Cambia il quadro normativo per la sicurezza informatica in azienda. Con l’entrata in vigore della Direttiva europea NIS2, le imprese che operano in settori strategici come trasporti, energia, sanità e digitale sono chiamate ad adottare nuove misure di prevenzione, protezione e gestione degli incidenti cyber.
L’Italia ha recepito la direttiva tramite il Decreto Legislativo 138/2024, che impone alle organizzazioni interessate di comunicare entro il 31 luglio 2025 una serie di informazioni all’Agenzia per la Cybersicurezza Nazionale (ACN). La scadenza iniziale del 31 maggio è stata ufficialmente prorogata per consentire a tutte le realtà coinvolte di adeguarsi con maggiore consapevolezza e completezza.
Cosa cambia con la NIS2
La direttiva NIS2 (Network and Information Security) aggiorna la normativa europea in materia di sicurezza informatica, ampliando il numero dei settori coinvolti (ora sono 18) e introducendo obblighi più rigorosi per i cosiddetti:
- Operatori essenziali (es. energia, finanza, trasporti, sanità)
- Operatori importanti (es. IT, ricerca, logistica, grande distribuzione)
Per essere soggette alla NIS2, le aziende devono operare in uno dei settori previsti, avere sede o operare in almeno uno Stato UE, superare 50 dipendenti e 50 milioni di euro di fatturato o 43 milioni di bilancio.
Cosa devono fare le aziende
I soggetti coinvolti (avvisati tramite PEC dall’ACN) devono trasmettere all’Agenzia entro il 31 luglio 2025:
- Indirizzi IP utilizzati
- Stati UE in cui prestano servizi
- Nominativo del responsabile della sicurezza e di un sostituto di contatto
Chi non ottempera (o lo fa in modo incompleto) rischia sanzioni amministrative pecuniarie, come previsto dall’art. 38 del decreto.
Inoltre, la direttiva impone alle aziende di adottare un approccio strutturato alla cybersecurity, articolato su quattro pilastri: prevenzione, protezione, rilevazione e ripristino. Gli incidenti informatici con impatto significativo dovranno essere segnalati entro 24 ore.
Un’opportunità (non solo un obbligo)
Per molte realtà l’adeguamento alla NIS2 può rappresentare anche un’occasione per rafforzare la propria resilienza digitale e aumentare la fiducia di clienti e partner. Le aziende già certificate secondo lo standard ISO/IEC 27001 partono avvantaggiate, ma dovranno comunque adeguare le proprie procedure di segnalazione e ampliare la copertura dei settori critici.
Per supportare il processo, sono previste sessioni informative dedicate ai vertici aziendali, e l’ACN ha pubblicato una serie di linee guida operative (clicca qui).
