La nostra presenza è caratterizzata da autorevolezza e competenza, alimentata da una profonda passione per la tecnologia e la digitalizzazione aziendale. Ci impegniamo a creare valore per i nostri clienti, guidandoli attraverso l’evoluzione digitale con innovazione e fiducia.

Esplorate il nostro blog per scoprire le ultime tendenze, approfondimenti tecnici e storie di successo che evidenziano il nostro impegno verso un futuro digitale responsabile e sostenibile.

Direttiva NIS2

Direttiva NIS2: tutto ciò che le aziende devono sapere per essere conformi entro il 2025

La cybersecurity è ormai un fattore determinante per la resilienza operativa e la competitività di ogni organizzazione. In questo scenario si inserisce la Direttiva NIS2, una delle normative europee più rilevanti per la protezione dei sistemi informativi e delle infrastrutture critiche. Recepite anche in Italia, le nuove disposizioni hanno implicazioni dirette su molte imprese, ben oltre i confini del settore ICT. In questo articolo offriamo un’analisi approfondita della direttiva, delle sue scadenze chiave e delle opportunità (non scontate) di esenzione.

Che cos’è la Direttiva NIS2

La Direttiva NIS2 (Direttiva UE 2022/2555) rappresenta l’evoluzione della precedente NIS (Network and Information Security), entrata in vigore nel 2016. Il nuovo quadro normativo europeo ha l’obiettivo di rafforzare in modo significativo la sicurezza informatica delle infrastrutture essenziali, dei servizi critici e delle catene di approvvigionamento digitali, introducendo criteri più rigorosi e un ampliamento significativo dei soggetti coinvolti.

Rispetto alla prima direttiva, la NIS2:

  • aumenta il numero di settori soggetti agli obblighi di compliance;

  • introduce una classificazione tra soggetti “essenziali” e “importanti”;

  • estende le responsabilità anche a livello di governance aziendale;

  • stabilisce un nuovo regime sanzionatorio, più severo e simile a quello del GDPR;

  • definisce tempistiche più stringenti per la segnalazione di incidenti.

Recepimento in Italia e scadenze

In Italia, la NIS2 è stata recepita con il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 16 ottobre 2024. Contestualmente, il DPCM 221/2024 ha introdotto un meccanismo di esenzione soggettiva in determinati casi.

Le scadenze operative sono diverse:

  • Registrazione sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale): dal 1° dicembre 2024 al 28 febbraio 2025;

  • Aggiornamento annuale delle informazioni: inizialmente previsto per il 31 maggio 2025, il termine è stato prorogato al 31 luglio 2025;

  • Classificazione ufficiale dei soggetti essenziali e importanti: da completare entro aprile 2025.

 

A chi si applica la NIS2

La platea delle imprese interessate dalla NIS2 è molto più ampia rispetto al passato. Non si parla più solo di operatori dei servizi essenziali o fornitori digitali, ma anche di aziende attive in settori come:

  • Energia, trasporti, sanità, servizi finanziari;

  • Acque, rifiuti, alimentare, manifatturiero, chimico;

  • Fornitori ICT, servizi cloud, data center;

  • Pubblica amministrazione centrale e locale.

Le imprese sono classificate in due categorie:

  • Essenziali: soggetti strategici, con obblighi più severi e controlli più frequenti;

  • Importanti: soggetti rilevanti, con obblighi analoghi ma controlli a campione.

Il criterio di inclusione principale è dimensionale (almeno 50 dipendenti e 10 milioni di euro di fatturato), ma anche la rilevanza dell’attività per la collettività è un fattore determinante.

Obblighi previsti dalla normativa

Le imprese soggette alla Direttiva NIS2 devono adottare una serie di misure tecniche, organizzative e procedurali, tra cui:

  • Gestione del rischio cyber: implementazione di sistemi di sicurezza adeguati alla natura dei servizi erogati;

  • Notifica degli incidenti: obbligo di segnalazione preliminare entro 24 ore, notifica dettagliata entro 72 ore e report finale entro un mese;

  • Governance della sicurezza: coinvolgimento diretto degli organi amministrativi, che possono essere ritenuti responsabili in caso di negligenza;

  • Valutazione dei fornitori e contratti IT: verifica e notifica degli accordi che prevedono scambio di informazioni sensibili in materia di sicurezza informatica;

  • Aggiornamento dei dati presso ACN: obbligo annuale di comunicare eventuali modifiche relative alla struttura aziendale, alla governance e agli accordi strategici.

Le sanzioni sono rilevanti: fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, fino a 7 milioni o l’1,7% per quelli importanti.

Informazioni da comunicare all’ACN

La comunicazione annuale alla piattaforma dell’Agenzia per la Cybersicurezza Nazionale è un passaggio centrale nella conformità NIS2. Tra le informazioni richieste:

  • Dati anagrafici e fiscali dell’impresa;

  • Contatti di riferimento per la sicurezza (referente NIS, responsabile legale, eventuali delegati);

  • IP pubblici e domini registrati;

  • Elenco dei Paesi UE in cui l’organizzazione opera;

  • Informazioni su membri del consiglio di amministrazione o altri organi societari;

  • Contratti stipulati con soggetti terzi per la condivisione di informazioni relative alla sicurezza (SOC, MDR, CERT, ecc.).

Questi ultimi, noti come Information Sharing Agreements, devono essere notificati se stipulati a partire dal 16 ottobre 2024 e contenere esplicitamente clausole di condivisione delle informazioni sui rischi o incidenti cyber.

La possibilità di esenzione soggettiva

Una novità importante del quadro normativo italiano è la possibilità di richiedere l’esenzione soggettiva, disciplinata dal DPCM 221/2024. È applicabile alle aziende formalmente controllate da un soggetto già obbligato, ma che dimostrino:

  1. Indipendenza operativa: assenza di interconnessioni nei sistemi informativi;

  2. Autonomia decisionale: gestione autonoma dei processi critici e dei servizi digitali.

La richiesta va presentata attraverso la piattaforma ACN, con autocertificazione dettagliata e allegati che documentino la separazione operativa. È importante sottolineare che l’esenzione non è automatica e viene concessa solo in presenza di una verifica positiva da parte dell’autorità.

Di quale supporto hanno bisogno le aziende?

In un contesto normativo in evoluzione, dove la conformità alla Direttiva NIS2 non è più un’opzione ma un obbligo, le imprese devono dotarsi di strumenti, competenze e processi adeguati, lungo tutto il percorso di compliance:

  • Mappatura dei rischi informatici e dei sistemi coinvolti;

  • Analisi dei gap rispetto ai requisiti NIS2;

  • Supporto nella raccolta e gestione delle informazioni da comunicare all’ACN;

  • Revisione e adeguamento dei contratti con fornitori ICT;

  • Affiancamento nella redazione e presentazione dell’istanza di esenzione soggettiva.

Siamo convinti che affrontare tempestivamente la transizione verso la conformità normativa non solo eviti sanzioni, ma rappresenti un’opportunità per rafforzare la governance digitale e la fiducia di clienti e stakeholder.

Condividi questo post: