Con il d.lgs. 138/2024 l’Italia ha recepito la direttiva europea NIS 2, entrata in vigore nell’autunno 2024. La nuova normativa ridefinisce il quadro nazionale della cybersicurezza, ampliando il numero di soggetti obbligati, introducendo misure tecniche e organizzative più stringenti e stabilendo un regime sanzionatorio severo.
L’Agenzia per la Cybersicurezza Nazionale (ACN) è stata individuata come Autorità competente NIS e punto di contatto unico. A essa spetta la gestione degli elenchi, la raccolta delle notifiche di incidente (tramite il CSIRT Italia), l’emanazione delle determinazioni tecniche e la vigilanza.
Ambito di applicazione e categorie di soggetti
La NIS 2 amplia notevolmente il perimetro rispetto alla precedente direttiva.
Sono ora interessati 18 settori:
Settori altamente critici (es. energia, trasporti, sanità, acqua potabile, infrastrutture digitali, PA centrale).
Settori critici (tra cui produzione e distribuzione alimentare, servizi postali e di corriere, manifatturiero di beni essenziali, ricerca).
Gli operatori sono classificati come:
Soggetti essenziali, quando erogano servizi di primaria importanza e superano determinate soglie dimensionali.
Soggetti importanti, che pur non rientrando nella fascia più critica hanno comunque impatti significativi.
Per la Pubblica Amministrazione, l’Allegato III del decreto elenca le categorie coinvolte (ministeri, agenzie, enti locali di dimensioni rilevanti).
Scadenze fondamentali
L’iter di attuazione è scandito da tappe precise, fissate sia dal decreto che dalle determinazioni ACN.
Registrazione iniziale: tutti i soggetti rientranti hanno dovuto registrarsi sulla piattaforma ACN tra 1° dicembre 2024 e 28 febbraio 2025. Era prevista una finestra di tolleranza fino al 10 marzo 2025 per chi aveva già completato il censimento preliminare.
Aggiornamento annuale dei dati: i soggetti devono mantenere allineate le informazioni sul portale. Per il 2025 la scadenza è stata prorogata al 31 luglio (in origine 31 maggio).
Comunicazione della qualifica: a seguito della registrazione, ACN notifica formalmente l’inserimento negli elenchi come “essenziale” o “importante”. Questa comunicazione è il punto di partenza per l’applicazione degli obblighi più stringenti.
Obblighi di notifica in fase transitoria: fino al 31 dicembre 2025, le organizzazioni hanno 9 mesi di tempo dalla comunicazione di inserimento negli elenchi per adeguarsi agli obblighi di notifica degli incidenti.
Regime ordinario: dal 1° gennaio 2026 diventa pienamente operativo l’art. 25 del decreto sugli obblighi di notifica. Da questa data, tutti i soggetti dovranno essere in grado di rispettare i tempi serrati previsti.
Adempimenti richiesti
Registrazione e mantenimento dati
Il primo passo è la registrazione al portale ACN, con inserimento di informazioni su servizi, strutture e punto di contatto. Questi dati devono essere aggiornati ogni anno o ogni volta che intervengono cambiamenti significativi.
Governance e responsabilità del management
La direttiva attribuisce al top management la responsabilità diretta della cybersecurity. Gli organi di vertice devono approvare le politiche di sicurezza, vigilare sull’attuazione e garantire formazione specifica. La NIS 2 introduce anche la possibilità di sanzioni personali per i dirigenti negligenti.
Misure di sicurezza
ACN, con determinazioni di aprile 2025, ha definito gli “obblighi di base”: un insieme minimo di misure tecniche e organizzative che coprono dieci aree, tra cui:
gestione del rischio e politiche di sicurezza.
Inoltre:
controllo degli accessi e patch management
protezione della supply chain,
backup, recovery e continuità operativa,
monitoraggio, logging e capacità di risposta agli incidenti,
formazione del personale.
Notifica degli incidenti entro 24 ore dalla scoperta, notifica dettagliata entro 72 ore.
In fase transitoria, vale la regola dei 9 mesi dall’inserimento negli elenchi per organizzarsi.
Punto di contatto
Ogni organizzazione deve nominare un punto di contatto NIS, responsabile delle comunicazioni con ACN e CSIRT e della gestione delle notifiche.
