E' stato pubblicato il Recepimento Direttiva (UE) 2022/2555, detta NIS 2 (D. Lgs. 4 settembre 2024, n. 138): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:decreto.legislativo:2024-09-04;138.
Innanzi tutto, le scadenze. Per questo faccio riferimento a chi ha sicuramente studiato meglio di me e rimando all'articolo "Recepimento della Direttiva NIS 2: niente panico": https://www.cybersecitalia.it/recepimento-della-direttiva-nis-2-niente-panico/39245/.
Io avevo riassunto molto di più così:
- Entro il 17 gennaio 2025 bisogna valutare se si è soggetto essenziale o importante e registrarsi sulla piattaforma ACN. Entro il 15 aprile, ACN dirà se si è dentro;
- entro il 17 ottobre 2025, bisogna adeguarsi all’articolo 25 (notifica incidenti, e quindi il processo andrà stabilito;
- entro il 1 gennaio 2026, bisogna essere adeguati all’art. 30 (aggiornare l’elenco di attività, servizi e tutto quanto sulla piattaforma di ACN);
- entro giugno 2026, più o meno, bisogna adeguarsi agli articoli 23, 24 (gestione dei rischi) e 29 (banca dati nomi a dominio).
L'articolo di Mele e Bavetta aggiungono 3 mesi ai tempi di adeguamento all'articolo 25 e poi agli articoli 23, 24 e 29. Un giorno capirò dove sbaglio.
Detto questo, mi dilungo su alcuni punti del D. Lgs. tenendo conto di 2 cose:
1- forse sbaglio e quindi prego i lettori di segnalarmi gli errori;
2- mi concentrerò sugli adempimenti per le "organizzazioni", prevalentemente quindi le aziende.
Per comodità, ho riportato tutto su un documento pubblicato qui: https://www.cesaregallotti.it/Pdf/Pubblicazioni/2024-NIS-2-Appunti-Cesare-ENG.pdf.