Cybersicurezza: registrazione delle imprese entro il 28 febbraio. Con quali sanzioni in caso di omissioni, 26.02.2025
Entro il 28 febbraio le imprese che rientrano nel campo di applicazione della direttiva NIS 2 devono registrarsi sulla piattaforma disponibile sul sito dell’ACN (Agenzia per la cybersicurezza nazionale). La fase di registrazione è la prima tappa di attuazione delle norme UE sulla cybersicurezza. Secondo la legge le imprese dovranno ora dotarsi di un modello organizzativo ad hoc e per far questo devono adempiere agli obblighi definiti dall’ACN. Serve quindi conoscere decorrenze, scadenze e sanzioni
Nello specifico la direttiva NIS 2 ha ampliato il campo di applicazione a diciotto settori di cui undici altamente critici e sette critici (di nuova introduzione) per oltre ottanta categorie di soggetti.
Il nuovo perimetro comprende i seguenti settori:
Ø sono “altamente critici” energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (B2B)e spazio;
Ø sono settori “critici” i servizi postali e di corriere, gestione di rifiuti, la fabbricazione, produzione e distribuzione di sostanze chimiche, la produzione, trasformazione e distribuzione di alimenti, alcuni soggetti del settore fabbricazione (dispositivi medici, computer, mezzi di trasporto, ecc.), fornitori di servizi digitali, operatori del settore della ricerca.
Oltre ai soggetti indicati, la platea degli enti tenuti alla registrazione comprende anche imprese associate o collegate ad un soggetto essenziale o importante, che sono coinvolti nella fornitura e gestione dei rischi informatici.
Un’impresa, dunque, se rientra nel campo di applicazione della NIS 2, dovrà aggiungere al “modello organizzativo privacy” anche un “modello organizzativo cybersicurezza”, portando a compimento un approccio basato sulla sicurezza (art. 3, c. 11, d.lgs. n. 138/2024).
Per maggiori approfondimenti si rinvia all’articolo allegato.
Buona lettura.