Impatti sulle aziende
Per le imprese, la NIS 2 comporta un deciso salto di qualità nella gestione della sicurezza.
Estensione della platea: molte realtà che prima non erano soggette ora rientrano di diritto, con conseguente necessità di implementare sistemi strutturati di gestione della sicurezza (SGSI).
Coinvolgimento del board: il consiglio di amministrazione e i vertici aziendali devono ricevere briefing periodici, fissare KPI di sicurezza e approvare piani di investimento.
Incident readiness: rispettare i tempi di notifica richiede playbook, registri degli incidenti e simulazioni regolari.
Audit e verifiche: ACN ha poteri di controllo documentale e on-site, per cui la tracciabilità e la documentazione diventano fondamentali.
Supply chain security: le imprese devono introdurre controlli nei rapporti contrattuali con fornitori critici, in particolare nel settore ICT.
Sinergie con altre normative: molte aziende possono capitalizzare sugli sforzi già fatti per il GDPR o per certificazioni ISO 27001, ma devono colmare i gap specifici di NIS 2 (supply chain, notifiche, ruolo del punto di contatto).
Impatti sulla Pubblica Amministrazione
La PA deve affrontare sfide peculiari:
Estensione a più livelli: non solo ministeri e agenzie centrali, ma anche enti locali di dimensioni significative rientrano nel perimetro. Ciò richiede coordinamento e standardizzazione delle procedure.
Capacità di notifica: i servizi pubblici essenziali (pagamenti, sanità digitale, portali per i cittadini) devono garantire continuità e prontezza nel segnalare incidenti. La creazione di punti di contatto e l’integrazione con i SOC diventano indispensabili.
Appalti pubblici: la normativa impone di integrare requisiti NIS 2 nei bandi, soprattutto per forniture ICT, estendendo così l’effetto anche ai fornitori.
Sanzioni e enforcement
Il regime sanzionatorio è molto più severo rispetto alla precedente NIS:
Soggetti essenziali (escluse le PA): fino a 10 milioni di euro o 2% del fatturato annuo mondiale.
Soggetti importanti (escluse le PA): fino a 7 milioni di euro o 1,4% del fatturato annuo mondiale.
Per la PA valgono regole specifiche, con sanzioni pecuniarie inferiori ma con l’aggiunta di misure correttive e poteri sostitutivi dell’ACN.
Sul piano personale, la direttiva consente di applicare sanzioni accessorie ai dirigenti, fino alla sospensione temporanea dalle funzioni in caso di inosservanze gravi o reiterate.
Roadmap di adeguamento
Guardando al biennio 2024–2026, il percorso di adeguamento può essere sintetizzato così:
Censimento e registrazione (entro marzo 2025): identificazione del perimetro, inserimento in piattaforma ACN, nomina punto di contatto.
Gap analysis e misure di base (2025): confronto con gli obblighi di ACN, definizione piano di remediation, avvio test ed esercitazioni.
Piena operatività (entro 1/1/2026): completamento delle misure, attivazione dei processi di notifica in tempo reale, revisione contratti con fornitori, audit interni e aggiornamento dati entro il 31 luglio.
La NIS 2 segna una svolta per la sicurezza cibernetica in Italia. Le aziende e la Pubblica Amministrazione sono chiamate a un approccio strutturato e dimostrabile, che coinvolge direttamente i vertici, responsabilizza la supply chain e introduce obblighi di reporting stringenti.
Le scadenze chiave sono ormai tracciate:
registrazione conclusa entro marzo 2025 e aggiornamento dati entro luglio 2025.
Piena operatività degli obblighi di notifica dal 1° gennaio 2026.
La sfida non è solo normativa: è organizzativa e culturale. Chi saprà trasformare gli adempimenti NIS 2 in un’occasione per rafforzare i propri sistemi e processi digitali sarà meglio preparato ad affrontare i rischi cibernetici crescenti, con un vantaggio competitivo e reputazionale.
Bug Fixing s.r.l. È un’azienda dinamica e specializzata in cybesecurity, che saprà guidare le Organizzazioni rientranti nel perimetro d’applicazione del d.lgs 138/2024 a raggiungere la conformità entro i tempi indicati dal decreto.