D.Lgs. n. 138/024 Normativa NIS: il campo di applicazione / Registrazione ACN entro il 28 Febbraio 2025

ID 23491 | 19.02.2025 / Allegati 

- Scheda completa news
- Scheda ACN Ambito di applicazione 

Dal 16 ottobre 2024 è in vigore il Decreto Legislativo 4 settembre 2024 n. 138, nuova normativa Network and Information Security (NIS) di recepimento della direttiva (UE) 2022/2555 (direttiva NIS 2).

Il recepimento della direttiva (UE) 2022/2555 (NIS 2) con il decreto legislativo del 4 settembre 2024, n. 138 (decreto NIS), mira a garantire l’aumento del livello di sicurezza informatica del tessuto produttivo e delle Pubbliche Amministrazioni del Paese, in armonia con gli altri Stati membri dell’Unione Europea.

L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’Autorità competente NIS. 

Dal 1° dicembre 2024 al 28 febbraio 2025, le medie e grandi imprese, in alcuni casi anche le piccole e microimprese, e le Pubbliche amministrazioni a cui si applica la nuova normativa devono registrarsi sul portale servizi ACN.

In seguito, si avvierà, ad aprile 2025, un percorso condiviso di rafforzamento della sicurezza informatica.

La nuova normativa NIS amplia il campo di applicazione della normativa a 18 settori di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione) per oltre 80 tipologie di soggetti, distinguendo i soggetti in essenziali e importanti.

La normativa

L'impianto normativo rafforza quanto già previsto dal precedente quadro NIS, ampliandone il campo di applicazione e prevedendo un criterio omogeneo per l’identificazione dei soggetti.

La norma estende gli obblighi in materia di misure di sicurezza e di notifica degli incidenti, rafforza i poteri di supervisione, struttura maggiormente i meccanismi e gli organi preposti alla risposta agli incidenti e alla gestione della crisi. Introduce, infine, nuovi strumenti, come la divulgazione coordinata delle vulnerabilità.

Nella normativa sono contenute novità sulla gestione del rischio da parte degli operatori, che prevedono misure di sicurezza adeguate e un sistema di notifica degli incidenti efficace e reattivo. Inoltre, il decreto NIS favorisce la cooperazione e condivisione delle informazioni, attraverso diverse modalità di scambio, a livello sia nazionale che europeo. Al fine di promuovere l’applicazione concreta ed efficiente di una norma ambiziosa, il decreto NIS pone particolare enfasi sulle attività di supporto e sulla gradualità e proporzionalità degli obblighi normativi.

Ambito di applicazione

Il campo di applicazione è ampliato a 18 settori, di cui 11 altamente critici (originariamente 8) e 7 critici (di nuova introduzione), interessando oltre 80 tipologie di soggetti pubblici e privati, incluse tante pubbliche amministrazioni.

Dal 1° dicembre 2024 al 28 febbraio 2025, le medie e grandi imprese, in alcuni casi anche le piccole e microimprese, a cui si applica la nuova normativa devono registrarsi sul portale servizi ACN.

In seguito si avvierà, ad aprile 2025, un percorso condiviso di rafforzamento della sicurezza informatica.

Obblighi

Oltre ad ampliare il numero di settori e destinatari, la nuova normativa NIS estende il campo di applicazione all’intera infrastruttura ICT dei soggetti, distinti tra essenziali ed importanti, in relazione al livello di criticità delle attività svolte e del settore in cui operano per il funzionamento della società e del mercato nazionale ed UE.

La precedente normativa focalizzava l’attenzione sulla disponibilità delle reti e dei sistemi relativi ai servizi essenziali di pochi soggetti altamente critici. Con la nuova normativa NIS, gli obblighi riguardano le tre dimensioni classiche della sicurezza informatica (riservatezza, integrità e disponibilità) secondo un approccio multi-rischio e riguardano, oltre alla registrazione, diversi ambiti, come la gestione del rischio, la responsabilità aziendale, gli obblighi di comunicazione, la continuità del business e la sicurezza della catena di approvvigionamento.

Dal 1° dicembre 2024 e non oltre il 28 febbraio 2025, i soggetti pubblici e privati a cui si applica la normativa devono registrarsi.

Per agevolare l’adeguamento sostenibile agli altri obblighi normativi, il decreto introduce il principio della graduale implementazione degli stessi. Prevede, in particolare, che i primi obblighi di base, per le notifiche di incidente e le misure di sicurezza, vengano definiti a valle delle consultazioni nell’ambito dei tavoli settoriali, con determine del Direttore Generale di ACN da adottarsi entro il primo quadrimestre del 2025.

Per favorirne l’efficace attuazione, il decreto legislativo stabilisce una differenziata finestra temporale di implementazione: 9 mesi per le notifiche e 18 mesi per le misure di sicurezza, decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS  (articoli 31 e 40), decorrenti dalla data di consolidamento dell’elenco dei soggetti NIS (aprile 2025).

Nell’impianto regolatorio è di fondamentale importanza anche il principio di proporzionalità, realizzato tramite l’attività di categorizzazione delle attività e dei servizi dei soggetti NIS (articolo 30). L'attività, che dovrà essere condotta a partire dal 2026 (articolo 42), consentirà ai soggetti NIS di distinguere, all’interno della loro organizzazione e con il supporto di ACN, i diversi livelli di esposizione al rischio dei propri sistemi informativi e di rete. 
A tali sistemi si applicheranno, coerentemente con la loro esposizione al rischio, maggiori obblighi finalizzati a innalzarnemaggiori obblighi finalizzati a innalzare progressivamente i livelli di sicurezza informatica.

	Descrizione	Lingua	Dimensione	Downloads
	Normativa NIS D.Lgs. n. 138 2024 - Registrazione ACN entro il 28.02.2025 Certifico Srl - Rev. 0.0 2025	IT	435 kB	312
	Normativa NIS - Ambito di applicazione	IT	138 kB	244