Scopri di più sulla NIS2 e come possiamo aiutare la tua impresa

NIS2 è una normativa importante
che avrà un impatto significativo
sulla sicurezza informatica in Europa.
Le aziende, che operano in settori critici,
dovranno adottare misure adeguate,
per conformarsi ai nuovi requisiti.

Contattaci per una consulenza

🛡 Di cosa si tratta?

La Direttiva NIS 2 è una normativa dell’Unione Europea in tema di cybersecurity introdotta per rafforzare la sicurezza informatica in tutti gli Stati membri dell’UE.
E’ l’aggiornamento di una precedente normativa, la direttiva NIS (Network and Information Security), entrata in vigore nel gennaio 2023.

🎯Quali sono gli obiettivi principali?

  • Migliorare la resilienza cibernetica delle entità operative in settori critici come energia, trasporti, banche e infrastrutture digitali.
  • Migliorare la cooperazione tra gli Stati membri dell’UE in materia di cybersecurity.

📰 La pubblicazione in Gazzetta

Il Decreto Legislativo 4 settembre 2024, n. 138, è stato pubblicato in Gazzetta Ufficiale, Serie Generale, n. 230 del 01 ottobre 2024.
Recepisce la Direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione > NIS2 . 

🆕 Le misure introdotte:

Il decreto stabilisce le misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale,
contribuendo ad incrementare il livello comune di  sicurezza nell’Unione Europea in modo da migliorare il funzionamento del mercato interno.

GLI AMBITI COINVOLTI

L’Autorità Nazionale Competente per la NIS (ACN) gioca un ruolo essenziale nel determinare chi rientra tra i “soggetti essenziali” e i “soggetti importanti”, attraverso decisioni che coinvolgono le autorità di settore e il Tavolo per l’attuazione della disciplina NIS.

I nuovi settori sono 25 (distinti in altri sottosettori) di cui 10 altamente critici:

Settori ad ALTA CRITICITA’:

1. Energia;
2. Trasporti;
3. Settore bancario;
4. Infrastrutture dei mercati finanziari;
5. Settore sanitario;
6. Acqua potabile;
7. Acque reflue;
8. Infrastrutture digitali;
9. Gestione dei servizi TIC;
10. Spazio.

Settori CRITICI:

1. Servizi postali e di corriere;
2. Gestione dei rifiuti;
3. Fabbricazione, produzione e distribuzione di sostanze chimiche;
4. Produzione, trasformazione e distribuzione di alimenti;
5. Fabbricazione;
6. Ricerca.

Categorie di pubbliche amministrazioni e le ulteriori tipologie di soggetti su cui impatta il decreto:

AMMINISTRAZIONI CENTRALI:

  1. gli Organi costituzionali e di rilievo costituzionale;
  2. la Presidenza del Consiglio dei ministri e i Ministeri;
  3. le Agenzie fiscali;
  4. le Autorità amministrative indipendenti.

AMMINISTRAZIONI LOCALI:

  1. le Città metropolitane;
  2. i Comuni con popolazione superiore a 100.000 abitanti;
  3. i Comuni capoluoghi di regione;
  4. le Aziende sanitarie locali.

Ulteriori tipologie di soggetti quali:

  1. Soggetti che forniscono servizi di trasporto pubblico locale;
  2. Istituti di istruzione che svolgono attività di ricerca;
  3. Soggetti che svolgono attività di interesse culturale;
  4. Società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.

AMMINISTRAZIONI REGIONALI:

  1. le Regioni e le Province autonome.

Altri soggetti pubblici:

  1. gli Enti di regolazione dell’attività economica;
  2. gli Enti produttori di servizi economici;
  3. gli Enti a struttura associativa;
  4. gli Enti produttori di servizi assistenziali, ricreativi e culturali;
  5. gli Enti e le Istituzioni di ricerca;
  6. gli Istituti zooprofilattici sperimentali.

Gli adempimenti in ordine temporale:

ENTRO IL 31 DICEMBRE 2024:

Tutte le organizzazioni interessate devono effettuare un assessment obbligatorio per verificare se rientrano nell’ambito di applicazione della NIS2. Questo passaggio richiede un’analisi approfondita dei rischi e dei sistemi aziendali per identificare eventuali lacune.

