Cybersecurity: la scadenza del 28 febbraio per i soggetti NIS

Il 28 febbraio 2025 è fissata un’importante scadenza per gli obblighi in materia di cybersecurity. I soggetti interessati dal decreto n. 138/2024, di recepimento della Direttiva europea NIS 2, devono provvedere all’iscrizione al portale portale dei servizi dell’ACN, Agenzia per la Cybersicurezza Nazionale.

La Direttiva europea NIS 2 ha previsto diversi obblighi per garantire, all’interno dell’Unione europea, un livello comune elevato di cybersecurity.

A recepire la normativa europea è stato il decreto legislativo n. 138/2024, che ha introdotto le regole nell’ordinamento italiano.

Tra gli obblighi previsti c’è la registrazione al portale dei servizi dell’Agenzia per la Cybersicurezza Nazionale, il primo di una serie di passaggi per l’implementazione della risposta ad attacchi hacker.

Il punto sulle regole da rispettare e i soggetti interessati dalla scadenza del 28 febbraio 2025.

Cybersecurity: gli obblighi previsti dalla Direttiva europea NIS 2

La Direttiva europea NIS 2, Direttiva (UE) n. 2022/2555 in materia di cybersicurezza, è stata recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138.

L’obiettivo della norma è quello di garantire un livello comune elevato di cybersecurity all’interno dell’Unione europea.

Tra i capisaldi della nuova normativa c’è l’estensione degli ambiti di applicazione, rispetto alla precedente Direttiva NIS, a oltre 80 tipologie di soggetto, suddivise in 18 settori. Di questi, 11 settori sono considerati altamente critici e 7 settori sono ritenuti critici.

Le regole per implementare la cybersicurezza devono inoltre essere applicate all’intera infrastruttura ICT (information and communications technology) del soggetto e non solamente alle reti e ai sistemi collegati ai servizi essenziali.

Un’importante distinzione nella classificazione dei soggetti obbligati alla compliance normativa al decreto di recepimento della Direttiva europea NIS 2 è quella che li differenzia in soggetti “essenziali” e “importanti”.

Tale suddivisione è operata in modo automatico secondo criteri oggettivi.

Tra i soggetti essenziali rientrano, sulla base di quanto stabilito dall’art. 6 del decreto legislativo n. 138/2024:

• i soggetti che operano nei settori indicati all’allegato I del D.lgs. 138/2024 e che superano i massimali per le “medie imprese”, ovvero le soglie di 250 dipendenti impiegati e 50 milioni di fatturato o 43 milioni totali di bilancio;
• a prescindere dalle dimensioni, gli enti che rientrano tra i “soggetti critici”;
• i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico, che si considerano “medie imprese”;
• a prescindere dalle dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi di sistema dei nomi di dominio;
• a prescindere dalle dimensioni, le pubbliche amministrazioni centrali.

La definizione dei soggetti “essenziali” è rilevante anche per stabilire il perimetro dei soggetti considerati “importanti”, ovvero quelli che rientrano nell’art. 3 del decreto citato ma che sono fuori dalla definizione di soggetti essenziali.

Sono chiamati al rispetto degli obblighi introdotto all’interno dell’ordinamento italiano i soggetti che sono categorizzati come medie e grandi imprese, secondo la classificazione della Raccomandazione 2003/361/CE. Sono invece generalmente escluse dagli stessi obblighi le micro e le piccole imprese.

Oltre alla distinzione tra soggetti essenziali e importanti il dlgs n. 138/2024 prevede il rafforzamento dell’obbligo di implementazione delle misure di sicurezza in almeno dieci ambiti, attraverso un approccio multi-rischio che preveda misure proporzionali rispetto al sistema informativo e di rete. A tale rafforzamento si aggiunge una più complessa articolazione della notifica degli incidenti.

Cybersecurity: i soggetti interessati dalla scadenza del 28 febbraio 2025

Il coordinamento dell’attuazione della normativa collegata alla Direttiva europea NIS 2 è compito dell’Agenzia per la Cybersicurezza Nazionale, ACN.

L’adeguamento normativo prevede uno specifico calendario ed ha come prima “tappa” la registrazione all’apposito portale dei servizi dell’ACN.

Il primo termine già superato del 2025, fissato al 17 gennaio, interessava un numero ristretto di soggetti, quelli indicati all’articolo 42, comma 1, lettera a) del dlgs n. 138/2024. Dall’obbligo erano interessati i fornitori di cloud computing, data center, servizi gestiti e mercati online.

Il 28 febbraio 2025 è invece fissata una nuova scadenza che interessa tutti gli altri soggetti inclusi nell’ambito di applicazione del decreto.

Il termine è particolarmente rilevante perché la registrazione avrà la funzione di censimento dei soggetti che operano nei settori individuati dalla Direttiva NIS 2 e dlgs n. 138/2024.

Tali soggetti dovranno comunicare diversi dati, tra i quali:

• la ragione sociale;
• l’indirizzo e i recapiti aggiornati;
• la designazione di un punto di contatto indicando il suo ruolo e la qualifica presso il soggetto;
• nel caso in cui sia possibile, la selezione di uno o più settori o sottosettori in cui operano, tra quelli previsti dagli allegati I, II e III;
• qualora possibile, la tipologia di soggetto in cui si identificano, sulla base di quelle indicate negli allegati I, II, III e IV.

L’Agenzia per la Cybersicurezza Nazionale redigerà poi un elenco dei soggetti essenziali e dei soggetti importanti.

Nei mesi successivi verrà prevista l’implementazione degli obblighi, attraverso il monitoraggio e il supporto da parte della stessa ACN.

Dopo la classificazione dell’ACN, e la redazione dell’elenco dei soggetti obbligati, potranno essere inseriti anche nuovi soggetti tramite l’“identificazione governativa”, ovvero l’inserimento nell’elenco attraverso un’azione dell’autorità nazionale competente, su proposta dell’autorità dei settori competenti.

Dopo la scadenza del 28 febbraio sono fissati in calendario diversi altri termini, che saranno ripetuti per ciascun anno successivo a quello di approvazione del decreto legislativo n. 138/2024.