NEWS TLC/ICT

NIS2, si entra nel vivo: ecco cosa devono fare le imprese

28 aprile 2025

7 minuti di lettura

wavesNegative

L’Agenzia per la Cybersicurezza Nazionale sta indicando via PEC chi rientra tra i soggetti coinvolti. Entro il 31 maggio va aggiornato il proprio profilo sul portale ACN.

AXERA NIS2 imprese

La direttiva NIS2, il nuovo standard europeo per la cybersicurezza, operativo da ottobre 2024, è entrata nella fase decisiva della sua attuazione (ne avevamo parlato anche in questo articolo).

Occhio quindi alla vostra casella di posta elettronica certificata. In queste settimane, l’Agenzia per la Cybersicurezza Nazionale (ACN) sta inviando via PEC a migliaia di aziende italiane una comunicazione formale che definisce il loro stato tra i tre codificati nella normativa: soggetto essenziale, soggetto importante o fuori ambito.

Una tappa importante di un percorso che abbiamo già raccontato nei mesi scorsi: la direttiva NIS2 nasce per elevare il livello di sicurezza digitale nell’Unione Europea, uniformando la resilienza contro gli attacchi informatici tra i diversi Paesi​.

Le imprese coinvolte, appartenenti a settori critici come energia, trasporti, sanità, infrastrutture digitali e mercati finanziari, devono ora avviare una vera trasformazione dei loro sistemi di gestione della sicurezza.

Ma niente paura. In questo articolo riassumiamo tutto quello che c’è da sapere: come funziona la direttiva NIS2, i prossimi step e che cosa deve fare la tua azienda.

Cosa sta succedendo: notifiche e nuove regole operative

Il 10 aprile si è riunito il Tavolo nazionale per l’attuazione della NIS2, che ha fissato alcune indicazioni chiave per le imprese, in base alle loro caratteristiche e al mercato in cui operano.

Sono state pubblicate le misure minime di sicurezza a cui le imprese dovranno adeguarsi secondo il  Framework Nazionale per la Cyber Security e la Data Protection (v2.1, edizione 2025).

  • Le aziende classificate come soggetti importanti dovranno adottare 37 misure articolate in 87 requisiti.
  • I soggetti essenziali saranno tenuti ad implementare 43 misure e 116 requisiti, con obblighi rafforzati soprattutto su governance e gestione del rischio​.

  • I soggetti fuori ambito (categoria a cui appartiene buona parte delle micro e piccole imprese, salvo poche eccezioni) non sono invece tenuti ad adottare alcuna strategia particolare, almeno per il momento.

Oltre a questa classificazione, il Tavolo ha definito quali sono le specifiche da seguire per notificare eventuali incidenti significativi.

Ricordiamo che tali disposizioni si applicano a tutte le aziende che operano nei cosiddetti Settori ad alta criticità o nei Settori critici:

  • Settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestori di servizi Tlc b2b, pubblica amministrazione e settore spazio
  • Altri settori critici: servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di sostanze chimiche; produzione, trasformazione e distribuzione di alimenti; fabbricazione (in sei sottosettori: dispositivi medici e medico-diagnostici in vitro; computer e prodotti di elettronica e ottica; apparecchiature elettriche; macchinari e apparecchiature n.c.a.; autoveicoli, rimorchi e semirimorchi; altri mezzi di trasporto); fornitori di servizi digitali e ricerca.

Entro il 31 maggio vanno aggiornati i dati sul portale ACN

Come detto, in queste settimane l’ACN sta comunicando alle aziende interessate il loro grado di coinvolgimento nella nuova normativa.

Entro il 31 maggio prossimo, i “soggetti NIS” (quindi chi rientra come essenziale o importante) dovrà aggiornare o completare l’inserimento dei dati richiesti nella piattaforma digitale ACN.

 In particolare, dovranno comunicare:

  • Indirizzi IP pubblici e nomi di dominio in uso.
  • I Paesi UE in cui forniscono i servizi.
  • I componenti degli organi di amministrazione e direttivi.
  • I referenti di contatto aggiornati​.

Per alcuni settori come cloud, data center, marketplace online e motori di ricerca online, sono richieste anche ulteriori informazioni sulla presenza nell’UE e sull’eventuale rappresentante​.

Importante: Al momento non tutte le funzionalità della piattaforma risultano ancora operative, ma il termine del 31 maggio resta valido per l’invio dei dati richiesti.

Va assegnato l’incarico di “Punto di contatto”

Durante la registrazione sul portale ACN, ogni organizzazione deve inoltre indicare un punto di contatto, ossia una persona fisica all’interno dell’organizzazione, incaricata di gestire l’applicazione delle regole previste dal Decreto e di comunicare ufficialmente con l’Autorità.

Anche se sembra un adempimento formale, questa scelta richiede valutazioni più profonde sulla governance interna. Questo ruolo può essere ricoperto dal rappresentante legale, da un procuratore generale o da un dipendente delegato dal rappresentante stesso. Nei gruppi societari, il punto di contatto può anche appartenere a un’altra azienda del gruppo, purché anch’essa soggetta alla normativa NIS2.

Chi ricopre questo incarico deve rispondere direttamente ai vertici aziendali e agli organi di amministrazione.

In generale, infatti, la normativa NIS2 introduce nuovi obblighi per gli organi di amministrazione e direzione dei soggetti essenziali e importanti. Tra questi:

  • Approvare le strategie di gestione del rischio informatico;
  • Sovrintendere alla registrazione nella piattaforma ACN;
  • Formarsi sulla sicurezza informatica e promuovere formazione specifica anche per i dipendenti.

Monitoriamo insieme i prossimi sviluppi

La partita sulla NIS2 è appena iniziata. Seguiranno ulteriori aggiornamenti normativi, nuove linee guida e probabilmente anche strumenti operativi per aiutare le imprese ad affrontare gli adempimenti richiesti.

Con il nostro team seguiamo passo passo l’evoluzione delle comunicazioni ACN, e possiamo aiutarti a:

  • Verificare se e come sei coinvolto nella NIS2.
  • Definire un piano di compliance su misura per il tuo settore e la tua infrastruttura digitale.
  • Predisporre la documentazione e le procedure necessarie in vista delle prime scadenze operative.

Se vuoi saperne di più, o se vuoi ricevere un rapido assessment sulla tua posizione, contattaci: saremo al tuo fianco per trasformare l’obbligo in un’opportunità di crescita digitale.

Vuoi sapere se la tua azienda rientra negli obblighi NIS2?

PARLA CON AXERA
CONDIVIDI SUI SOCIAL

Articoli correlati

onde articoli
Cerca

logo axera