Il Decreto Legislativo 4 settembre 2024, n. 138 e il testo che ha recepito la Direttiva NIS2 nell'ordinamento italiano. Pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024, il decreto si compone di 44 articoli e 4 allegati che definiscono il perimetro, gli obblighi e le sanzioni per i soggetti NIS2 in Italia.
Conoscere il decreto e fondamentale per chi deve adeguarsi. Non basta leggere la direttiva europea — il recepimento italiano ha introdotto specificita nazionali importanti, a partire dal ruolo centrale dell'ACN e dalle procedure di registrazione.
Struttura del decreto
| Capo | Articoli | Contenuto |
|---|---|---|
| I | 1-7 | Disposizioni generali: oggetto, definizioni, ambito applicazione |
| II | 8-15 | Quadro nazionale: ACN, CSIRT, strategia, cooperazione |
| III | 16-18 | Cooperazione UE e transfrontaliera |
| IV | 19-25 | Obblighi di gestione rischio e notifica incidenti |
| V | 26-33 | Giurisdizione e registrazione |
| VI | 34-37 | Vigilanza e sanzioni |
| VII | 38-44 | Disposizioni finali e transitorie |
Gli articoli chiave
Art. 3 — definisce i soggetti essenziali e importanti. Art. 21 — elenca le misure di gestione del rischio. Art. 23 — stabilisce la responsabilita degli organi direttivi. Art. 25 — disciplina la notifica degli incidenti. Art. 27 — regola la registrazione sulla piattaforma ACN. Art. 35 — fissa le sanzioni amministrative. Questi sei articoli sono il cuore operativo del decreto.
Le specificita italiane
Il recepimento italiano ha introdotto alcune particolarita rispetto alla direttiva UE:
- Centralizzazione nell'ACN — un'unica autorita competente (alcuni paesi UE ne hanno diverse)
- Piattaforma di registrazione — sistema telematico specifico per la registrazione dei soggetti
- Punto di contatto — obbligo di designare un referente con l'ACN
- Coordinamento con il Perimetro Cibernetico — integrazione con la normativa PSNC preesistente
- Gradualita dell'applicazione — periodo transitorio con approccio progressivo
Allegati: i settori nel dettaglio
I 4 allegati del decreto dettagliano i settori. L'Allegato I elenca i settori ad alta criticita (soggetti essenziali): energia, trasporti, bancario, sanita, acqua, infrastrutture digitali, PA, spazio. L'Allegato II elenca gli altri settori critici (soggetti importanti): postale, rifiuti, chimico, alimentare, manifatturiero, servizi digitali, ricerca. Gli Allegati III e IV dettagliano le categorie specifiche di soggetti.