AssoAmbiente

Circolari

2024/337/SAEC-NOT/TO

Facciamo seguito alle precedenti comunicazioni in materia (v. circolare associativa n. 193/2024) per informare che in materia di Cybersicurezza il recepimento della Direttiva (UE) 2022/2555, nota come “Direttiva NIS2”, è ufficialmente avvenuto in Italia con il D.lgs. n. 138/2024, in vigore dal 18 ottobre 2024.

Una delle più importanti novità introdotte dalla Direttiva NIS2 è l’ampio bacino di settori merceologici in perimetro, tra cui rientrano medie e grandi imprese che si occupano della gestione dei rifiuti sopra i 50 dipendenti e più di 10 mln di fatturato oppure più di 10 mln di totale bilancio annuo, escluse quelle per cui la gestione dei rifiuti non è la principale attività economica (v. circolare Assoambiente n. 140/2024).

In generale la Direttiva NIS2 - che ha un impatto su tutte le organizzazioni che forniscono “servizi essenziali o importanti” nell’Unione Europea - rafforza la resilienza informatica introducendo obblighi in quattro ambiti:

  • Gestione del rischio. Le organizzazioni devono adottare misure di gestione del rischio per la sicurezza informatica, per ridurre al minimo la probabilità e l’impatto di diversi vettori di minacce informatiche. Più specificamente, devono implementare precauzioni tecniche, operative e organizzative per mitigare i rischi che incidono sulla rete e sui sistemi informativi, migliorando quindi la protezione dei dati. Questi possono includere procedure di gestione degli incidenti, una maggiore sicurezza della catena di fornitura, sistemi di controllo degli accessi e crittografia;
  • Governance d'impresa. Gli organi di gestione sono responsabili della supervisione e dell'approvazione dei protocolli di gestione dei rischi di sicurezza informatica delle rispettive organizzazioni e devono garantire che siano implementati in modo efficace;
  • Segnalazione di incidenti. Le entità critiche devono stabilire procedure per segnalare tempestivamente gli incidenti di sicurezza che influiscono in modo significativo sulla fornitura dei servizi e/o sugli utenti;
  • Continuità aziendale. La NIS 2 mira a garantire la continuità aziendale dopo un attacco. Le entità sono tenute a creare una strategia che descrivano dettagliatamente la loro risposta e la ripresa da tali incidenti, con l’obiettivo di ridurre rapidamente al minimo le interruzioni.
     

In questa prima fase di entrata in vigore del Decreto 138/2024, è essenziale che le aziende di gestione rifiuti si concentrino su alcuni passaggi fondamentali per organizzarsi al meglio nell’attuazione della normativa:

  1. Pre-valutare l’applicabilità del decreto: ogni impresa dovrebbe approcciare la norma considerando se potrebbe rientrare nel suo ambito di applicazione. Questa operazione richiede un’attenta considerazione del settore economico e della dimensione aziendale;
  2. Registrazione e identificazione: dopo la pre-valutazione, è importante che i soggetti interessati dalla norma completino entro il 28 febbraio 2025 la registrazione e identificazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questo rappresenta il primo passo operativo per adempiere agli obblighi formali e mantenere aggiornati i dati aziendali. La registrazione di un soggetto sulla piattaforma di ACN è successivamente sottoposta ad una fase di analisi;
  3. Pianificazione: infine, un’adeguata pianificazione consentirà alle imprese di affrontare i futuri adempimenti senza ritardi, sfruttando al meglio il tempo disponibile per consolidare una solida strategia di gestione del rischio informatico e iniziare a pianificare l’implementazione delle misure di sicurezza necessarie. In attesa delle indicazioni specifiche e commisurate per i diversi settori economici, è consigliabile adottare un approccio strategico e valutare le opportunità per stabilire un livello minimo dei propri processi di cybersecurity.

Per approfondire i nuovi adempimenti, al seguente link sono disponibili numerose FAQ.

Per la registrazione collegarsi al seguente link.

Alleghiamo il D.lgs. n. 138/2024 e sul punto l’Associazione - considerata la consistente novità per il settore rifiuti - valuterà momenti specifici di approfondimento e confronto in materia.

» 06.12.2024
Documenti allegati

Recenti

23 Giugno 2025
2025/233/SA-NOT/TO
Revisione del Regolamento per la gestione del Casellario informatico ANAC.
Leggi di +
20 Giugno 2025
2025/232/SAEC-SUO/PE
REMBOOK 2025 – riaprono iscrizioni per imprese iscritte ALBO cat. 9 e 10
Leggi di +
20 Giugno 2025
2025/231/SAEC-NOT/LE
RENTRi – FIR DIGITALE, nuova versione 1.1.0 APP (ambiente demo)
Leggi di +
18 Giugno 2025
2025/230/SAEC-ALB/LE
ALBO GESTORI: Possibilità integrazione cat. 1 codice EER 20.03.99 (rifiuti da eventi calamitosi)
Leggi di +
18 Giugno 2025
2025/229/SAEC-NOT/LE
MUD - Scadenza rinviata al 30 giugno – Avviso MASE
Leggi di +
Assoambiente Comunica
ISCRIVITI ALLA NOSTRA NEWSLETTER
Inserisci la tua email
Iscriviti alla nostra newsletter
per ricevere gli aggiornamenti su AssoAmbiente
e altre utili informazioni
INSERISCI LA TUA EMAIL