Con il D.lgs. 4 settembre 2024, n. 138 è stata recepita la direttiva europea 2022/2555 (c.d. direttiva NIS 2) relativa a misure per un livello comune elevato di cibersicurezza nell’Unione.
Il Dlgs 138/2024, in vigore dal 16 ottobre 2024, prevede obblighi di cibersicurezza anche per le imprese dei settori energia, acque e rifiuti; è composto da sei capi suddivisi in 44 articoli e quattro allegati:
- Capo I – Disposizioni generali
- Capo II – Quadro nazionale di sicurezza informatica
- Capo III – Cooperazione a livello dell’Unione europea e internazionale
- Capo IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente
- Capo V – Monitoraggio, vigilanza ed esecuzione
- Capo VI – Disposizioni finali e transitorie
- ALLEGATO I – Settori ad altra criticità
- ALLEGATO II – Altri settori critici
- ALLEGATO III – Amministrazioni centrali, regionali, locali e di altro tipo
- ALLEGATO IV – Ulteriori tipologie di soggetti
Sono obbligati a rispettare le norme i soggetti, pubblici e privati (di cui agli allegati I, II, III e IV), che operano in settori ritenuti strategici, tra cui:
- i fornitori e distributori di acque destinate al consumo umano,
- le imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali,
- le imprese che si occupano della gestione dei rifiuti.
Sono escluse le piccole imprese, salvo che operino in settori chiave per la società come definiti dal decreto.
I soggetti obbligati, a partire dal 2025 e poi ogni anno, tra il 1° gennaio e il 28 febbraio devono iscriversi alla piattaforma, o aggiornare la propria registrazione, predisposta dall’Autorità per la cibersicurezza, la quale entro il 31 marzo 2025 risponderà ai soggetti – inseriti come essenziali o importanti – in merito alla conformità.
Tra le misure, sono previsti corsi di formazione obbligatori per il personale: in particolare, gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono tenuti a seguire una formazione in materia di sicurezza informatica, nonché a promuovere l’offerta periodica di una formazione coerente ai loro dipendenti per favorire l’acquisizione di conoscenze e competenze sufficienti in tema di sicurezza informatica.
Inoltre, è previsto l’obbligo di comunicare tempestivamente, senza indebito ritardo, all’Autorità competente eventuali incidenti (attacchi hacker) che abbiano un impatto significativo sulla fornitura dei loro servizi.
Il decreto prevede anche sanzioni pecuniarie amministrative per determinate violazioni, tra cui la mancata iscrizione alla piattaforma e degli obblighi di gestione del rischio.
Il decreto abroga il D.lgs. n. 65/2018 di recepimento della prima direttiva NIS, di cui la direttiva NIS 2 dispone l’abrogazione a decorrere dal
18 ottobre 2024 e di alcune disposizioni del D.lgs. n. 259/2003 recante “Codice delle comunicazioni elettroniche” prevedendo una fase transitoria fino all’emanazione dei provvedimenti attuativi del decreto.
Decreto Legislativo 4 settembre 2024, n. 138
Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.