Il 1° ottobre è stato pubblicato in Gazzetta Ufficiale il D.lgs. n. 138/2024, che recepisce la Direttiva UE 2022/2555 (c.d. NIS 2) relativa a misure per un livello comune elevato di cybersicurezza dell'Unione. Oltre a stabilire una strategia nazionale di cybersicurezza e a indicare i compiti delle diverse autorità pubbliche responsabili della tutela della sicurezza nazionale, il Decreto determina i criteri per l'individuazione dei soggetti cui si applicheranno precisi obblighi di sicurezza informatica. Tra i settori toccati dalla normativa vi sono, tra gli altri, quello sanitario, energetico, telecomunicazioni e servizi digitali, bancario, finanziario e assicurativo. Le imprese coinvolte dovranno prepararsi ad adottare misure volte a garantire resilienza delle infrastrutture, protezione dei dati e riduzione dei rischi. Fondamentale a tal riguardo sarà la definizione di politiche di sicurezza informatica, nonché di piani di risposta agli incidenti e di business continuity e disaster recovery, svolgimento di penetration test e formazione in ambito cybersecurity. Le misure di sicurezza peraltro dovranno essere rispettate anche dai fornitori, così imponendo alle imprese l'estensione di rigorosi controlli sulla supply chain anche in relazione ai rischi IT. Il contributo è stato realizzato per la Newsletter Norme & Tributi del mese di ottobre 2024 di AHK Italien dal Dipartimento Diritto Penale dell’Economia e dell’Impresa di Morri Rossetti. La Newsletter Norme & Tributi di AHK Italien relativa al mese di ottobre 2024 è disponibile qui.