Direttiva NIS2: Scadenze e Obblighi per Aziende e Pubbliche AmministrazioniNIS2 Timeline

Direttiva NIS2: Scadenze e Obblighi per Aziende e Pubbliche AmministrazioniNIS2 Timeline

Con l’approvazione della Direttiva NIS2 (direttiva (UE) 2022/2555), attraverso il decreto attuativo D. lgs. 138/2024  le aziende e le pubbliche amministrazioni sono chiamate a rispettare una serie di scadenze e adempimenti fondamentali per garantire una migliore sicurezza delle reti e dei sistemi informatici. Ecco una panoramica delle tappe principali e dei requisiti da seguire.

Entro il 31 dicembre 2024

Il primo passo è svolgere un assessment obbligatorio per valutare se l’organizzazione rientra negli obblighi previsti dalla Direttiva NIS2. L’assessment dovrà essere completato entro il 31 dicembre 2024, seguendo le indicazioni degli articoli 6 e 7, e degli allegati I, II, III e IV della Direttiva, oltre a eventuali atti successivi.

Tappe NIS2 anno 2025

1. Registrazione obbligatoria tra il 1° gennaio e il 28 febbraio 2025

Se a seguito dell’assessment l’organizzazione rientra nell’ambito di applicazione della Direttiva, sarà necessario registrarsi sulla piattaforma digitale messa a disposizione dall’Agenzia per la Cybersicurezza Nazionale (ACN). La registrazione dovrà avvenire tra il 1° gennaio e il 28 febbraio 2025, e sarà necessario fornire tutte le informazioni richieste dalla normativa.

2. Registrazione speciale per fornitori di servizi entro il 17 gennaio 2025

Entro il 17 gennaio 2025, specifiche categorie di fornitori dovranno obbligatoriamente registrarsi sulla piattaforma ACN. Tra questi rientrano:

  • Fornitori di servizi di sistema dei nomi di dominio (DNS);
  • Gestori di registri di nomi di dominio di primo livello;
  • Fornitori di servizi di registrazione dei nomi di dominio;
  • Fornitori di cloud computing, data center e reti di distribuzione di contenuti;
  • Fornitori di servizi gestiti e di sicurezza gestiti;
  • Fornitori di mercati online, motori di ricerca online e piattaforme di social network.

3. Elenco dei soggetti essenziali e importanti entro il 31 marzo 2025

L’ACN completerà, entro il 31 marzo 2025, la redazione dell’elenco ufficiale dei soggetti essenziali e importanti in base alle registrazioni ricevute.

4. Comunicazione dei risultati tra il 1° e il 15 aprile 2025

Tra il 1° aprile e il 15 aprile 2025, l’ACN invierà una comunicazione ufficiale ai soggetti registrati, notificando l’inserimento nell’elenco dei soggetti essenziali o importanti.

5. Nomina del responsabile degli adempimenti entro il 15 aprile 2025

I soggetti che riceveranno la comunicazione di inserimento nell’elenco dovranno, entro il 15 aprile 2025, nominare un responsabile con il compito di gestire gli adempimenti previsti dal decreto.

6. Fornitura di ulteriori informazioni entro il 31 maggio 2025

Infine, tra il 15 aprile e il 31 maggio 2025, le organizzazioni interessate dovranno completare l’invio delle ulteriori informazioni richieste dalla normativa attraverso la piattaforma ACN.

Gli adempimenti dal 2026

Conclusa questa fase preliminare, le aziende e le pubbliche amministrazioni incluse nell’elenco dell’ACN dovranno affrontare ulteriori obblighi entro il 2026:

  • Dal 1° gennaio 2026: obbligo di notifica degli incidenti di sicurezza;
  • Entro il 1° ottobre 2026: adempimento degli obblighi riguardanti:
    • Organi di amministrazione e direttivi;
    • Misure di sicurezza;
    • Raccolta e mantenimento di una banca dati dei nomi di dominio (dove applicabile).

Conclusione

Il rispetto della Direttiva NIS2 rappresenta un passaggio cruciale per tutte le organizzazioni coinvolte. Gli adempimenti richiesti puntano a garantire un alto livello di sicurezza informatica, cruciale per la tutela delle infrastrutture essenziali e per la gestione sicura dei dati e delle reti. Le scadenze sono rigide, ed è fondamentale che le aziende e le pubbliche amministrazioni si preparino tempestivamente per evitare sanzioni e rispettare i requisiti di legge.

< Torna al Blog