Abbiamo pubblicato nelle scorse settimane una panoramica dettagliata degli obblighi, degli ambiti di applicazione e dei soggetti destinatari della normativa NIS2, entrata in vigore il 27 ottobre 2022 e recepita in Italia due anni più tardi con il Decreto Legislativo 138/2024.
Un percorso di compliance che ha visto come prima tappa importante l’identificazione e la registrazione dei soggetti destinatari – considerati “essenziali” per la cybersecurity in Italia – sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN), preannunciata con la Prima Determinazione.
L’articolo 27 della NIS 2 e, a livello nazionale, l’articolo 7 del Decreto di recepimento hanno stabilito infatti che i soggetti che operano in uno dei settori/sottosettori/tipologie di aziende previste dalla NIS2 dovevano registrarsi sulla piattaforma entro il 28 febbraio 2025. Tuttavia, per alcune categorie specifiche di soggetti, come i fornitori di servizi di sistema dei nomi di dominio, di cloud computing e Datacenter, la scadenza registrazione era stata fissata entro il 17 gennaio 2025. Attenzione: l’iscrizione deve essere rinnovata ogni anno dal 1 gennaio ed entro il termine stabilito per le diverse categorie.
Questa registrazione deve includere informazioni fondamentali come la ragione sociale, i recapiti aggiornati, il nominativo di un punto di contatto e, se applicabile, i settori e le tipologie di attività svolte. Tutti dati indispensabili per consentire all’ACN di svolgere le proprie attività di controllo e monitoraggio.
Entro il 31 marzo, l’Agenzia per la Cybersicurezza Nazionale ha quindi redatto l’elenco dei soggetti che devono adempiere alla normativa, compresa la collocazione tra soggetti essenziali o importanti; nelle ultime settimane, infine, ha notificato ai punti di contatto delle imprese registrate l’eventuale inserimento nell’elenco dei soggetti che devono adeguarsi e il primo set di obblighi di base per le 20mila azienda contrassegnate come imprese essenziali, in materia di sicurezza informatica e notifica degli incidenti. Le aziende devono quindi implementare concretamente le misure di sicurezza richieste dalla NIS2, in termini di nuove tecnologie, formazione del personale e adeguamento dei processi aziendali.
Scopriamo quindi le prossime scadenze da rispettare!
NIS2 prossime scadenze: si entra nel vivo della compliance!
Non si parla più di registrazione, mappatura dei soggetti e censimento: ora si entra nel vivo della compliance! L’Agenzia per la Cybersicurezza Nazionale ha diviso in due set gli obblighi in carico ai soggetti destinatari della normativa NIS2.
Il primo set di obblighi ha una scadenza fissata al 31 maggio 2025: le imprese interessate devono perfezionare la registrazione sulla piattaforma dell’ACN, inserendo informazioni specifiche come:
- il nome, il ruolo e i dati di contatto delle persone fisiche responsabili dell’ente o che agiscono in qualità di legali rappresentanti;
- un sostituto del punto di contatto, con indicazione del ruolo aziendale;
- lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso o nella disponibilità del soggetto;
- gli Stati membri nei quali l’azienda eroga i propri servizi digitali o infrastrutturali.
Tutte queste informazioni devono essere sempre aggiornate, con l’obbligo di comunicazione di ogni variazione entro 14 giorni dalla messa in atto della stessa.
Il secondo set di obblighi prevede diverse fasi attuative con diktat scaglionati nel corso del 2026: la strategia dell’ACN, infatti, è quella di accompagnare step by step le imprese nel percorso di compliance, fornendo progressivamente tutti gli strumenti tecnici e normativi necessari per arrivare alla compliance.
Da gennaio 2026, entrerà ufficialmente in vigore l’obbligo di notifica degli incidenti significativi. Gli attacchi subiti devono essere segnalati tempestivamente alla autorità competenti, con l’adozione strutturata di un piano di risposta efficace che deve essere testato periodicamente per garantire sempre una gestione strutturata in caso di violazioni. Nello specifico, i soggetti importanti saranno obbligati a notificare:
- la perdita di riservatezza dei dati digitali, anche solo parziale;
- la perdita di integrità dei dati digitali, anche in questo caso anche qualora fosse solo parziale;
- la violazione dei livelli di servizio attesi.
Per quanto riguarda i soggetti essenziali, questi dovranno notificare anche l’accesso ai dati digitali non autorizzato o con abuso dei privilegi concessi.
Entro aprile 2026, sarà l’ACN ad avere in carico un compito di rilievo. Si dovrà definire, infatti, un modello di categorizzazione delle attività e dei servizi dei soggetti destinatari, con l’obiettivo di determinare gli specifici livello di rischio associati al settore di appartenenza, determinando di conseguenza gli obblighi in maniera proporzionata a seconda della criticità in essere. È in questo caso che verrà comunicato il secondo set di obblighi, questa volta a lungo termine. A differenza del primo set, si entrerà in merito relativamente a piani di governance, risk management e auditing di sicurezza periodici.
Attenzione alla scadenza di settembre 2026, entro la quale le aziende devono garantire la completa implementazione delle misure di sicurezza di base, applicate a tutti i sistemi informativi e di rete e con diverse modalità per soggetti essenziali o importanti. Nel rispetto del Framework Nazionale per la Cybersecurity e la Data Protection, sono 37 misure e 87 requisiti per soggetti categorizzati come importanti e 43 misure con 116 requisiti da soddisfare per i soggetti essenziali.
Una sfida di assoluta importanza in termini di governance aziendale per l’adeguamento degli organi di amministrazione e direttivi alle nuove responsabilità. È necessario quindi un cambiamento sostanziale nella cultura aziendale, soprattutto per quanto riguarda i cosiddetti decision makers.
