Cybersecurity: Network and Information Security Directive 2

La direttiva NIS2 (UE 2022/2555) rappresenta una pietra miliare nel rafforzamento della cybersecurity a livello europeo. Questa normativa impone agli Stati membri un quadro comune per aumentare la sicurezza informatica, introducendo obblighi stringenti per migliorare la gestione del rischio, la segnalazione rapida degli incidenti informatici e la cooperazione transazionale tra enti. Riguarda in particolare organizzazioni di medie e grandi dimensioni attive in settori critici come infrastrutture digitali, sanità, trasporti e servizi digitali, fondamentali per il funzionamento socioeconomico dell'UE.

L’obiettivo cardine della NIS2 è di garantire una protezione efficace delle reti, dei sistemi informativi e delle infrastrutture digitali, minimizzando i rischi di attacchi informatici e migliorando la risposta alle violazioni per salvaguardare i servizi essenziali europei. La normativa amplia il campo di applicazione rispetto alla precedente direttiva NIS, introducendo requisiti più dettagliati per la gestione dei rischi, la sicurezza della catena di approvvigionamento, l'autenticazione a più fattori e la protezione delle risorse umane.

Entrata in vigore il 17 gennaio 2023, la NIS2 ha avuto come data di applicabilità il 17 ottobre 2024, data entro la quale gli Stati membri hanno dovuto recepirla nel diritto nazionale, portando le organizzazioni a adeguarsi ai nuovi standard di cybersecurity.

Come è stata recepita in Italia la NIS2?

In Italia, la direttiva NIS2 è stata recepita dal Decreto Legislativo n. 138 del 4 settembre 2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Questo decreto ha aggiornato il quadro normativo nazionale, sostituendo le norme precedenti, per allineare l’Italia agli standard europei di cybersecurity.

L'Agenzia per la Cybersicurezza Nazionale (ACN) è stata designata come autorità centrale per la gestione, il coordinamento e la vigilanza della sicurezza informatica nazionale. Tra il 1° dicembre 2024 e il 28 febbraio 2025, le imprese e le pubbliche amministrazioni soggette alla normativa hanno effettuato la registrazione obbligatoria sulla piattaforma digitale dell’ACN.

Tra i nuovi obblighi chiave spiccano:

• la gestione avanzata del rischio informatico, 
• l’adozione di misure tecniche e organizzative adeguate al rischio specifico, 
• formazione continua del personale,
• un rafforzato controllo della sicurezza nella catena di fornitura, con particolare attenzione alla garanzia di continuità operativa, risposta agli incidenti, backup e procedure di recovery.

Questo recepimento sottolinea l'impegno italiano nel rafforzare la cybersecurity delle infrastrutture critiche e dei sistemi informativi, in piena sintonia con le strategie europee.

Cos’è l’Agenzia per la cybersicurezza nazionale (ACN)

L’ACN è l’organo governativo italiano istituito già nel 2021, incaricato di proteggere gli interessi nazionali nel cyberspazio. La sua missione è garantire la sicurezza delle infrastrutture critiche, delle reti, dei sistemi informativi e dei servizi essenziali del Paese.
Le funzioni principali dell’ACN comprendono:

• il coordinamento della difesa informatica nazionale e la promozione di strategie di cybersecurity;
• la protezione delle infrastrutture strategiche nei settori energetico, sanitario, finanziario e delle telecomunicazioni;
• il rafforzamento della resilienza nazionale contro attacchi informatici, collaborando con enti pubblici, aziende e partner internazionali;
• l’attuazione della Strategia Nazionale di Cybersicurezza, che include misure per potenziare la difesa digitale e diffondere la cultura della sicurezza;
• funzioni ispettive e sanzionatorie e supporto nell’adozione di misure di sicurezza;
• il coordinamento del CSIRT Italia, il centro nazionale di risposta agli incidenti informatici.

L’ACN rappresenta l’Italia nelle sedi europee e internazionali per lo sviluppo di politiche comuni contro minacce come cyber terrorismo e spionaggio informatico, promuovendo anche l’autonomia tecnologica e la formazione degli esperti.

Quali imprese hanno l'obbligo di comunicazione all'ACN?

Con la nuova direttiva, l’obbligo di comunicazione all’ACN riguarda principalmente imprese e organizzazioni che operano in settori critici e strategici per la sicurezza nazionale, quali energia, trasporti, sanità, telecomunicazioni, servizi digitali, infrastrutture critiche e forniture ICT B2B. Questi soggetti sono classificati in due categorie:

• Soggetti essenziali: grandi operatori in settori di alta criticità come energia, sanità, trasporti, acqua, infrastrutture digitali, settore spaziale, pubblica amministrazione, banca e finanza.
• Soggetti importanti: enti e imprese in settori con livello di rischio inferiore, come servizi postali, gestione dei rifiuti, industria chimica, alimentare, dispositivi medici, elettronica, macchinari, veicoli e fornitori di servizi digitali specifici.

Oltre a questi, anche altre imprese che forniscono servizi essenziali o fanno parte della catena di fornitura di soggetti essenziali o importanti possono essere soggette agli obblighi. Alcune categorie come fornitori di reti pubbliche ed enti pubblici sono inclusi indipendentemente dalla dimensione.
Questa classificazione è meglio dettagliata nel D.Lgs. 138/2024 e negli allegati delle determinazioni ACN, che definiscono le misure minime di sicurezza da adottare.

Gli adempimenti previsti dal D.Lgs. 138/2024

Ad oggi, i termini per adempiere ai principali obblighi sono già stati superati:

• 28 febbraio 2025: registrazione obbligatoria sulla piattaforma digitale ACN per soggetti essenziali e importanti (prorogata al 31 luglio 2025 per alcune categorie);
• 15 aprile 2025: verifica e validazione dei dati registrati da parte dell’ACN;
• 30 aprile 2025: nomina del punto di contatto NIS e del sostituto, referenti ufficiali per le comunicazioni con l’ACN.

Cui si aggiungono:

• 15 aprile – 31 maggio di ogni anno: conferma o aggiornamento dei dati su piattaforma digitale;
• entro 18 mesi dalla notifica di inserimento in elenco: implementazione delle misure tecniche e organizzative di sicurezza proporzionate al rischio;
• notifica degli incidenti significativi entro 24-72 ore dall’individuazione (obbligo continuo).

Il termine per l’applicazione piena degli obblighi è fissato al 1° gennaio 2026, lasciando tempo agli enti per un adeguamento graduale. Le sanzioni per la mancata osservanza degli obblighi possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo.

La direttiva NIS2 rappresenta un passo essenziale per potenziare la cybersecurity in Europa e in Italia, rafforzando la protezione delle infrastrutture critiche e la resilienza degli ecosistemi digitali.
Per le imprese italiane, adeguarsi al Decreto Legislativo n. 138/2024 non significa solo rispettare le normative, ma anche adottare un modello di sicurezza moderna, capace di fronteggiare le minacce informatiche in continua evoluzione. Investire in cybersecurity oggi è fondamentale per garantire la continuità operativa, la fiducia dei clienti e la competitività sul mercato digitale globale.

Il nuovo modo di fare impresa evolve anche il concetto di sicurezza sul lavoro.
La protezione e la prevenzione non riguardano più solo l’aspetto psicofisico delle persone, ma anche i loro dati e la loro privacy, che vanno tutelati.
Come sempre, una corretta formazione resta lo strumento principale per ottenere le competenze necessarie ad affrontare le sfide di oggi e quelle di domani.
 

Iscriviti alla nostra newsletter per restare aggiornato sugli argomenti legati alla sicurezza a 360°.