennaio 2025 | Dovranno registrarsi sulla piattaforma i fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, nonché i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network |
entro il 31 marzo 2025 | L’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma |
tra il 1° aprile 2025 e il 15 aprile 2025 | Attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elencodei soggetti essenziali o importanti |
entro il 15 aprile 2025 | I soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto |
tra il 15 aprile e il 31 maggio 2025 | I soggetti che avranno ricevuto la comunicazione attraverso la piattaforma dovranno fornire le ulteriori informazioni richieste dalla normativa |
A cura di Marco Carleo