Il 16 ottobre 2024 è entrata in vigore in Italia la nuova Direttiva europea Network and Information Security (NIS 2), recepita con il Decreto Legislativo n. 138 del 4 settembre 2024.

È stata introdotta per garantire una maggiore sicurezza informatica delle aziende, riducendo così i rischi legati alla cybersecurity e migliorando la protezione dei dati sensibili.

L’Agenzia per la Cybersicurezza Nazionale (ACN) è stata designata come Autorità competente per l’attuazione e il monitoraggio della direttiva in oggetto.

Destinatari

La Direttiva NIS 2 si applica a un’ampia gamma di aziende, suddivise in due categorie principali: Enti Essenziali ed Enti Importanti.

Criteri di inclusione delle aziende

Un’azienda rientra nell’ambito della NIS 2 se soddisfa i seguenti criteri:

Settore di appartenenza: deve operare in uno dei settori critici definiti dalla direttiva.

Dimensione: si applica a tutte le medie e grandi imprese, definite secondo questi parametri:

  • Medie imprese: da 50 a 249 dipendenti e/o fatturato annuo superiore a 10 milioni di euro.
  • Grandi imprese: 250 o più dipendenti e/o fatturato annuo superiore a 50 milioni di euro.

Quali aziende sono coinvolte?

Enti Essenziali (con controlli più stringenti)

Un’azienda è classificata come ente essenziale se opera in un settore ad alta criticità (allegato 1 della Direttiva) e soddisfa una o entrambe le seguenti condizioni, tali da farla considerare una grande impresa:

  • ha 250 o più dipendenti
  • ha un fatturato annuo superiore a 50 milioni di euro.

Enti Importanti (con obblighi di sicurezza, ma controlli meno stringenti)

Un’azienda è classificata come ente importante se alternativamente:

  • opera in un settore considerato ad alta criticità (allegato 1 della Direttiva) e soddisfa una o entrambe le seguenti condizioni, tali da renderla una media impresa: ha tra i 50 e i 249 dipendenti e/o un fatturato annuo tra 10 milioni di euro e 50 milioni di euro;
  • opera negli altri settori critici (allegato 2 della Direttiva) ed è considerata una grande impresa o una media impresa in base a quanto spiegato in precedenza.

I diversi settori

I Settori ad Alta Criticità (Allegato 1 della Direttiva) comprendono:
Energia: Energia elettrica, petrolio, gas, idrogeno, teleriscaldamento e teleraffreddamento
Trasporti: Strada, ferrovia, aria e acqua
Bancario: Banche, borse, istituzioni finanziarie
Sanità: Ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici
Acqua: Acque reflue e acqua potabile
Infrastruttura digitale: Data center, cloud computing, fornitori DNS ecc.
Servizi ICT: Servizi gestiti e servizi di sicurezza gestiti
Pubblica amministrazione: Entità governative centrali e regionali
Spazio: Operatori di infrastrutture terrestri

Gli altri Settori Critici (Allegato 2 della Direttiva) includono:
Posta e corrieri: Spedizione di posta e pacchi
Gestione dei rifiuti: Raccolta, trattamento e riciclaggio dei rifiuti
Prodotti chimici: Produzione e distribuzione di prodotti chimici
Alimentare: Produzione, lavorazione e distribuzione di generi alimentari
Manifatturiero: Produttori di dispositivi medici, macchinari, veicoli e dispositivi elettrici/elettronici
Servizi digitali: Motori di ricerca, mercati online e reti sociali
Ricerca: Organizzazioni di ricerca

Obblighi normativi per le aziende interessate

Le imprese rientranti nel perimetro della Direttiva NIS 2 devono adempiere ai seguenti obblighi:

  • registrarsi presso l’ACN e fornire informazioni dettagliate sulla propria organizzazione;
  • adottare misure strutturate per la gestione del rischio informatico, come richiesto dall’Articolo 24 della normativa;
  • garantire la sicurezza della supply chain, verificando il livello di protezione dei propri fornitori;
  • segnalare tempestivamente gli incidenti informatici, secondo le tempistiche definite dall’Articolo 25;
  • sottoporsi a controlli e verifiche periodiche, con il rischio di sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo in caso di inadempienza (Articolo 38);
  • evitare sanzioni accessorie per i dirigenti responsabili della sicurezza, che possono includere la temporanea incapacità di ricoprire ruoli dirigenziali in caso di negligenza.

