Prossime scadenze Direttiva NIS 2: le sfide da affrontare

Con la scadenza del 28 febbraio 2025, le aziende soggette alla Direttiva NIS 2 hanno dovuto registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), un passaggio fondamentale per adeguarsi alla nuova normativa europea sulla sicurezza informatica. La mancata registrazione comporterà sanzioni amministrative fino allo 0,1% del fatturato, una penalità che sottolinea l’importanza della compliance (per chi ha completato almeno il censimento iniziale, è stato concesso un ulteriore margine di 10 giorni, fino al 10 marzo, per finalizzare la registrazione).

Tuttavia, il percorso di adeguamento non si esaurisce qui. Superata questa fase, l’attenzione dovrà spostarsi su aspetti più complessi: la gestione del rischio, la sicurezza della supply chain, la notifica tempestiva degli incidenti e la creazione di un sistema di governance efficace.

Affrontare queste sfide richiederà alle aziende non solo di implementare misure tecniche, ma anche di sviluppare una visione strategica della cybersecurity. Vediamo nel dettaglio i prossimi step e le difficoltà da superare.

Prossime scadenze della Direttiva NIS 2

Secondo il piano delineato dall’Agenzia per la Cybersicurezza Nazionale (ACN), le organizzazioni coinvolte nel percorso di compliance alla Direttiva NIS 2 dovranno affrontare diverse tappe strategiche nei prossimi mesi. Ecco le date più rilevanti e le implicazioni operative:

• Entro il 31 marzo 2025 (data indicativa): l’ACN notificherà alle imprese l’eventuale inserimento nell’elenco dei soggetti NIS 2, distinguendoli tra essenziali e importanti.
• Aprile 2025:
  • L’ACN formalizzerà l’elenco ufficiale dei soggetti NIS 2 e notificherà la loro inclusione.
  • Verranno definite le modalità per l’adozione degli obblighi di base in materia di sicurezza informatica e notifica degli incidenti.
  • In questa fase, le aziende dovranno iniziare l’implementazione concreta delle misure richieste, con investimenti in nuove tecnologie, formazione del personale e adeguamento dei processi aziendali.
• Maggio 2025: le imprese coinvolte dovranno aggiornare i dati sulla piattaforma ACN per completare il processo di registrazione. Da questo momento in poi, la registrazione verrà riaperta ogni anno tra gennaio e febbraio, con un aggiornamento annuale dell’elenco da parte dell’ACN.
• Gennaio 2026: entrerà in vigore l’obbligo di notifica degli incidenti, secondo le nuove regole stabilite dall’ACN. Questo impone alle aziende di segnalare tempestivamente eventuali violazioni o attacchi informatici alle autorità competenti. Diventerà quindi essenziale dotarsi di piani di risposta agli incidenti efficaci, testandoli periodicamente per garantire una gestione tempestiva e adeguata delle emergenze.

Le prossime sfide da affrontare

La Direttiva NIS 2 pone diverse sfide alle PMI, dalla gestione del rischio alla continuità dei servizi essenziali, dalla notifica degli incidenti alla creazione di un sistema di governance efficace, fino alla sicurezza della catena di fornitura e agli aspetti di cooperazione. Parliamo di una normativa che coinvolge la stragrande maggioranza del tessuto economico-produttivo del nostro Paese, anche quando un’azienda non rientra direttamente tra i soggetti regolamentati, ma è parte della supply chain critica di un’entità obbligata.

Uno degli aspetti più complessi è proprio la mappatura della supply chain strategica e critica, che deve tenere conto delle diverse variabili legate ai singoli fornitori. Le aziende devono adottare un approccio proattivo alla valutazione e mitigazione del rischio, considerando non solo le proprie vulnerabilità interne, ma anche quelle dei partner e fornitori con cui collaborano. La supply chain rappresenta infatti un punto altamente vulnerabile: un attacco a un fornitore può avere ripercussioni devastanti sull’intera organizzazione. Per questo motivo, è fondamentale implementare una strategia di monitoraggio continuo e valutazione periodica dei fornitori, così da individuare tempestivamente eventuali punti critici e garantire un livello di sicurezza adeguato.

