© 2026 soluzioni per aziende e professionisti

Novembre 21, 2025

Il D.Lgs 138/2024

Capo I – Disposizioni generali (artt. 1-8)

  • Art. 1: Oggetto — il decreto ha per oggetto «misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale», in coerenza con la direttiva NIS 2.
  • Art. 2: Definizioni — vengono introdotti termini chiave: sistemi di rete e informativi, incidenti informatici, soggetti “essenziali” e “importanti”, ecc.
  • Art. 3: Ambito di applicazione soggettivo e oggettivo — individua i soggetti pubblici e privati cui si applica il decreto, in particolare quelli operanti nei settori critici o ad alta criticità.
  • Art. 4: Protezione degli interessi nazionali e commerciali — contesto relativo all’infrastruttura critica e agli interessi strategici dello Stato.
  • Art. 5: Giurisdizione e competenza — rimanda alle Autorità designate (vedi più avanti).
  • Art. 6: Individuazione dei soggetti essenziali e importanti — distinguendo tra soggetti che superano certi criteri dimensionali/ricadono in determinati settori.
  • Art. 7-8: Registrazione e comunicazioni sulla piattaforma dell’Agenzia per la cybersicurezza nazionale (ACN) e disposizioni relative all’informazione.

Novità principali rispetto al precedente D.Lgs. 65/2018:

  • L’ampliamento del campo soggettivo (maggiore platea di soggetti pubblici e privati) e oggettivo (più tipologie di servizi).
  • Introduzione esplicita della distinzione “essenziali” vs “importanti”.
  • Richiesta di registrazione/pre-registrazione su piattaforma digitale.

Capo II – Quadro nazionale di sicurezza informatica (artt. 9-17)

  • Art. 9: Strategia nazionale di cybersicurezza — il decreto prevede l’adozione di una strategia nazionale rafforzata.
  • Art. 10-12: Ruolo dell’ACN e delle altre autorità di settore — ACN designata quale “Autorità nazionale competente NIS”, “Punto di contatto unico NIS” e gestore del “Gruppo di intervento nazionale per la sicurezza informatica in caso di incidente”.
  • Art. 13-15: Governance della crisi informatica, gestione delle situazioni di crisi su vasta scala, cooperazione nazionale interna.
  • Art. 16-17: Supporto tecnico, misure per la resilienza, promozione della cultura della cybersicurezza.

Capo III – Cooperazione a livello dell’Unione europea e internazionale (artt. 18-22)

  • Art. 18: Cooperazione con l’UE e Stati membri — obblighi relativi agli scambi informativi, al coordinamento transfrontaliero.
  • Art. 19-20: Ruolo dell’ACN nelle reti europee (CSIRT, ENISA, ecc.).
  • Art. 21-22: Partecipazione alle procedure di crisi dell’UE, rapporti con partner internazionali.

Capo IV – Obblighi in materia di gestione del rischio per la sicurezza informatica e di notifica di incidente (artt. 23-33)

  • Art. 23: Ambito degli obblighi per soggetti essenziali e importanti — definisce che ambito e quali categorie di soggetti sono obbligati.
  • Art. 24: Misure tecniche, operative e organizzative per gestire i rischi informatici — qui sono elencate le misure minime (analisi del rischio, gestione vulnerabilità, controllo accessi, supply chain, uso di crittografia, autenticazione forte, continuità operativa, ecc.).
  • Art. 25: Notifica degli incidenti informatici — tempistiche, modalità, soglia di rilevanza, destinatari (CSIRT/ACN).
  • Art. 26-29: Ulteriori obblighi (ad esempio, attività di monitoraggio, valutazione dei fornitori TIC, certificazione di prodotti/servizi, gestione catena di fornitura).
  • Art. 30: Comunicazione e aggiornamento dei dati sulla piattaforma digitale — obbligo di registrazione del soggetto, aggiornamento periodico delle informazioni.
  • Art. 31: Gradualità e proporzionalità degli obblighi — prevede che ACN definisca tempi, modalità, specificazioni e un piano graduale in base alla dimensione del soggetto e al livello di rischio.
  • Art. 32-33: Disposizioni sulle catene di fornitura TIC, rapporti contrattuali, obblighi nei contratti di service-provider.

Novità significative rispetto al passato:

  • Obblighi più estesi anche in termini di riservatezza, integrità, disponibilità (non solo disponibilità come nella vecchia NIS).
  • Introduzione del requisito della proporzionalità e gradualità (art. 31).
  • Estensione dell’ambito delle notifiche ed esigenze di auditing e formazione.
  • Maggiori obblighi per la catena di fornitura (supply chain) e per i fornitori TIC.

Capo V – Monitoraggio, vigilanza ed esecuzione (artt. 34-39)

  • Art. 34: Poteri dell’ACN di vigilanza, ispezioni, audit, richiesta di documenti.
  • Art. 35: Poteri sanzionatori — previsione di sanzioni amministrative pecuniarie, criteri e limiti.
  • Art. 36-38: Procedure sanzionatorie, misure correttive, sospensione del servizio, pubblicità delle sanzioni.
  • Art. 39: Controlli, cooperazione con altre Autorità, segnalazioni.

Punto importante: il regime sanzionatorio risulta più severo e strutturato rispetto al vecchio D.Lgs. 65/2018, con limiti elevati in caso di violazione da parte di soggetti essenziali/importanti.

Capo VI – Disposizioni finali e transitorie (artt. 40-44)

  • Art. 40: Abrogazione del D.Lgs. 65/2018 e norme transitorie.
  • Art. 41: Entrata in vigore — il D.Lgs. 138/2024 è pubblicato nella Gazzetta Ufficiale il 1° ottobre 2024 e prevede l’entrata in vigore il 16 ottobre 2024.
  • Art. 42: Disposizioni transitorie applicative degli obblighi (registrazione, suffissi di adeguamento) — ad esempio, periodo 1 dicembre 2024-28 febbraio 2025 per registrazione dei soggetti.
  • Art. 43-44: Modifiche a norme correlate, entrata graduale degli obblighi, coordinamento con altre normative.

Transizione: Il decreto definisce tempi differenziati per l’implementazione degli obblighi a seconda che il soggetto sia essenziale o importante, e in funzione delle dimensioni e del rischio. Ad esempio, registrazione entro 28 febbraio 2025.

Allegati

Il decreto contiene quattro allegati (I-IV) che individuano le categorie di soggetti coinvolti: settori ad alta criticità, altri settori critici, pubbliche amministrazioni, altre tipologie.
Questi allegati servono a identificare concretamente i soggetti cui si applica il decreto.

Considerazioni finali

  • Il D.Lgs. 138/2024 rappresenta l’allineamento con il livello europeo della direttiva NIS 2.
  • Le Pubbliche Amministrazioni e le aziende nei settori critici dovranno prestare particolare attenzione.
  • Per la compliance, serve un approccio organico: governance, cultura, tecnologia, contratti con fornitori, registrazione, notifiche.

Tags:

Categories:

NEWS,NORMATIVA
Previous
Next

Comments are closed

Latest Comments

Nessun commento da mostrare.

Latest Posts

© 2026 soluzioni per aziende e professionisti. Created with ❤ using WordPress and Kubio