In data 1° ottobre 2024 è stato pubblicato in Gazzetta Ufficiale il Decreto Legislativo 4 settembre 2024, n. 138 (di seguito «Decreto NIS II»), che entrerà in vigore in data 18 ottobre 2024 e stabilisce:
- La Strategia nazionale di cybersicurezza per garantire un livello elevato di protezione dei sistemi informatici;
- L’integrazione del quadro di gestione delle crisi informatiche;
- La conferma dell’Agenzia per la Cybersicurezza Nazionale (o «ACN») come i) autorità nazionale competente NIS; ii) punto di contatto unico NIS; e iii) gruppo di intervento nazionale per la sicurezza informatica in caso di incidente nazionale (o «CSIRT»).
- La designazione dell’ACN e del Ministero della difesa –ciascuno per i propri ambiti di competenza –quali autorità competenti a gestire le crisi informatiche su larga scala;
- L’individuazione di autorità di settore (con riferimento ai settori inclusi nell’ambito applicativo del Decreto NIS II) competenti che collaborano con l’ACN;
- L’indicazione dei criteri per individuare i soggetti a cui si applica la nuova norma, nonché i relativi obblighi di gestione e notifica;
- L’adozione di misure in materia di cooperazione e condivisione delle informazioni a livello di Unione Europea.