Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

NIS2: il Decreto Legislativo di Attuazione della Direttiva (UE) 2022/2555 in ambito Italia

Sandro Sana : 12 Settembre 2024 07:09

Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555, noto anche come NIS2, segna un importante passo avanti nella gestione della sicurezza informatica in Italia e nell’Unione Europea. Con la finalità di rafforzare la protezione delle infrastrutture critiche e migliorare la resilienza delle aziende contro le crescenti minacce informatiche, questo decreto introduce nuovi obblighi per i soggetti considerati essenziali e importanti.

Struttura del Decreto

Il decreto si articola in 6 Capi e 44 articoli, e sostituisce il precedente Decreto Legislativo n. 65 del 2018, che implementava la prima direttiva NIS (Network and Information Systems) del 2016. Le nuove disposizioni mirano a rafforzare il livello di sicurezza delle reti e dei sistemi informativi, soprattutto per quanto riguarda i soggetti considerati essenziali e importanti. Tra questi figurano fornitori di servizi di cloud computing, data center, piattaforme di social network, motori di ricerca online e mercati digitali.

Obblighi per i Soggetti Essenziali e Importanti

Un elemento cruciale del decreto è l’obbligo, per gli organi di amministrazione e direttivi delle aziende considerate essenziali e importanti, di approvare e sovrintendere all’implementazione delle misure di gestione dei rischi per la sicurezza informatica. Questi organi sono inoltre responsabili delle violazioni del decreto e devono assicurarsi che i dipendenti ricevano una formazione continua in materia di sicurezza informatica (Articolo 23).

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’articolo 24 specifica le misure di gestione dei rischi, che devono includere l’uso di tecnologie sicure e aggiornate, la protezione contro accessi non autorizzati, e la gestione e registrazione degli incidenti di sicurezza. Inoltre, si pone particolare attenzione alla continuità operativa e alla rapidità di ripristino delle attività in caso di incidenti.

Notifica di Incidenti Significativi e Quasi-Incidenti

Il decreto impone l’obbligo di notifica tempestiva degli incidenti significativi entro 24 ore dalla loro rilevazione, con una relazione dettagliata da fornire entro 72 ore. Questi incidenti devono essere accompagnati da informazioni riguardanti il loro impatto e le misure di mitigazione adottate. Inoltre, il decreto introduce l’obbligo di notificare anche i “quasi-incidenti”, ovvero quegli eventi che potrebbero avere un impatto significativo ma che non hanno ancora causato danni rilevanti (Articolo 25 e 26).

Tempistica e Fase di Prima Applicazione

La fase di prima applicazione del decreto prevede una serie di scadenze ben definite. In particolare, i fornitori di servizi di dominio, cloud, data center e altre categorie devono registrarsi sulla piattaforma digitale predisposta entro il 17 gennaio 2025. Gli obblighi previsti dagli articoli 23, 24 e 29 dovranno essere rispettati entro diciotto mesi dalla ricezione della comunicazione da parte delle autorità competenti. La registrazione iniziale e gli aggiornamenti annuali dei dati saranno cruciali per garantire il monitoraggio continuo da parte delle autorità.

Implicazioni e Importanza

Il recepimento di questa direttiva in Italia rappresenta un ulteriore passo avanti verso la protezione delle infrastrutture critiche e delle informazioni sensibili contro minacce informatiche in costante evoluzione. L’Agenzia per la Cybersicurezza Nazionale (ACN) è confermata come l’autorità competente per l’attuazione delle disposizioni del decreto, rafforzando così il quadro normativo italiano in materia di cybersecurity.

Attività e Scadenze per le Aziende

Le aziende rientranti nel campo di applicazione della direttiva dovranno affrontare una serie di obblighi e scadenze. Di seguito sono riportate le principali attività richieste:

  1. Dal 18 ottobre 2024
    • l’Agenzia per la Cybersicurezza Nazionale dovrà mettere a disposizione un portale per le iscrizioni, le aziende che ritengo far parte dei soggetti che rientrano nella direttiva potranno e dovranno iscriversi.
  2. Ogni anno dal 1 gennaio al 28 febbraio
    • Le aziende devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale, fornendo informazioni quali ragione sociale, recapiti, punto di contatto e settore di appartenenza.
  3. Entro il 31 marzo di ogni anno
    • L’Agenzia per la Cybersicurezza Nazionale (ACN) redige l’elenco aggiornato dei soggetti registrati e comunica ai partecipanti la loro inclusione o permanenza nell’elenco, oppure la loro eventuale rimozione.
  4. Dal 15 aprile al 31 maggio di ogni anno
    • Le aziende che hanno ricevuto una notifica dall’ACN devono fornire informazioni aggiornate sui propri indirizzi IP pubblici, i nomi a dominio utilizzati e i responsabili della sicurezza.
  5. Dal 1 maggio al 30 giugno di ogni anno
    • Le aziende devono comunicare e aggiornare le informazioni relative alle attività e ai servizi forniti, includendo dettagli necessari per l’assegnazione di una categoria di rilevanza.

Conclusione

Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555 rappresenta un tassello fondamentale per la creazione di un ambiente digitale più sicuro e resiliente. Le aziende dovranno adeguarsi a una serie di nuovi obblighi che includono la gestione dei rischi informatici, la notifica tempestiva di incidenti e l’aggiornamento periodico delle informazioni sulla sicurezza. L’implementazione di queste misure non solo contribuirà a rafforzare la sicurezza delle infrastrutture critiche, ma promuoverà anche una maggiore fiducia nel mercato digitale europeo. Le scadenze previste richiedono un’attenta pianificazione e collaborazione tra aziende e autorità competenti, al fine di garantire un’efficace protezione contro le minacce informatiche emergenti​

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...

Grave Falla RCE in Remote Desktop Gateway (RD Gateway). Aggiornare Subito

Una vulnerabilità critica nel Remote Desktop Gateway (RD Gateway) di Microsoft che potrebbe consentire agli aggressori di eseguire codice dannoso sui sistemi interessati da remoto. Il difetto, &#...

Storico al Pwn2Own: hackerato anche l’hypervisor VMware ESXi. 150.000 dollari ai ricercatori

Al torneo di hacking Pwn2Own di Berlino si è verificato un evento storico: esperti di sicurezza d’élite sono riusciti per la prima volta ad hackerare con successo l’hypervisor ...