Il 2 ottobre 2024 è stato pubblicato il decreto legislativo n. 138/2024, che recepisce la Direttiva NIS 2 e introduce nuove e rigorose normative in materia di cybersecurity per migliaia di aziende e pubbliche amministrazioni. Questo provvedimento si propone di garantire la sicurezza delle infrastrutture critiche digitali, ponendo obblighi specifici per i soggetti operanti in settori chiave. Detto questo, le aziende devono pianificare attentamente i passaggi da seguire per adeguarsi a queste nuove disposizioni, senza prendere decisioni affrettate. Il decreto stabilisce un chiaro quadro normativo e un calendario di adempimenti per le aziende interessate. L’Autorità Nazionale Competente per la NIS (ACN) ha un ruolo fondamentale nella classificazione dei “soggetti essenziali” e “soggetti importanti”, supportata da decisioni che coinvolgono le autorità di settore e il Tavolo per l’attuazione della disciplina NIS. Le aziende devono pertanto comprendere le implicazioni di queste nuove normative e agire con prontezza.

Innanzitutto, è necessario registrarsi o aggiornare le informazioni sulla piattaforma digitale dell’ACN, seguendo un preciso calendario di scadenze. Le registrazioni devono avvenire annualmente tra il 1° gennaio e il 28 febbraio, in questo lasso di tempo le aziende devono fornire informazioni quali la ragione sociale, l’indirizzo e i contatti, insieme ai dettagli sul proprio settore di operatività. Entro il 31 marzo, l’ACN redigerà un elenco di soggetti essenziali e importanti basato su tali registrazioni. È previsto anche un aggiornamento annuale delle informazioni, che deve avvenire tra il 15 aprile e il 31 maggio di ogni anno, includendo dettagli come indirizzi IP pubblici, nomi di dominio e contatti di referenti aziendali.

Un aspetto rilevante del decreto è l’attenzione alla proporzionalità e gradualità degli obblighi. L’ACN adotterà misure in base al livello di rischio e alla dimensione delle organizzazioni, evitando un approccio uniforme. Ciò consente alle aziende di adattarsi alle nuove normative senza troppi aggravi e con scadenze che tengano conto delle loro specifiche esigenze. Tuttavia, è fondamentale attendere le indicazioni ufficiali dell’ACN prima di intraprendere azioni di adeguamento, soprattutto per quelle organizzazioni che già possiedono un livello accettabile di sicurezza informatica. Questo approccio evita sprechi e consente di allineare le iniziative di compliance alle regole definitive che verranno stabilite.

Per le aziende che non hanno raggiunto un minimo livello di protezione, il discorso è diverso. Queste devono agire immediatamente per implementare le misure fondamentali di cybersecurity, come la gestione delle password, l’aggiornamento regolare dei sistemi e l’utilizzo di software di sicurezza adeguati. È altrettanto cruciale investire nella formazione del personale, creando una cultura della consapevolezza informatica che permetta a tutti di riconoscere e rispondere adeguatamente alle minacce. Parallelamente, le aziende dovrebbero sviluppare procedure efficaci per la gestione degli incidenti di sicurezza, garantendo così una risposta tempestiva e ben strutturata in caso di attacco.

In questo contesto, il decreto n. 138/2024 rappresenta un punto di svolta per la cybersecurity in Italia, richiedendo un impegno costante e proattivo da parte delle organizzazioni. La pianificazione e la prudenza si rivelano fondamentali per il successo nell’adeguamento alle nuove norme. Le aziende devono seguire attentamente il calendario e le linee guida fornite dall’ACN, rispettando ogni passaggio con diligenza, senza lasciarsi prendere dalla fretta.

Il futuro della sicurezza informatica è già presente e, con esso, la differenza tra un’organizzazione ben preparata e una vulnerabile dipenderà dalla capacità di pianificare e agire con consapevolezza. La nuova normativa non è solo un obbligo, ma un’opportunità per migliorare la resilienza e la sicurezza delle aziende, contribuendo così a un ambiente digitale più sicuro e affidabile per tutti.