Il 1° ottobre 2024 è stato pubblicato in Gazzetta Ufficiale (GU Serie Generale n.230 del 01-10-2024) il Decreto Legislativo 4 settembre 2024 n. 138 che attua la Direttiva NIS2 (UE) 2022/2555 in materia di cybersicurezza.
Il Decreto si applica ai soggetti di cui ai suoi Allegati da I a IV, operanti sia in contesto pubblico che privato, individuati secondo criteri di elevata criticità, criticità ed altri criteri anche dimensionali.
Tra i principali, si segnalano i seguenti settori:
Settori altamente critici, tra cui: Energia, Trasporti, Bancario, Infrastrutture dei mercati finanziari, Sanitario, Acqua potabile, Acque reflue, Infrastrutture digitali, Servizi TIC, Spazio
Altri settori critici, tra cui: Poste, Gestione rifiuti, Sostanze Chimiche, Alimenti, Dispositivi medici e medico-diagnostici in vitro, Elettronica e Ottica, Apparecchiature Elettriche, Veicoli, Servizi Digitali, Ricerca
Amministrazioni centrali, regionali, locali e di altro tipo, tra cui: Regioni, Province, Comuni, Aziende sanitarie locali, Enti e Istituzioni di ricerca, Enti a struttura associativa, Enti produttori di servizi assistenziali, ricreativi e culturali
Trasporto pubblico locale, Ricerca.
Le disposizioni del Decreto si applicano a decorrere dal 18 ottobre 2024 ed a partire da tale data il precedente Decreto Legislativo 18 maggio 2018, n. 65 è via via abrogato secondo un regime transitorio.
Rinviando ad una lettura attenta del Decreto, la prima scadenza in evidenza è quella del 31 dicembre 2024, entro cui dovrà essere operato da tutti i soggetti che potrebbe essere interessati dalla disciplina un assessment di verifica del loro assoggettamento o meno agli obblighi del Decreto.
Altre scadenze seguono per le varie incombenze prescritte dal Decreto, tra cui la registrazione dei soggetti sottoposti alla disciplina presso la piattaforma ACN, la comunicazione da parte di quest'ultima ai soggetti registrati del loro inserimento quali soggetti essenziali o importanti, la nomina da parte di tali soggetti di un responsabile dell’adempimento degli obblighi impartiti dal Decreto, l'obbligo di notifica degli incidenti, gli obblighi a carico degli organi di amministrazione e direttivi, gli obblighi in materia di misure di sicurezza.
Il Decreto rinvia ad uno o più successivi DPCM e determinazioni dell'ACN l'individuazione e definizione di ulteriori dettagli della disciplina.
ความคิดเห็น