Direttiva NIS2: chi è obbligato e cosa fare entro le scadenze

La direttiva europea NIS2 è recepita in Italia dal Decreto Legislativo 138/2024 e ha cambiato in modo sostanziale gli obblighi di cybersecurity per migliaia di aziende. Molte di queste non lo sanno ancora, e le scadenze per adempiere stanno arrivando.

Chi rientra nella NIS2

La direttiva si applica a "soggetti essenziali" e "soggetti importanti" in 18 settori. I criteri principali sono dimensione e settore di attività. In sintesi sono soggette le aziende con almeno 50 dipendenti o 10 milioni di fatturato che operano in:

• Energia, trasporti, banche e finanza, sanità, acqua, infrastrutture digitali, pubblica amministrazione, spazio (settori "essenziali").
• Servizi postali, gestione rifiuti, chimica, alimentare, manifattura, servizi digitali, ricerca (settori "importanti").

Attenzione: anche aziende più piccole rientrano se sono fornitori di soggetti essenziali, gestori di servizi DNS, registri di domini, provider cloud, marketplace online, motori di ricerca. La filiera è ampia.

Iscrizione al portale ACN

L'Agenzia per la Cybersicurezza Nazionale ha aperto il portale per la registrazione obbligatoria. Le aziende soggette devono iscriversi entro le scadenze indicate, fornendo dati anagrafici, perimetro applicativo e referenti.

Gli obblighi concreti

Misure tecniche e organizzative

• Politiche di analisi e gestione del rischio.
• Gestione degli incidenti.
• Continuità operativa e gestione delle crisi.
• Sicurezza della supply chain.
• Sicurezza nello sviluppo, acquisizione e manutenzione di sistemi.
• Politiche e procedure per valutare l'efficacia delle misure.
• Pratiche di igiene informatica e formazione.
• Crittografia e controlli di accesso.
• Sicurezza del personale e gestione degli asset.
• Autenticazione multifattore.

Notifica degli incidenti

Tempistiche stringenti: notifica preliminare entro 24 ore dalla scoperta, notifica intermedia entro 72 ore, relazione finale entro 30 giorni. Servono procedure preparate, non improvvisate.

Responsabilità degli organi di amministrazione

Una novità importante: i membri del consiglio di amministrazione sono direttamente responsabili dell'attuazione delle misure. Devono ricevere formazione specifica e possono essere sanzionati personalmente.

Sanzioni

Le sanzioni amministrative possono arrivare:

• Fino a 10 milioni di euro o 2% del fatturato annuo per soggetti essenziali.
• Fino a 7 milioni di euro o 1,4% per soggetti importanti.

Cosa fare adesso

1. Verifica se sei soggetto: dimensione, settore, ruolo nella filiera.
2. Iscriviti al portale ACN nei tempi previsti per la tua categoria.
3. Esegui un assessment per individuare i gap rispetto agli obblighi.
4. Definisci un piano di adeguamento prioritizzato per criticità.
5. Forma il management: la responsabilità del CdA è una novità sostanziale.

Conclusione

NIS2 non è "un altro adempimento burocratico", è una trasformazione concreta della cultura di sicurezza aziendale. Le aziende che lo affrontano in modo strutturato ne escono più solide e preparate. Possiamo affiancarti in tutte le fasi, dall'analisi iniziale alla messa a regime delle misure.