TRA IL 1° GENNAIO E IL 28 FEBBRAIO 2025:

Le aziende interessate devono registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) per consentire all’ACN di:

  1. Identificare i soggetti essenziali e importanti.
  2. Valutare i rischi e le vulnerabilità del sistema nazionale
  3. Costituire un registro ufficiale
  4. Avviare il percorso di conformità.

La registrazione è un obbligo preliminare che apre il processo di regolamentazione e messa in sicurezza delle infrastrutture critiche e dei servizi digitali. Richiede l’autenticazione tramite credenziali SPID e la compilazione di una dichiarazione dettagliata.

ENTRO IL 17 GENNAIO 2025:

Le categorie specifiche che dovranno registrarsi sulla piattaforma sono:

  • Fornitori di servizi di sistema dei nomi di dominio (DNS).
  • Gestori di registri di nomi di dominio di primo livello.
  • Fornitori di servizi di registrazione dei nomi di dominio.
  • Fornitori di servizi di cloud computing.
  • Fornitori di servizi di data center.
  • Fornitori di reti di distribuzione dei contenuti.
  • Fornitori di servizi gestiti.
  • Fornitori di servizi di sicurezza gestiti.
  • Fornitori di mercati online.
  • Motori di ricerca online.
  • Piattaforme di servizi di social network.

 

ENTRO IL 28 FEBBRAIO 2025:

Dovranno registrarsi i soggetti che rientrano tra quelli classificati come essenziali o importanti che includono:

SOGGETTI ESSENZIALI

  1. Settore energetico: Fornitori e operatori di reti elettriche; – Compagnie di gas naturale e petrolio.
  2. Settore idrico: Gestione e distribuzione di acqua potabile; – Trattamento delle acque reflue.
  3. Sanità: Ospedali, cliniche, laboratori diagnostici e produttori di dispositivi medici critici.
  4. Trasporti: Aeroporti, porti, operatori ferroviari, e trasporto stradale su larga scala.
  5. Servizi finanziari e bancari: Banche, mercati finanziari, e istituzioni critiche per il sistema economico.
  6. Infrastrutture digitali: Gestori di piattaforme internet, cloud, data center, e reti di distribuzione dei contenuti.
  7. Pubbliche Amministrazioni: Ministeri, enti governativi critici e organizzazioni di interesse pubblico.

SOGGETTI IMPORTANTI

  1. Fornitori di servizi ICT: Software, hardware e gestione dei dati critici per le operazioni aziendali.
  2. Commercio online: Marketplace digitali e motori di ricerca di grandi dimensioni.
  3. Servizi logistici: Operatori coinvolti nella movimentazione e gestione di merci essenziali.
  4. Telecomunicazioni: Operatori di reti mobili e fisse, e fornitori di servizi connessi

ENTRO IL 31 MARZO 2025:

L’ACN pubblicherà l’elenco definitivo dei soggetti che devono conformarsi agli obblighi della direttiva.

TRA IL 1° APRILE 2025 E IL 15 APRILE 2025:

Attraverso la piattaforma, l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti.

TRA IL 15 APRILE E IL 31 MAGGIO 2025:

I soggetti registrati dovranno fornire le ulteriori informazioni richieste dalla normativa e nominare un RESPONSABILE per l’implementazione degli adempimenti previsti.

Chiusa questa fase preliminare,
le aziende e le pubbliche amministrazioni che avranno ricevuto la comunicazione di inclusione da parte dell’ACN
dovranno procedere con gli ulteriori adempimenti previsti nel decreto.

Dal 1° gennaio 2026:

Le organizzazioni saranno obbligate
a notificare gli incidenti
di sicurezza significativi.

Entro ottobre 2026:

Dovranno completare l’adeguamento a misure tecniche e organizzative più avanzate,
come la gestione dei rischi e la sicurezza delle reti

La Determina ACN n. 164179 del 14 aprile 2025:

Il 10 aprile 2025 si è riunito il Tavolo per l’attuazione della normativa, presieduto dal Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN).