Obbligo di registrazione

Tra i nuovi obblighi, vi è la registrazione obbligatoria sul portale servizi ACN, prevista per tutte le imprese a cui si applica la normativa.

Le aziende possono registrarsi sul portale dell’ACN a questo link: https://portale.acn.gov.it/login

La registrazione, prevista dall’articolo 7 del decreto NIS, è regolata nei dettagli da termini, modalità e procedimenti definiti nella Determinazione n.38565/2024.

Prima di procedere alla registrazione, il soggetto obbligato deve nominare un punto di contatto, generalmente un dipendente formalmente nominato dal rappresentante legale dell’organizzazione. Il processo di registrazione si articola in tre fasi: il censimento del punto di contatto, la sua associazione al soggetto obbligato e infine, la compilazione della dichiarazione NIS.

La mancata registrazione comporta una sanzione amministrativa, che può raggiungere lo 0,1% del fatturato annuo globale del soggetto inadempiente.

Fasi di attuazione

Per garantire un’implementazione graduale ed efficace, l’ACN ha suddiviso il percorso di adeguamento in tre fasi principali, con scadenze precise e obblighi progressivi.

Fase di recepimento (febbraio 2023 – metà ottobre 2024)
Questa prima fase ha rappresentato il processo legislativo e regolatorio necessario per portare la Direttiva NIS 2 nell’ordinamento italiano.
Questa fase è stata fondamentale per stabilire il quadro di riferimento della normativa e per consentire alle aziende di familiarizzare con i nuovi requisiti.

Prima fase attuativa (metà ottobre 2024 – metà aprile 2025)
A partire dall’ottobre 2024, la Direttiva NIS2 ha iniziato a prendere forma con la prima fase di attuazione pratica.

Entro 28 febbraio 2025:
Censimento e registrazione obbligatoria dei soggetti rientranti nel perimetro NIS 2.

Entro marzo 2025:
L’ACN pubblicherà l’elenco ufficiale dei soggetti NIS, identificando le aziende che dovranno rispettare gli obblighi di sicurezza.

Entro aprile 2025:
Notifica alle aziende della loro inclusione nell’elenco.
Pubblicazione degli obblighi di base da parte dell’ACN.
In questa fase, le aziende devono assicurarsi di essere regolarmente registrate e prepararsi per l’adozione delle prime misure di sicurezza.

Seconda fase attuativa (metà aprile 2025 – metà aprile 2026)
Dopo la definizione delle aziende soggette alla normativa, inizia la fase di monitoraggio e implementazione progressiva degli obblighi.

A partire da gennaio 2026:
Scatta l’obbligo di notifica degli incidenti informatici. Le aziende dovranno segnalare ogni attacco significativo al CSIRT Italia.

Entro aprile 2026:
Definizione del modello di categorizzazione delle attività e dei servizi.
Pubblicazione degli obblighi a lungo termine, che stabiliranno gli standard operativi per i prossimi anni.

Entro settembre 2026:
Tutte le aziende dovranno aver completato l’implementazione delle misure di sicurezza di base.
Questo periodo sarà caratterizzato da controlli e verifiche per valutare il grado di conformità delle aziende.

Terza fase attuativa (da metà aprile 2026 in poi)
Questa fase segnerà l’inizio della piena operatività della NIS2, con un’attenzione particolare alla categorizzazione delle attività e alla definizione di obblighi avanzati:

  • Applicazione integrale del modello di categorizzazione delle attività e dei servizi.
  • Piena attuazione degli obblighi a lungo termine, con un rafforzamento continuo delle misure di sicurezza.

A questo punto, tutte le aziende dovranno dimostrare di aver raggiunto un livello di cybersecurity adeguato e conforme alle direttive europee.

Per approfondimento e assistenza si suggerisce il coinvolgimento di professionisti esperti in materia di protezione dei dati e sicurezza informatica.

Altri articoli in questa categoria:

M&W tra i vincitori del contest “Commercialista dell’Anno 2025” e “Consulente del Lavoro dell’Anno 2025”
Controllo delle performance aziendali tramite Report
Riammissione alla Definizione agevolata delle cartelle esattoriali (“Rottamazione-quater”)
Obbligo PEC anche agli amministratori di società
Il rapporto tra imprenditore e dipendenti nelle piccole imprese
Bando per la transizione digitale Emilia-Romagna (anno 2025)
Detrazioni per eliminazione delle barriere architettoniche dal 2025
La soddisfazione del cliente e le attività di customer satisfaction