Il Decreto Legislativo 138/2024, pubblicato il 1° ottobre 2024, recepisce la Direttiva UE 2022/2555, nota come Direttiva NIS 2, con l’obiettivo di rafforzare la sicurezza informatica in Italia, allineandola agli standard europei.
Questo decreto si concentra su misure per proteggere i sistemi informatici nazionali, soprattutto quelli che riguardano infrastrutture critiche. Tra le novità principali vi è il rafforzamento della Strategia Nazionale di Cybersicurezza e l’integrazione del quadro di gestione delle crisi informatiche. L’Agenzia per la Cybersicurezza Nazionale (ACN) è confermata come autorità centrale per la gestione di incidenti informatici e la cooperazione a livello europeo.
Il decreto impone a enti pubblici e privati obblighi di gestione del rischio informatico e di notifica degli incidenti al CSIRT Italia (Computer Security Incident Response Team). Le sanzioni per la mancata osservanza possono arrivare fino a 10 milioni di euro o il 2% del fatturato annuo.
Le imprese devono registrarsi entro date precise sulla piattaforma ACN, con l’obiettivo di identificare i soggetti essenziali e quelli importanti per la sicurezza nazionale https://catalogocloud.acn.gov.it/login/sign-up Dal 1° dicembre 2024 al 28 febbraio 2025 i soggetti pubblici e privati a cui si applica la NIS devono manifestarsi all’Autorità nazionale competente NIS registrandosi sulla piattaforma digitale che sarà resa disponibile da ACN. La mancata registrazione è una violazione assistita da una sanzione amministrativa pecuniaria con un importo fino al 0.1% del fatturato annuo su scala mondiale del soggetto.
