Decreto Legislativo 138/2024 (decreto NIS) in Gazzetta Ufficiale

Il 1° ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 138/2024, che recepisce la Direttiva (UE) 2022/2555, nota anche come Direttiva NIS 2. Questo nuovo provvedimento ha l’obiettivo di rafforzare la sicurezza informatica a livello europeo, imponendo alle aziende e alle amministrazioni pubbliche una serie di misure atte a garantire un livello comune elevato di cybersicurezza. Con l’entrata in vigore del decreto, l’Italia si allinea agli standard europei, rafforzando la protezione dei propri sistemi informatici e infrastrutture critiche.

1. Introduzione alla Direttiva NIS 2

La Direttiva NIS 2, approvata dall’Unione Europea, nasce con lo scopo di rispondere alle crescenti minacce informatiche e di uniformare le misure di sicurezza tra gli Stati membri. In un contesto in cui i cyberattacchi sono sempre più frequenti e sofisticati, l’UE ha avvertito la necessità di aggiornare la precedente Direttiva NIS (Network and Information Systems) del 2016. La NIS 2 prevede standard di sicurezza più elevati e stabilisce obblighi più stringenti per i soggetti operanti in settori chiave come l’energia, i trasporti, la finanza e le telecomunicazioni.
Il Decreto Legislativo 138/2024 non si limita a un semplice recepimento della direttiva, ma introduce anche specifiche misure applicative per il contesto italiano, mirando a rafforzare il quadro normativo nazionale in materia di sicurezza informatica.
Alla spiegazione della Direttiva abbiamo dedicato l’articolo: La Direttiva europea NIS2 per punti essenziali

2. Le principali novità della NIS 2

Tra le principali novità introdotte dal Decreto, vi sono misure che riguardano sia il settore pubblico che quello privato, con particolare attenzione alle infrastrutture critiche e alle aziende operanti in settori strategici. I punti chiave della normativa sono:

• Ampliamento dei soggetti coinvolti: la NIS 2 estende l’obbligo di conformità a un numero maggiore di soggetti rispetto alla precedente direttiva. Oltre alle grandi aziende, anche le piccole e medie imprese che operano in settori critici come l’energia, le banche, i trasporti, e la salute, saranno tenute a implementare misure di cybersicurezza.
• Responsabilità dei vertici aziendali: una delle principali innovazioni della Direttiva NIS 2 è l’introduzione di una maggiore responsabilità a carico dei dirigenti delle organizzazioni. Questi saranno personalmente responsabili dell’implementazione delle misure di sicurezza e potranno essere sanzionati in caso di violazione degli obblighi previsti dal decreto.
• Rafforzamento della cooperazione tra Stati membri: il decreto prevede l’istituzione di canali di comunicazione e cooperazione tra i vari Paesi dell’Unione Europea. Questo consentirà di condividere informazioni relative alle minacce cibernetiche e di adottare misure congiunte in caso di emergenze informatiche di vasta scala.
• Obblighi di notifica degli incidenti: tutte le organizzazioni interessate dovranno notificare gli incidenti di sicurezza significativi alle autorità competenti entro specifiche tempistiche. Questo aiuterà a ridurre i tempi di risposta e a prevenire la diffusione di ulteriori danni.

Alle fasi iniziali del procedimento abbiamo dedicato l’articolo: NIS2: approvata in via preliminare la bozza del recepimento

3. Impatti sul settore privato e pubblico

Il settore privato, in particolare le aziende operanti in settori critici, è fortemente impattato dal nuovo decreto. Le imprese saranno chiamate a effettuare valutazioni del rischio periodiche, a implementare tecnologie di protezione avanzate e a garantire la formazione del personale per gestire le emergenze informatiche. Tra le misure operative imposte vi sono:

• Protezione avanzata delle reti e dei sistemi IT;
• Piani di continuità operativa in caso di cyberattacchi;
• Sistemi di monitoraggio attivi per prevenire intrusioni e altre minacce informatiche.

Anche il settore pubblico è chiamato a compiere importanti passi in avanti per adeguarsi ai nuovi requisiti di sicurezza. Gli enti della pubblica amministrazione dovranno coordinarsi con le autorità centrali per garantire che i sistemi informatici siano allineati ai nuovi standard. Saranno creati hub centrali di sicurezza informatica, incaricati di coordinare la risposta agli incidenti e di sviluppare strategie preventive per la protezione dei dati pubblici.

4. Nuove Autorità di vigilanza

Il D.Lgs. 138/2024 stabilisce l’istituzione di nuove autorità di vigilanza e di coordinamento a livello nazionale. In particolare, l’Agenzia per la Cybersicurezza Nazionale (ACN) avrà un ruolo di primo piano nel monitorare l’adozione delle misure previste e nel fornire assistenza alle aziende e agli enti pubblici per il raggiungimento degli standard di sicurezza richiesti.
L’ACN collaborerà strettamente con i settori strategici e sarà incaricata di emettere linee guida, supportare le imprese nella gestione del rischio cibernetico e garantire che l’Italia sia in linea con le politiche europee.

5. Conclusioni

Con la pubblicazione del D.Lgs. 138/2024, l’Italia si allinea alle nuove disposizioni europee in materia di cybersicurezza, ponendo un accento particolare sulla responsabilità delle imprese e delle istituzioni pubbliche. Le misure contenute nel decreto rappresentano un passo avanti nella tutela delle infrastrutture critiche e nella protezione dei dati sensibili.
Le organizzazioni, sia pubbliche che private, dovranno prepararsi per una nuova fase di adattamento normativo, che richiederà investimenti in tecnologia, formazione e coordinamento a livello nazionale ed europeo.

Ti interessano questi contenuti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!