Direttiva NIS2 in Italia con il D.lgs. 138/2024

Dal 18 ottobre 2024 è pienamente applicabile il D.lgs 138/2024 di recepimento della Direttiva NIS2, finalizzata a stabilire misure per un livello comune ed elevato di cibersicurezza nell'Unione. 

La norma ha coinvolto numerosi soggetti, qualificati come essenziali o importanti ("Soggetto/i NIS"). 

Il primo adempimento in capo ai Soggetti NIS è la registrazione sulla piattaforma dell'Agenzia per la cybersicurezza Nazionale (ACN), da effettuarsi entro il 28 febbraio 2025, fatta eccezione per determinati Soggetti NIS che si dovevano iscrivere entro il 17 gennaio, come, tra gli altri, i fornitori di mercati online e i fornitori di servizi di cloud computing.

Ogni Soggetto NIS è tenuto a designare un solo punto di contatto che avrà il compito di curare l'attuazione degli adempimenti previsti dalla norma. Tra cui:

• registrare il Soggetto NIS alla piattaforma dell'ACN; e
• interloquire con l'ACN per conto del Soggetto NIS. 

Chi può essere designato come punto di contatto del Soggetto NIS?

• Il legale rappresentante; 
• Un procuratore generale; 
• Un dipendente delegato dal legale rappresentante. 

E se il Soggetto NIS fa parte di un gruppo? 

In tal caso, le funzioni di punto di contatto possono essere svolte da un dipendente di una delle società del gruppo che ricada nell'ambito di applicazione della norma.  

Il dipendente dovrà essere delegato dal legale rappresentante del Soggetto NIS.

Sebbene il punto di contatto non abbia responsabilità dirette in materia di cybersicurezza, rimangono comunque le responsabilità personali in capo agli organi di amministrazione e direttivi del Soggetto NIS.  

Pare quindi opportuno nominare un punto di contatto dotato di adeguate competenze nel settore IT e Cybersecurity.

Quali sono le implicazioni della NIS2 per le organizzazioni? Riguarda il webinar che Osborne Clarke Italy ha organizzato in partnership con CompTIA sulla gestione della compliance qui.