Il D.lgs 138/2024 ed i tempi di implementazione.

Vi ricordate che quando parlavamo della direttiva NIS2, davamo come scadenza il 17 ottobre 2024?

La data è passata e non è successo nulla. E' vero?

NO!

Al contrario di quanto qualcuno ha scritto in passato la direttiva NIS2 (Direttiva UE 2022/2555) è in vigore.

In Italia, però, è stato pubblicato il decreto di recepimento della direttiva, il Decreto legislativo n. 138 del 4 settembre 2024, in vigore dal 16 ottobre 2024.

Il D.lgs. ha modificato i tempi di attuazione, concedendo alle aziende un periodo di implementazione più ampio per consentire una transizione ordinata verso il nuovo quadro normativo in materia di cybersicurezza.

Tempistica

Questa tempistica vale per la prima applicazione della norma (quindi fino al 31 dicembre 2025); vediamo in cosa consiste :

1. Pubblicazione della piattaforma da parte di ACN: la piattaforma sarà pubblicata a partire dal 1 dicembre 2024.
2. Registrazione in piattaforma dei soggetti interessati:

• Dal 1°gennaio al 17 gennaio 2025 si dovranno registrare in piattaforma ACN

o i fornitori di servizi di sistema dei nomi di dominio,

o i gestori di registri dei nomi di dominio di primo livello,

o i fornitori di servizi di registrazione dei nomi di dominio,

o i fornitori di servizi di cloud computing,

o fornitori di servizi di data center,

o fornitori di reti di distribuzione dei contenuti,

o i fornitori di servizi gestiti,

o i fornitori di servizi di sicurezza gestiti,

o i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network

• Dal 1° gennaio al 28 febbraio 2025: Tutti gli altri soggetti che ritengono di rientrare nell'ambito di applicazione del decreto devono registrarsi sulla piattaforma predisposta dall'Agenzia per la Cybersicurezza Nazionale (ACN).

3. Comunicazione dell'ACN:

Entro il 31 marzo 2025: L'ACN esamina le registrazioni e comunica ai soggetti interessati la loro classificazione come "soggetti essenziali" o "soggetti importanti".

4. Adeguamento agli obblighi sino al 31 dicembre 2025.

• Entro 9 mesi dalla comunicazione dell'ACN: I soggetti devono conformarsi agli obblighi di notifica degli incidenti informatici.
• Entro 18 mesi dalla comunicazione dell'ACN: I soggetti devono adempiere agli obblighi relativi agli organi di amministrazione e alle misure di gestione dei rischi per la sicurezza informatica.

Scopri se la tua organizzazione è soggetta alla NIS2 con il nostro pre-audit gratuito.

--> Vai al Pre-audit gratuito