Dal 16 ottobre 2024 è in vigore il Decreto Legislativo n.138/24 che recepisce la Direttiva UE 2022/2555 (NIS) che stabilisce una serie di disposizioni in materia di prevenzione e sicurezza informatica, alle quali devono conformarsi le aziende operanti in settori critici o ritenuti strategici in base alla natura delle loro attività. Le imprese operanti nei settori critici sono indicate negli allegati I (settori altamente critici) e II (settori critici) del decreto.
In particolare, l’Allegato II, al punto 2 include le aziende che si occupano della “gestione dei rifiuti” ovvero “le imprese che si occupano della gestione dei rifiuti quali definite all’articolo 3, punto 9), della direttiva 2008/98/C del Parlamento europeo e del Consiglio, escluse quelle per cui la gestione dei rifiuti non è la principale attività economica”
Secondo quanto disposto dall’Articolo 7, le aziende che operano nei settori critici dovranno registrarsi sul sito dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025.
Entro maggio 2025, l’ACN notificherà ai soggetti registrati se sono considerati come critici, determinando così l’obbligo di adempiere alle disposizioni previste dal decreto e riportate al Capo IV dello stesso. I termini per l’adempimento degli obblighi variano da nove mesi (articolo 25) a diciotto mesi (articoli 23 e 24) a partire dalla data di ricezione della notifica.
Il testo del decreto è disponibile sul sito della Gazzetta Ufficiale.