MAGAZINE / Security / NIS 2: Scadenze imminenti e nuove responsabilità

Magazine

NIS 2: Scadenze imminenti e nuove responsabilità

20/05/2025
NIS 2: Scadenze imminenti e nuove responsabilità
EnterprisePubblica Amministrazione
L’applicazione della direttiva NIS 2 (Network and Information Security Directive) segna un’evoluzione significativa nel quadro normativo europeo per la sicurezza informatica. Rivolta a soggetti pubblici e privati operanti in settori considerati vitali, la NIS 2 estende responsabilità, introduce nuovi obblighi operativi e impone requisiti stringenti di protezione. Per le aziende di grandi dimensioni, in particolare per CIO, CISO e team ICT, l’adeguamento alla direttiva rappresenta non solo una sfida, ma anche un’opportunità per rivalutare strategie digitali, rafforzare la cybersicurezza e accelerare l’adozione di soluzioni cloud e security allineate agli standard europei.

Più trasparenza e accountability: come cambia la governance ICT

Con l’inclusione nel perimetro normativo di oltre 20.000 soggetti essenziali e importanti in tutta Europa, la NIS 2 impone una maggiore chiarezza strutturale e una distribuzione delle responsabilità più netta. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito le modalità attuative che, entro il 31 maggio 2025, obbligano le organizzazioni a trasmettere informazioni puntuali attraverso la piattaforma dedicata.

Le informazioni richieste includono:
  • Indirizzi IP pubblici e nomi di dominio utilizzati o in disponibilità dell’organizzazione
  • Stati membri dell’UE in cui si erogano servizi digitali
  • L’integrazione di alcune informazioni amministrative: dati anagrafici del punto di contatto, del suo sostituto, del Soggetto NIS 2, degli amministratori/componenti del consiglio d’amministrazione (che dovranno indicare codice fiscale e un indirizzo PEC che dovranno confermare accedendo al Portale ACN)
  • La conferma/aggiornamento dell’elenco dei servizi NIS 2
Questo passaggio evidenzia la centralità della responsabilità dirigenziale: i membri degli organi direttivi sono chiamati a rispondere direttamente del rispetto degli obblighi normativi e della corretta implementazione delle misure richieste.

Settori coinvolti: chi deve adeguarsi alla normativa

La NIS 2 si applica a due categorie principali: soggetti essenziali e soggetti importanti, distinguendo il livello di impatto e responsabilità in base alla rilevanza strategica del settore di appartenenza.

Soggetti essenziali
  • Energia (elettricità, petrolio, gas)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Bancario
  • Infrastrutture dei mercati finanziari
  • Sanità
  • Acqua potabile e acque reflue
  • Infrastrutture digitali (DNS, cloud computing, data center)
  • Pubblica amministrazione
Soggetti importanti
  • Produzione e distribuzione alimentare
  • Servizi postali e di corriere
  • Gestione rifiuti
  • Produzione manifatturiera (chimica, apparecchiature medicali, automotive)
  • Ricerca e sviluppo (ambiti tecnologici e scientifici avanzati)
L’estensione dell’ambito di applicazione rappresenta un forte segnale della volontà europea di uniformare il livello di protezione delle infrastrutture critiche, a prescindere dalla loro natura pubblica o privata.

La roadmap della compliance: misure tecniche e organizzative da adottare

Il percorso di conformità alla NIS 2 si articola in più fasi, con scadenze e obiettivi progressivi. Entro settembre 2026, tutte le organizzazioni dovranno implementare un set minimo di misure di sicurezza, ispirate al Framework Nazionale per la Cybersecurity e la Data Protection, articolato in sei domini:
  • Govern – definizione delle responsabilità e della strategia di sicurezza
  • Identify – valutazione e gestione degli asset critici
  • Protect – misure tecniche e organizzative di difesa
  • Detect – capacità di rilevamento tempestivo delle minacce
  • Respond – processi di risposta agli incidenti
  • Recover – strategie di ripristino e continuità operativa
Le misure previste si differenziano in base alla categoria del soggetto:
  • Soggetti importanti: 37 misure articolate in 87 requisiti
  • Soggetti essenziali: 43 misure articolate in 116 requisiti
Si tratta di un carico normativo che impone una revisione profonda non solo della tecnologia in uso, ma anche di modelli organizzativi, policy di governance, piani di business continuity e procedure operative.

