News

Direttiva NIS2: i nuovi obblighi per la sicurezza informatica delle aziende

Direttiva NIS2: tutte le novità del 2025

Cos’è la Direttiva NIS2 e quali sono i suoi obiettivi

La Direttiva NIS2 (Network and Information Security 2) è la normativa europea che rafforza la sicurezza informatica degli Stati membri, imponendo nuovi obblighi a imprese e pubbliche amministrazioni per migliorare la resilienza ai cyber attacchi. Entrata in vigore il 16 gennaio 2023, ha sostituito la precedente Direttiva NIS, ampliando il numero di settori coinvolti e introducendo requisiti più stringenti.

L’Italia ha recepito la NIS2 con il Decreto Legislativo n. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, stabilendo nuove regole per la gestione del rischio cyber e la segnalazione degli incidenti informatici. Le aziende che rientrano nei parametri stabiliti dal decreto devono iscriversi al portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025.

In questo articolo verrà approfondito chi sono i soggetti interessati, quali misure devono adottare, quali sono le scadenze e le sanzioni previste per chi non si adegua.

Quali aziende sono soggette alla NIS2?

Il Decreto Legislativo n. 138/2024 si applica a soggetti pubblici e privati elencati negli Allegati I, II, III e IV, sotto la giurisdizione nazionale.

  • Allegato I: settori altamente critici
  • Allegato II: altri settori critici
  • Allegato III: pubbliche amministrazioni coinvolte
  • Allegato IV: soggetti individuati tramite identificazione governativa

La maggior parte dei soggetti pubblici e privati è inclusa nell’ambito di applicazione in base a due criteri stabiliti dal decreto: dimensione e tipologia di soggetto. Tuttavia, un numero limitato di ulteriori soggetti può essere aggiunto a seguito dell’identificazione da parte dell’Autorità nazionale competente NIS, su proposta delle Autorità di settore competenti.

A seconda del livello di criticità del settore e della tipologia di soggetti in relazione al rischio informatico, questi ultimi vengono classificati in:

  1. entità essenziali: includono aziende e organizzazioni che operano in settori cruciali per il funzionamento della società e dell’economia, come energia (fornitura di elettricità, gas e petrolio), trasporti (aerei, ferroviari, marittimi e su strada), sanità (ospedali e fornitori di servizi digitali), acqua potabile e acque reflue, amministrazioni pubbliche, infrastrutture digitali (data center, cloud) e servizi finanziari (banche e sistemi di pagamento). Queste sono soggette agli obblighi più rigorosi.
  2. entità importanti: comprendono settori con un impatto rilevante ma meno critico, come i servizi postali e di corriere, industrie alimentari, prodotti chimici, fornitori di servizi di gestione rifiuti, produttori di apparecchiature mediche, gestione dei rifiuti e fornitori di servizi digitali come piattaforme di social media e motori di ricerca.

Nei settori indicati dalla norma, le grandi e medie imprese sono classificate come essenziali o importanti. Le piccole e micro imprese, invece, ne sono generalmente escluse, salvo specifica individuazione da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Sono considerate medio-grandi le imprese che superano almeno uno dei seguenti massimali:
- 50 dipendenti;
- fatturato annuo di 10 milioni di euro;
- totale di bilancio annuo di 10 milioni di euro.

Quali sono gli obblighi per le aziende?

Le aziende soggette alla Direttiva NIS2 devono adottare misure tecniche, organizzative e operative per ridurre il rischio di incidenti informatici. Di seguito sono elencati gli obblighi principali stabiliti dalla normativa.

1. Governance e responsabilità del management

Nella maggior parte dei casi, gli incidenti si verificano a causa di misure di sicurezza inadeguate, che a loro volta sono dovute ad una scarsa percezione del management verso la pericolosità dei rischi informatici. 

Ecco perchè la Direttiva NIS2 attribuisce al management aziendale (ad esempio, il consiglio di amministrazione) responsabilità dirette nella gestione del rischio cyber. Deve approvare e supervisionare le misure di sicurezza, garantire la conformità normativa e seguire una formazione obbligatoria sulla cybersecurity.

