Cos’è?
La Direttiva NIS2 (Network and Information Systems Directive 2) è l’aggiornamento della Direttiva sulla sicurezza delle reti e dei sistemi informativi. Essa introduce nuovi e stringenti obblighi in materia di cyber sicurezza per imprese e pubbliche amministrazioni imponendo l’adozione di un Modello Organizzativo di Gestione della Cybersecurity.
Quali sono i settori interessati?
I settori interessati dalla NIS2 sono individuati in 4 allegati alla direttiva.
Il primo allegato individua i soggetti ad alta criticità, che corrispondono ai seguenti settori:
- Energia
- Trasporti
- Banca e finanza
- Acqua potabile e reflue
- Infrastrutture digitali (es. Datacenter, DNS, gestione dei registri di nomi a dominio, Cloud Computing etc.)
- Servizi ICT (es. MSP)
- Spazio
Il secondo allegato individua altri soggetti critici nei seguenti settori:
- Postali e corrieri
- Rifiuti
- Produzione chimica
- Alimenti
- Fabbricazione (es. dispositivi medici, computer, auto, altri mezzi di trasporto etc.)
- Servizi digitali (es. marketplace, motori di ricerca, social network, servizi di registrazione di nomi a dominio etc.)
- Ricerca
Il terzo allegato riguarda le Pubbliche Amministrazioni e comprende:
- Amministrazioni centrali (Presidenza del Consiglio e Ministeri etc.)
- Amministrazioni regionali
- Amministrazioni locali (città metropolitane, comuni con più di 100.000 abitanti etc.)
- Altri enti pubblici
Infine, il quarto allegato riguarda altre tipologie di soggetti:
- Servizi di trasporto pubblico locale
- Istituti di istruzione e ricerca
- Soggetti di interesse culturale
- Società partecipate o a controllo pubblico
Sono invece escluse le piccole (meno di 50 dipendenti impiegati e meno di 10 milioni di fatturato annuo) e le micro imprese (meno di 10 dipendenti impiegati e meno di 2 milioni di fatturato annuo).
Cosa fare?
I soggetti pubblici e privati a cui si applica la NIS devono manifestarsi all’Autorità nazionale competente NIS registrandosi sulla piattaforma digitale che sarà resa disponibile da ACN (Autorità Competente Nazionale). La registrazione è disciplinata dall’art. 7 del decreto e le istruzioni sono contenute nella determinazione ACN n. 38565/2024. La procedura è composta da tre fasi: censimento del punto di contatto, associazione al soggetto e compilazione della dichiarazione NIS.
In via preliminare, dunque, bisogna designare il punto di contatto, (può essere anche un dipendente delegato dal legale rappresentante) che dovrà compilare una dichiarazione articolata in 4 sezioni: contesto, caratterizzazione, tipologie di soggetto e autovalutazione.
Se desideri approfondire l’argomento e vorresti un’attenta analisi del settore di appartenenza della tua attività per sapere le modalità per il corretto adeguamento, affidati ai nostri tecnici. S5 srl propone, grazie all’ausilio di esperti legali, un valido affiancamento nel processo di registrazione sulla piattaforma digitale.