Dal 2026 obbligo di notifica degli incidenti significativi

A partire da gennaio 2026, entrerà in vigore l’articolo 25 della direttiva, che introduce l’obbligo per i soggetti inclusi di notificare entro termini stringenti gli incidenti rilevanti in termini di sicurezza informatica.
Nel dettaglio, le organizzazioni dovranno disporre di sistemi in grado di rilevare, analizzare e comunicare tempestivamente:
  • Perdita, anche parziale, della riservatezza o integrità dei dati
  • Compromissione della disponibilità dei servizi digitali
  • Accessi non autorizzati ai sistemi informativi (per i soggetti essenziali)
È richiesto, quindi, un allineamento dei processi di incident response, integrando le notifiche NIS 2 con eventuali altri obblighi normativi (es. GDPR, Perimetro di Sicurezza Nazionale Cibernetica). L’ACN ha già chiarito che la notifica NIS 2 si applica esclusivamente ai sistemi al di fuori del Perimetro di Sicurezza Nazionale Cibernetica (PSNC), evitando così sovrapposizioni.

Anticipato al 30 aprile 2025 l’obbligo di notifica degli incidenti significativi per soggetti PSNC, NIS 1 e TELCO

Il Decreto, a differenza di quanto in precedenza comunicato da ACN, anticipa l’applicazione delle regole sulla notifica degli incidenti significativi di base per alcuni soggetti:
  • dal 30.04.25 i Soggetti NIS 2 che sono anche compresi nel PSNC devono notificare gli incidenti significativi di base previsti dall’Allegato 4 per tutti i sistemi informativi e di rete NIS 2 non compresi nel perimetro
  • dal 30.04.25 i Soggetti che erano già compresi nella NIS 1 devono notificare gli incidenti significativi di base previsti dagli Allegati 3 e 4, solo per i sistemi informativi e di rete già compresi nella NIS 1
  • dal 30.04.25 gli operatori TELCO devono notificare gli incidenti significativi di base previsti dall’Allegato 3 (se soggetti importanti) o dall’Allegato 4 (se soggetti essenziali), limitatamente ai sistemi informativi e di rete TELCO. Gli Operatori TELCO sono quelle società che forniscono servizi di comunicazione elettronica accessibili al pubblico che hanno un numero di utenti pari o superiore ad 1 mln o all’1% della base di utenti nazionali calcolati in base ai dati dell’Osservatorio trimestrale delle comunicazioni di AGCOM

Soluzioni cloud e security come abilitatori della compliance

In questo contesto, le imprese sono chiamate ad adottare soluzioni scalabili, sicure e conformi agli standard più elevati per sostenere l’adeguamento normativo. Le piattaforme cloud con architetture resilienti e servizi di sicurezza gestita (MDR, EDR, SIEM, WAF, etc.) rappresentano un supporto concreto per:
  • Centralizzare la visibilità su asset e flussi informativi
  • Automatizzare i processi di rilevamento e risposta agli incidenti
  • Gestire la conformità documentale e i processi di audit
  • Garantire la business continuity anche in caso di attacco

Per CIO, CISO e decision maker IT, la NIS 2 rappresenta un’occasione per valorizzare investimenti in infrastrutture digitali sicure, moderne e interoperabili.
Affrontare il processo di adeguamento con il giusto partner tecnologico, in grado di coniugare expertise normativa e soluzioni operative, può trasformare un obbligo in vantaggio competitivo concreto.

Vuoi comprendere come adeguarti alla NIS 2 e rafforzare la resilienza informatica della tua organizzazione? Contattaci per una consulenza personalizzata.

Per capire quali gap colmare e quali azioni correttive intraprendere, effettua il test di autovalutazione di conformità per la direttiva NIS 2.


sicurezza
Servizio clienti attivo 24/7
 
 
Newsletterbox