Skip to content
Bandiere dell'Unione Europea che rappresentano la Direttiva NIS2 pubblicata in Italia

NIS2: l’Italia pubblica il decreto in Gazzetta Ufficiale

Dopo mesi di attesa, è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto Legislativo 138/2024 che recepisce la Direttiva NIS2 in Italia. Le disposizioni entreranno ufficialmente in vigore il 16 ottobre 2024, ma le aziende avranno il tempo necessario per potersi adeguare. In questo articolo esaminiamo le principali novità del decreto, le tempistiche e i passaggi da seguire, i soggetti coinvolti e gli step fondamentali per ottenere la compliance.

Direttiva NIS2: a chi si applica e chi sono i soggetti interessati?

La Direttiva NIS2 a chi si applica? Questa normativa coinvolge una vasta gamma di settori, suddivisi tra “essenziali” e “critici,” ciascuno con specifici obblighi di sicurezza. Di seguito, i settori coinvolti:

Settori Essenziali (obbligo di adeguamento per tutte le aziende, indipendentemente dalle dimensioni)

  • Energia: produzione, distribuzione e fornitura di elettricità, gas e petrolio.
  • Trasporti: settore ferroviario, aereo, marittimo e stradale.
  • Banche e infrastrutture finanziarie: istituzioni bancarie e infrastrutture di mercato finanziario.
  • Sanità: ospedali, cliniche e fornitori di servizi sanitari.
  • Acqua potabile e gestione delle acque reflue: distribuzione e trattamento delle acque.
  • Infrastrutture digitali: servizi di cloud computing, data center e reti di distribuzione di contenuti (CDN).
  • Pubblica amministrazione centrale: ministeri, agenzie nazionali e altre istituzioni centrali.

Settori Critici (obbligo di adeguamento per medie e grandi imprese)

  • Servizi postali e di corrieri
  • Gestione dei rifiuti
  • Produzione e distribuzione alimentare
  • Pubblica amministrazione locale
  • Servizi digitali
  • Settori manifatturieri essenziali per l’economia e la sicurezza: includono aziende manifatturiere la cui produzione è fondamentale per la stabilità economica o la sicurezza nazionale, come la produzione di macchinari, tecnologie avanzate, semiconduttori, prodotti farmaceutici e materiali per infrastrutture critiche.

Le micro e piccole imprese (con meno di 50 dipendenti e un fatturato annuo inferiore a 10 milioni di euro) sono esentate, salvo che operino come fornitori per le aziende dei settori regolamentati.


Fornitori e catena di approvvigionamento

La direttiva NIS2 si applica anche ai fornitori e subappaltatori delle aziende critiche ed essenziali, richiedendo che rispettino gli stessi standard di sicurezza. Ciò significa che le imprese che forniscono beni o servizi alle aziende soggette alla NIS 2 dovranno verificare il proprio livello di conformità. L’obiettivo è garantire che l’intera catena di approvvigionamento sia protetta da potenziali vulnerabilità, evitando che i fornitori diventino punti di accesso per gli attacchi informatici.

Tempistiche e passaggi per l’adeguamento alla NIS 2

Per conformarsi alla direttiva NIS2, le aziende e le pubbliche amministrazioni devono seguire queste tappe principali:

  • Entro il 31 dicembre 2024: Le aziende devono completare un’autovalutazione interna per verificare se rientrano tra i soggetti obbligati. Questo passaggio richiede un’analisi delle proprie attività e del settore in cui operano per comprendere l’impatto della normativa sulla loro struttura. Dal 18 ottobre la piattaforma online di auto-registrazione realizzata dall’ACN sarà attiva, in questo modo le aziende potranno visitarla, prenderci confidenza e raccogliere le informazioni necessarie per prepararsi alla registrazione formale.
  • 1 gennaio – 28 febbraio 2025: Le aziende identificate come soggette alla NIS2 devono registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Questa registrazione comporta la trasmissione di informazioni dettagliate sull’organizzazione e sulla propria infrastruttura digitale.
  • 17 gennaio 2025: Entro questa data, i fornitori di servizi digitali specifici (come cloud e infrastrutture digitali rilevanti) sono tenuti a completare la registrazione obbligatoria, garantendo così la conformità ai requisiti minimi di sicurezza previsti dalla NIS 2.
  • 31 marzo 2025: L’ACN redigerà l’elenco ufficiale dei soggetti considerati “essenziali” e “importanti” ai sensi della direttiva. Questo elenco rappresenta un passo chiave, in quanto stabilisce chi dovrà rispettare formalmente gli obblighi previsti dalla normativa.
  • 1 – 15 aprile 2025: L’ACN invierà una notifica formale a tutte le aziende incluse nell’elenco, confermando loro l’obbligo di adeguamento alla NIS2. Questo passaggio serve per informare ufficialmente i soggetti coinvolti e avviare il processo di compliance.
  • 15 aprile – 31 maggio 2025: Le aziende notificate avranno tempo per fornire all’ACN eventuali informazioni aggiuntive richieste, come dettagli sulle misure di sicurezza già implementate e sui processi di gestione del rischio in corso.
  • 1 gennaio 2026: Questa è la data di piena operatività della normativa, a partire dalla quale le aziende dovranno essere in grado di rispettare gli obblighi della NIS2, inclusa la notifica degli incidenti di sicurezza informatica e l’applicazione di adeguate misure di protezione.

