AssoAmbiente

Circolari

2024/337/SAEC-NOT/TO

Facciamo seguito alle precedenti comunicazioni in materia (v. circolare associativa n. 193/2024) per informare che in materia di Cybersicurezza il recepimento della Direttiva (UE) 2022/2555, nota come “Direttiva NIS2”, è ufficialmente avvenuto in Italia con il D.lgs. n. 138/2024, in vigore dal 18 ottobre 2024.

Una delle più importanti novità introdotte dalla Direttiva NIS2 è l’ampio bacino di settori merceologici in perimetro, tra cui rientrano medie e grandi imprese che si occupano della gestione dei rifiuti sopra i 50 dipendenti e più di 10 mln di fatturato oppure più di 10 mln di totale bilancio annuo, escluse quelle per cui la gestione dei rifiuti non è la principale attività economica (v. circolare Assoambiente n. 140/2024).

In generale la Direttiva NIS2 - che ha un impatto su tutte le organizzazioni che forniscono “servizi essenziali o importanti” nell’Unione Europea - rafforza la resilienza informatica introducendo obblighi in quattro ambiti:

  • Gestione del rischio. Le organizzazioni devono adottare misure di gestione del rischio per la sicurezza informatica, per ridurre al minimo la probabilità e l’impatto di diversi vettori di minacce informatiche. Più specificamente, devono implementare precauzioni tecniche, operative e organizzative per mitigare i rischi che incidono sulla rete e sui sistemi informativi, migliorando quindi la protezione dei dati. Questi possono includere procedure di gestione degli incidenti, una maggiore sicurezza della catena di fornitura, sistemi di controllo degli accessi e crittografia;
  • Governance d'impresa. Gli organi di gestione sono responsabili della supervisione e dell'approvazione dei protocolli di gestione dei rischi di sicurezza informatica delle rispettive organizzazioni e devono garantire che siano implementati in modo efficace;
  • Segnalazione di incidenti. Le entità critiche devono stabilire procedure per segnalare tempestivamente gli incidenti di sicurezza che influiscono in modo significativo sulla fornitura dei servizi e/o sugli utenti;
  • Continuità aziendale. La NIS 2 mira a garantire la continuità aziendale dopo un attacco. Le entità sono tenute a creare una strategia che descrivano dettagliatamente la loro risposta e la ripresa da tali incidenti, con l’obiettivo di ridurre rapidamente al minimo le interruzioni.
     

In questa prima fase di entrata in vigore del Decreto 138/2024, è essenziale che le aziende di gestione rifiuti si concentrino su alcuni passaggi fondamentali per organizzarsi al meglio nell’attuazione della normativa:

  1. Pre-valutare l’applicabilità del decreto: ogni impresa dovrebbe approcciare la norma considerando se potrebbe rientrare nel suo ambito di applicazione. Questa operazione richiede un’attenta considerazione del settore economico e della dimensione aziendale;
  2. Registrazione e identificazione: dopo la pre-valutazione, è importante che i soggetti interessati dalla norma completino entro il 28 febbraio 2025 la registrazione e identificazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questo rappresenta il primo passo operativo per adempiere agli obblighi formali e mantenere aggiornati i dati aziendali. La registrazione di un soggetto sulla piattaforma di ACN è successivamente sottoposta ad una fase di analisi;
  3. Pianificazione: infine, un’adeguata pianificazione consentirà alle imprese di affrontare i futuri adempimenti senza ritardi, sfruttando al meglio il tempo disponibile per consolidare una solida strategia di gestione del rischio informatico e iniziare a pianificare l’implementazione delle misure di sicurezza necessarie. In attesa delle indicazioni specifiche e commisurate per i diversi settori economici, è consigliabile adottare un approccio strategico e valutare le opportunità per stabilire un livello minimo dei propri processi di cybersecurity.

Per approfondire i nuovi adempimenti, al seguente link sono disponibili numerose FAQ.

Per la registrazione collegarsi al seguente link.

Alleghiamo il D.lgs. n. 138/2024 e sul punto l’Associazione - considerata la consistente novità per il settore rifiuti - valuterà momenti specifici di approfondimento e confronto in materia.

» 06.12.2024
Documenti allegati

Recenti

13 Giugno 2025
2025/223/SAEC-EUR/PE
Aggiornamento mensile FEAD su UE policy – 27 giugno 2025 ore 11.00
Leggi di +
12 Giugno 2025
2025/222/SA-ARE/TO
Consultazione finale ARERA sul MTR-3 - invio contributi entro l’8 luglio 2025
Leggi di +
12 Giugno 2025
2025/221/SA-ARE/TO
Consultazione finale ARERA su nuovi criteri di articolazione tariffaria agli utenti - invio contributi entro l’8 luglio 2025
Leggi di +
12 Giugno 2025
2025/220/SA-ARE/TO
Consultazione finale ARERA sul unbundling rifiuti - invio contributi entro l’8 luglio 2025
Leggi di +
12 Giugno 2025
2025/219/SAEC-EUR/CS
Consultazione su ecoprogettazione pneumatici
Leggi di +
Assoambiente Comunica
ISCRIVITI ALLA NOSTRA NEWSLETTER
Inserisci la tua email
Iscriviti alla nostra newsletter
per ricevere gli aggiornamenti su AssoAmbiente
e altre utili informazioni
INSERISCI LA TUA EMAIL