Un’altra grande sfida che le organizzazioni devono affrontare in ottica NIS 2 sono i requisiti di segnalazione degli incidenti. Le entità essenziali saranno ora tenute a segnalare gli incidenti entro 24 ore, mentre le entità importanti hanno fino a 72 ore. Ciò pone ulteriore pressione sulle organizzazioni non solo per rispondere rapidamente agli incidenti di sicurezza, ma anche per dotarsi di processi per classificarne l’impatto e segnalare al regolatore entro queste tempistiche.

Ulteriori sfide NIS 2

Oltre agli aspetti già trattati, le aziende dovranno affrontare una serie di sfide operative e strategiche che riguardano:

1. Ruolo attivo degli organi direttivi. La cybersecurity non è più solo una questione tecnica: la direttiva NIS 2 richiede che gli organi di amministrazione siano coinvolti attivamente nella supervisione della gestione del rischio informatico. Questo implica formazione specifica e maggiore consapevolezza a livello dirigenziale.

2. Adeguamento normativo e interoperabilità con altre direttive. Le aziende non devono solo conformarsi alla NIS 2, ma anche armonizzare le proprie strategie con normative correlate come il DORA (per la resilienza operativa nel settore finanziario), il Cyber Resilience Act (che impatta la sicurezza dei prodotti digitali) e l’AI Act, che introduce regolamentazioni specifiche sull’intelligenza artificiale per garantire la sicurezza e la trasparenza dei sistemi automatizzati. Un approccio frammentato potrebbe tradursi in inefficienze e costi aggiuntivi. È fondamentale integrare la valutazione dei rischi considerando l’intersezione tra più regolamenti, sviluppare misure di sicurezza coordinate per evitare duplicazioni, monitorare costantemente le evoluzioni normative e collaborare con esperti del settore per garantire la conformità. La compliance a NIS 2, DORA, CRA e AI Act rappresenta una sfida articolata, ma fondamentale per la resilienza e la sicurezza delle aziende nel mondo digitale.
3. Monitoraggio e aggiornamento continui. La conformità alla direttiva NIS 2 non è un processo statico. Le aziende dovranno monitorare costantemente l’efficacia delle proprie misure di sicurezza, aggiornarle in base alle nuove minacce e vulnerabilità e partecipare a regolari audit di conformità.
4. Complessità dell’onere amministrativo. L’implementazione delle modifiche e l’introduzione di processi per adeguarsi alla NIS 2 e alle altre normative europee richiede tempo ed è soggetta a potenziali errori. Di fatto, la conformità alla direttiva NIS 2 deve integrarsi senza soluzione di continuità con i processi esistenti di gestione del rischio, risposta agli incidenti e continuità operativa. Solo con una gestione efficiente delle risorse disponibili sarà possibile affrontare efficacemente queste sfide.

Conclusione

Per molte aziende questi temi sono sostanzialmente nuovi e una difficoltà sarà certamente trovare le competenze sul mercato per avere il supporto necessario. L’adeguamento alla Direttiva NIS 2 non è solo una questione di conformità, ma un processo complesso che richiede un approccio strategico e un impegno costante. Dalla gestione del rischio alla sicurezza della supply chain, fino alla formazione della dirigenza e all’armonizzazione con le altre normative europee, le sfide da affrontare sono molteplici.

Grazie alla collaborazione con i migliori partner del settore, supportiamo le aziende lungo tutto l’iter di adeguamento alla normativa, offrendo un servizio di consulenza completo. Forniamo affiancamento nell’adozione delle misure di sicurezza tecniche e organizzative, nonché nella predisposizione della documentazione necessaria, nella definizione delle procedure per la gestione del rischio e degli incidenti informatici, nella formazione, e nell’analisi dei fornitori esistenti per assicurare la conformità alla NIS 2.

Siamo al fianco delle organizzazioni per guidarle in ogni fase del processo, assicurando un adeguamento efficace e conforme alla normativa vigente, e garantire una maggiore resilienza alle minacce informatiche.