In tale occasione sono state approvate le specifiche operative relative agli obblighi per gli organi di amministrazione e direzione, all’adozione di misure di sicurezza informatica entro ottobre 2026, alla gestione delle notifiche di incidenti significativi  e alla resilienza dei sistemi di nomi di dominio.

COSA PREVEDONO LE SPECIFICHE DELLA DETERMINA ACN n. 164179 DEL 14 APRILE 2025:
– l’adozione di 87 requisiti per i soggetti importanti;
– l’adozione di 116 requisiti per i soggetti essenziali;
– definisce le tipologie di incidenti da notificare a partire da gennaio 2026, con indicazioni più stringenti per i soggetti essenziali.

ACN ha avviato la comunicazione ufficiale ai soggetti inclusi nell’elenco NIS, che comprende oltre 20.000 organizzazioni, di cui circa 5.000 considerate essenziali.

I soggetti individuati sono chiamati, entro il 31 maggio 2025, a designare un sostituto punto di contatto e ad aggiornare le informazioni relative agli organi direttivi, agli indirizzi IP pubblici e statici, ai domini utilizzati e agli accordi di condivisione delle informazioni sulla sicurezza informatica.

Questa fase rappresenta un passaggio cruciale verso il pieno recepimento della Direttiva NIS2, rafforzando la postura di cybersicurezza nazionale e il coordinamento tra Autorità di settore e operatori strategici.

Leggi la Determina N.164179

LE SANZIONI

Le sanzioni previste per il mancato adeguamento alla direttiva NIS2 sono significative e mirano a garantire la conformità delle aziende ai requisiti di sicurezza informatica. Ecco un riepilogo delle principali sanzioni:

Sanzioni amministrative pecuniarie

Le aziende non conformi possono essere soggette a multe che variano in base alla gravità della violazione:

  • Fino a 10 milioni di euro o al 2% del fatturato annuo globale (applicato il maggiore dei due importi) per le entità essenziali.
  • Fino a 7 milioni di euro o all’1,4% del fatturato annuo globale per le entità importanti​

Conseguenze operative

In caso di violazioni ripetute o particolarmente gravi:

  • Sospensione temporanea delle autorizzazioni
    o dei certificati che permettono all’azienda di operare.
  • Restrizioni alle attività fino all’implementazione delle misure di sicurezza richieste

Responsabilità dei dirigenti

I membri del management aziendale possono essere ritenuti personalmente responsabili in caso di mancata supervisione o implementazione delle misure di sicurezza. Le sanzioni includono:

  • Incapacità temporanea di ricoprire ruoli dirigenziali, fino alla risoluzione delle violazioni.
  • Maggiore esposizione a procedimenti legali e sanzioni penali in casi estremi di negligenza​.

Obblighi di notifica

Non segnalare tempestivamente incidenti di sicurezza può comportare ulteriori sanzioni, dato che la direttiva impone tempistiche rigorose per la notifica:

  • Prenotifica entro 24 ore.
  • Relazione dettagliata entro 72 ore

Impatti reputazionali e relazionali

Il mancato adeguamento può danneggiare la reputazione dell’azienda e compromettere i rapporti con clienti, partner e autorità regolatorie.

La NIS2 sottolinea l’importanza di una governance proattiva e di un impegno costante per proteggere le infrastrutture critiche e garantire la resilienza cibernetica. Perciò, adeguarsi non è solo un obbligo legale, ma una necessità per la sostenibilità aziendale nel panorama digitale.

👇🏻
Contattaci per una CONSULENZA GRATUITA
e per ADEGUARE TEMPESTIVAMENTE la tua impresa alla normativa NIS2

CAPTCHA image

Altre news da JM

2025-04-23T13:08:36+02:00

J.M. CONSULTING S.r.l.

SEDE LEGALE
Via XX Settembre 12,
29121 Piacenza (PC)

SEDE OPERATIVA
Via Donatori Sangue 3,
29020 Gossolengo (PC)

P.IVA 01268690334 – E-mail Certificata (PEC): amministrazione@pec.jmconsulting.it   Iscrizione al Registro Imprese di Piacenza al n° PC – 1999 – 8902 Iscrizione al REA di Piacenza al n° PC – 147985 | Informativa sulla Privacy |

toggle icon
Torna in cima