2. Adozione di misure di gestione del rischio

Le aziende devono implementare misure tecniche e organizzative per mitigare i rischi cyber, tra cui:

  • sistemi di gestione degli accessi e autenticazione multi-fattore
  • procedure di backup e disaster recovery
  • monitoraggio continuo delle reti e degli asset critici
  • formazione e sensibilizzazione del personale sulla sicurezza informatica 

3. Obbligo di segnalazione degli incidenti

Le aziende devono notificare entro 24 ore agli organismi competenti (ACN - Agenzia per la Cybersicurezza Nazionale e CSIRT - Computer Security Incident Response Team) eventuali incidenti di sicurezza significativi, e fornire un rapporto dettagliato entro 72 ore.

Un incidente è considerato significativo se causa (o è in grado di causare) gravi disservizi, perdite finanziarie o impatta su altre organizzazioni.

4. Business Continuity

Per Business Continuity si intende la capacità di un’organizzazione di continuare ad erogare i propri servizi anche dopo un incidente, come un attacco cyber, una calamità naturale o un guasto tecnico.

A tal fine, è necessario predisporre un Business Continuity Plan (BCP) per garantire l’operatività aziendale anche in tali situazioni.

5. Gestione della supply chain

La Direttiva NIS2 impone la gestione del rischio lungo tutta la supply chain. Occorre quindi monitorare i fornitori ICT e definire obblighi di sicurezza nei contratti per prevenire attacchi alla supply chain.

NIS2: le scadenze per adeguarsi

Entro il 28 febbraio 2025: tutte le aziende soggette alla Direttiva NIS2 devono completare la registrazione obbligatoria sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) per dichiarare la propria presenza e avviare il percorso di conformità.

Dal 1° gennaio 2026: entrano in vigore gli obblighi di segnalazione degli incidenti di sicurezza informatica per i soggetti identificati.

Entro il 1° ottobre 2026: le aziende devono implementare tutte le misure di sicurezza e di governance previste dalla normativa.

Registrazione presso ACN: implicazioni per le aziende e sanzioni

La registrazione sul portale dell’Agenzia per la Cybersicurezza Nazionale comporta:

1. comunicazione dei dati all'Agenzia, quali:

  • ragione sociale e dati identificativi
  • settore di appartenenza (Allegato I o II del D. Lgs. 138/2024)
  • informazioni su infrastrutture critiche e sistemi IT
  • nominativo del referente per la cybersecurity (CISO o responsabile IT)

2. adempimenti tecnici e di sicurezza

  • implementazione di misure minime di cybersecurity
  • adesione agli standard di sicurezza indicati dall'ACN
  • obbligo di predisporre un Piano di gestione degli incidenti cyber

3. obbligo di notifica degli incidenti

  • segnalazione entro 24 ore in caso di incidenti significativi
  • relazione dettagliata entro 72 ore con impatto e misure adottate
  • rapporto finale entro 30 giorni

4. monitoraggio e audit periodici

  • l’ACN può richiedere audit di conformità
  • possibili verifiche e ispezioni per assicurare il rispetto della normativa

5. obbligo di cooperazione

  • segnalazione entro 24 ore in caso di incidenti significativi
  • relazione dettagliata entro 72 ore con impatto e misure adottate
  • rapporto finale entro 30 giorni

 Le aziende soggette alla registrazione che non adempiono a questo obbligo possono essere sanzionate con:

  • multe fino a 10 milioni di euro o il 2% del fatturato globale annuo;
  • sospensione delle attività o limitazioni operative in caso di gravi violazioni.

Cosa possiamo fare per te?

 In sostanza, se la tua azienda opera nei settori critici sopra menzionati e risponde ai criteri di dimensione o impatto, è tenuta a rispettare gli adempimenti richiesti dalla Direttiva NIS2, adottando misure di sicurezza avanzate e garantendo la resilienza delle infrastrutture informatiche.

Inoltre, se fai parte della rete di fornitura di una o più aziende interessate dalla NIS2, è possibile che la richiesta di adeguamento a più stringenti standard di sicurezza informatica ti venga avanzata dalle stesse aziende clienti. 

AP Consulting dispone di un Team strutturato che offre consulenza e supporto alle aziende per assicurare piena compliance alla Direttiva NIS2

Vuoi ricevere una consulenza personalizzata e scoprire quali azioni devi intraprendere per adeguarti alla NIS2?

 

AZIENDA
I NOSTRI SERVIZI
DOWNLOAD BROCHURE

Scarica la nostra brochure aziendale

brochure

RICHIESTA INFORMAZIONI

Vuoi maggiori informazioni sulla nostra azienda e i nostri servizi? Scrivici o richiedi un preventivo personalizzato: troveremo la soluzione adatta alla tua azienda!

contattaci subito!