fbpx
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

NIS2: il Decreto Legislativo di Attuazione della Direttiva (UE) 2022/2555 in ambito Italia

Sandro Sana : 12 Settembre 2024 07:09

Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555, noto anche come NIS2, segna un importante passo avanti nella gestione della sicurezza informatica in Italia e nell’Unione Europea. Con la finalità di rafforzare la protezione delle infrastrutture critiche e migliorare la resilienza delle aziende contro le crescenti minacce informatiche, questo decreto introduce nuovi obblighi per i soggetti considerati essenziali e importanti.

Struttura del Decreto

Il decreto si articola in 6 Capi e 44 articoli, e sostituisce il precedente Decreto Legislativo n. 65 del 2018, che implementava la prima direttiva NIS (Network and Information Systems) del 2016. Le nuove disposizioni mirano a rafforzare il livello di sicurezza delle reti e dei sistemi informativi, soprattutto per quanto riguarda i soggetti considerati essenziali e importanti. Tra questi figurano fornitori di servizi di cloud computing, data center, piattaforme di social network, motori di ricerca online e mercati digitali.

Obblighi per i Soggetti Essenziali e Importanti

Un elemento cruciale del decreto è l’obbligo, per gli organi di amministrazione e direttivi delle aziende considerate essenziali e importanti, di approvare e sovrintendere all’implementazione delle misure di gestione dei rischi per la sicurezza informatica. Questi organi sono inoltre responsabili delle violazioni del decreto e devono assicurarsi che i dipendenti ricevano una formazione continua in materia di sicurezza informatica (Articolo 23).

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765  per richiedere informazioni
"

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’articolo 24 specifica le misure di gestione dei rischi, che devono includere l’uso di tecnologie sicure e aggiornate, la protezione contro accessi non autorizzati, e la gestione e registrazione degli incidenti di sicurezza. Inoltre, si pone particolare attenzione alla continuità operativa e alla rapidità di ripristino delle attività in caso di incidenti.

Notifica di Incidenti Significativi e Quasi-Incidenti

Il decreto impone l’obbligo di notifica tempestiva degli incidenti significativi entro 24 ore dalla loro rilevazione, con una relazione dettagliata da fornire entro 72 ore. Questi incidenti devono essere accompagnati da informazioni riguardanti il loro impatto e le misure di mitigazione adottate. Inoltre, il decreto introduce l’obbligo di notificare anche i “quasi-incidenti”, ovvero quegli eventi che potrebbero avere un impatto significativo ma che non hanno ancora causato danni rilevanti (Articolo 25 e 26).

Tempistica e Fase di Prima Applicazione

La fase di prima applicazione del decreto prevede una serie di scadenze ben definite. In particolare, i fornitori di servizi di dominio, cloud, data center e altre categorie devono registrarsi sulla piattaforma digitale predisposta entro il 17 gennaio 2025. Gli obblighi previsti dagli articoli 23, 24 e 29 dovranno essere rispettati entro diciotto mesi dalla ricezione della comunicazione da parte delle autorità competenti. La registrazione iniziale e gli aggiornamenti annuali dei dati saranno cruciali per garantire il monitoraggio continuo da parte delle autorità.

Implicazioni e Importanza

Il recepimento di questa direttiva in Italia rappresenta un ulteriore passo avanti verso la protezione delle infrastrutture critiche e delle informazioni sensibili contro minacce informatiche in costante evoluzione. L’Agenzia per la Cybersicurezza Nazionale (ACN) è confermata come l’autorità competente per l’attuazione delle disposizioni del decreto, rafforzando così il quadro normativo italiano in materia di cybersecurity.

Attività e Scadenze per le Aziende

Le aziende rientranti nel campo di applicazione della direttiva dovranno affrontare una serie di obblighi e scadenze. Di seguito sono riportate le principali attività richieste:

  1. Dal 18 ottobre 2024
    • l’Agenzia per la Cybersicurezza Nazionale dovrà mettere a disposizione un portale per le iscrizioni, le aziende che ritengo far parte dei soggetti che rientrano nella direttiva potranno e dovranno iscriversi.
  2. Ogni anno dal 1 gennaio al 28 febbraio
    • Le aziende devono registrarsi o aggiornare la propria registrazione sulla piattaforma digitale, fornendo informazioni quali ragione sociale, recapiti, punto di contatto e settore di appartenenza.
  3. Entro il 31 marzo di ogni anno
    • L’Agenzia per la Cybersicurezza Nazionale (ACN) redige l’elenco aggiornato dei soggetti registrati e comunica ai partecipanti la loro inclusione o permanenza nell’elenco, oppure la loro eventuale rimozione.
  4. Dal 15 aprile al 31 maggio di ogni anno
    • Le aziende che hanno ricevuto una notifica dall’ACN devono fornire informazioni aggiornate sui propri indirizzi IP pubblici, i nomi a dominio utilizzati e i responsabili della sicurezza.
  5. Dal 1 maggio al 30 giugno di ogni anno
    • Le aziende devono comunicare e aggiornare le informazioni relative alle attività e ai servizi forniti, includendo dettagli necessari per l’assegnazione di una categoria di rilevanza.

Conclusione

Il Decreto Legislativo di attuazione della direttiva (UE) 2022/2555 rappresenta un tassello fondamentale per la creazione di un ambiente digitale più sicuro e resiliente. Le aziende dovranno adeguarsi a una serie di nuovi obblighi che includono la gestione dei rischi informatici, la notifica tempestiva di incidenti e l’aggiornamento periodico delle informazioni sulla sicurezza. L’implementazione di queste misure non solo contribuirà a rafforzare la sicurezza delle infrastrutture critiche, ma promuoverà anche una maggiore fiducia nel mercato digitale europeo. Le scadenze previste richiedono un’attenta pianificazione e collaborazione tra aziende e autorità competenti, al fine di garantire un’efficace protezione contro le minacce informatiche emergenti​

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro CLUSIT.
Visita il sito web dell'autore

Articoli in evidenza

Paragon Solutions Rescinde il Contratto con l’Italia Dopo le Rivelazioni su Graphite

La società israeliana Paragon Solutions, il cui spyware Graphite è stato utilizzato per colpire almeno 90 persone in due dozzine di Paesi, ha interrotto il suo rapporto con l’Italia. ...

Per Un Punto Esclamativo In Più, Outlook Cadde Giù! Grave RCE Avverte il CISA

Il CISA avverte sulla necessità di aggiornare una grave vulnerabilità di Microsoft, che è già sfruttata dagli aggressori in attacchi attivi. L’avvertimento vale in...

Attacco All’Influenza di OpenAI! 20 Milioni di Codici di Accesso in Vendita su BreachForums

Un utente del forum underground BreachForums, con il nickname emirking, ha recentemente pubblicato un thread allarmante, sostenendo di avere accesso a oltre 20 milioni di codici di accesso per gli acc...

La Polizia Smantella CVLT: Il Gruppo Degli Orrori che Spingeva i Minori Fragili a Mutilarsi Online!

Purtroppo, il male non conosce limiti. Dopo la “Chat degli Orrori” su Telegram e i killer a pagamento, pensavamo di aver visto tutto. Ma il web nasconde abissi sempre più oscuri, e ...

Spyware israeliano contro attivisti Italiani: WhatsApp avvisa Luca Casarini preso di mira da Paragon

Un nuovo caso di sorveglianza digitale sta scuotendo l’Italia: Luca Casarini, fondatore della ONG Mediterranea Saving Humans, ha ricevuto una notifica da WhatsApp, che lo ha avvisato che il suo...