Rinforzati gli obblighi di notifica degli incidenti

Con la NIS 2, gli obblighi di notifica degli incidenti diventano più rigorosi. Le aziende sono tenute a segnalare tempestivamente qualsiasi incidente significativo che possa avere un impatto sui servizi erogati o sulla sicurezza dei dati. L’obbligo di notifica non si limita più a segnalare solo incidenti gravi, ma include anche eventi minori che potrebbero comunque rappresentare una minaccia. Questo obbligo mira a creare una risposta coordinata e proattiva agli attacchi informatici, contribuendo alla prevenzione di danni maggiori.

Le tempistiche del processo di notifica

La direttiva NIS 2 stabilisce un processo di notifica a più fasi con tempistiche precise:

  • Prenotifica: entro le prime 24 ore dall’individuazione di un incidente, l’azienda deve inviare una prenotifica iniziale alle autorità competenti, indicando che si è verificato un problema e fornendo una stima preliminare della situazione.
  • Notifica completa: entro 72 ore, è necessaria una notifica dettagliata con informazioni più precise sull’incidente, le cause principali e le prime misure adottate per contenerlo.
  • Relazione intermedia: se l’incidente persiste, l’azienda deve fornire una relazione intermedia entro un mese, aggiornando sulle attività di mitigazione e sugli effetti residui.
  • Relazione finale: una volta risolta la situazione, è richiesta una relazione finale con un’analisi completa dell’incidente e delle lezioni apprese, contribuendo a migliorare la risposta futura.

Obbligo di notifica esteso ai destinatari dei servizi delle aziende colpite

Un’importante novità introdotta dalla NIS2 è l’obbligo di informare non solo le autorità, ma anche i destinatari dei servizi erogati dall’azienda colpita, qualora l’incidente possa avere un impatto diretto su di loro. Questo obbligo riguarda, per esempio, clienti o partner le cui operazioni potrebbero essere influenzate dall’incidente. In questo modo, si permette agli utenti finali di adottare a loro volta misure di precauzione per limitare le conseguenze di un attacco e garantire una maggiore trasparenza e responsabilità nel settore.

Il ruolo del management

La direttiva NIS2 sottolinea il ruolo cruciale del management aziendale nella sicurezza informatica. Dirigenti e membri del consiglio di amministrazione sono direttamente responsabili dell’adozione delle misure necessarie per proteggere l’azienda dalle minacce cyber. Devono garantire che siano implementate policy di sicurezza adeguate e che il personale sia formato sui rischi informatici. In caso di violazioni gravi, i dirigenti potrebbero essere ritenuti personalmente responsabili, aumentando così la pressione sulle figure di vertice affinché adottino un approccio proattivo e vigilante sulla cybersecurity.

Le sanzioni in caso di inosservanza degli obblighi della direttiva NIS 2

Le sanzioni previste per il mancato rispetto degli obblighi della NIS2 sono piuttosto severe, al fine di incentivare l’adozione delle misure necessarie. Per i soggetti considerati essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’azienda, a seconda di quale cifra sia maggiore. Per i soggetti classificati come importanti, le sanzioni possono raggiungere i 7 milioni di euro o l’1,4% del fatturato globale. Questi importi sottolineano la serietà con cui la normativa intende promuovere la sicurezza informatica, e le autorità competenti potranno intervenire con multe e altre misure di controllo per chi non rispetta i requisiti.

Gli obblighi da rispettare

Secondo il decreto legislativo che recepisce la direttiva NIS 2, le aziende dei settori essenziali e importanti devono adottare misure specifiche per garantire la sicurezza delle loro reti e dei sistemi informatici. Ecco le misure dettagliate che devono essere implementate:

  1. Politiche di analisi dei rischi e di sicurezza: tutte le organizzazioni devono definire politiche formali per l’analisi e la gestione dei rischi legati ai sistemi informativi e di rete.
  2. Gestione degli incidenti: implementazione di processi strutturati per la gestione degli incidenti, inclusi strumenti e procedure per notificare tempestivamente incidenti di sicurezza alle autorità competenti.
  3. Continuità operativa: predisposizione di piani di backup e ripristino in caso di disastri. Questo include misure per garantire la continuità delle operazioni anche in caso di incidenti gravi.
  4. Sicurezza della catena di approvvigionamento: le aziende devono assicurare che anche i loro fornitori e subappaltatori adottino misure di sicurezza equivalenti, garantendo così la protezione lungo tutta la catena di fornitura.
  5. Sicurezza nello sviluppo e nella manutenzione dei sistemi: tutte le fasi di sviluppo e manutenzione dei sistemi informativi devono includere misure per la gestione delle vulnerabilità e per evitare l’introduzione di rischi.
  6. Valutazione dell’efficacia delle misure di sicurezza: le organizzazioni devono monitorare e valutare periodicamente l’efficacia delle proprie misure di sicurezza, apportando modifiche quando necessario.
  7. Pratiche di igiene informatica e formazione: promozione di buone pratiche di sicurezza tra i dipendenti e formazione continua in materia di cybersecurity.
  8. Uso della crittografia: dove necessario, le aziende devono implementare la crittografia per proteggere i dati sensibili, garantendo riservatezza e integrità delle informazioni​

Per avere informazioni più precise in merito agli obblighi, gli enti dovranno tuttavia attendere ancora qualche mese.

Torna su