La Direttiva NIS2, entrata in vigore a metà ottobre e recepita in Italia con apposito decreto legislativo (D. Lgs n. 138/2024), mira a rafforzare la sicurezza informatica e la resilienza operativa digitale delle organizzazioni che offrono servizi all’interno dell’Unione Europea in specifici settori (chiamati “settori ad alta criticità” e “altri settori critici”).
La Direttiva sostituisce la precedente del 2016, ampliando il suo ambito di applicazione e introducendo requisiti più stringenti per la protezione delle reti e dei sistemi informativi.
Se da un lato la compliance alla NIS2 è obbligatoria per motivi di sicurezza, dall’altro offre alle imprese l’opportunità di:
- incentivare l’innovazione interna, modernizzando la propria infrastruttura IT e aumentando la sicurezza e l’efficienza dei processi;
- rafforzare la credibilità aziendale e la fiducia di clienti e partner;
- potenziare la competitività e accedere a mercati più ampi.
Who does the NIS2 Directive apply to?
La Direttiva obbliga le organizzazioni pubbliche e private, che operano in 18 settori considerati particolarmente rilevanti (perché ritenuti fondamentali per il funzionamento della società e dell’economia europea), ad alzare i loro livelli di sicurezza informatica.
L’ACN (Agenzia per la Cybersicurezza Nazionale) nominata autorità italiana competente per l’applicazione della Direttiva dal decreto legislativo di recepimento, ha individuato questi settori critici in conformità alla Direttiva stessa, tra cui:
- energy
- transport
- sanità
- digital infrastructure (data centres, cloud, telecommunications)
- ICT services
- Public Administration
As regards private organisations, only large and medium-sized enterprises are required to comply. For small and micro-enterprises, however, it depends on their relevance in the sector concerned.
Organisations affected by NIS2 must implement appropriate technical, operational and organisational measures to manage cybersecurity risks, including:
- attuazione di misure per la gestione dei rischi e la protezione dei sistemi da vulnerabilità e minacce cibernetiche emergenti;
- obbligo di notifica degli incidenti con impatti significativi entro 24 ore dalla scoperta, per garantire una risposta rapida e coordinata; le notifiche andranno fatte al competente CSIRT Italia (Computer Security Incident Response Team), la struttura interna all’ACN che ha la responsabilità di monitorare, intercettare, analizzare e rispondere agli incidenti informatici;
- adozione di misure di sicurezza avanzate, come ad esempio l’autenticazione multifattore, la crittografia e la cifratura, per aumentare la protezione dei dati e prevenire accessi non autorizzati;
- continuous training of the top management of the companies involved (administrative and management bodies), and promotion of training for all personnel involved, with the aim of creating a corporate culture of safety as a preventive measure.
- Il dettaglio degli obblighi e delle misure sarà definito da ACN nel corso del 2025 e, secondo la timeline condivisa dalla stessa Agenzia, l’implementazione dei nuovi obblighi sarà graduale e progressiva:
- the new notification requirements will apply from January 2026;
- The new cybersecurity measures will have to be implemented starting in September 2026.
Il portale dell’ACN per la conformità a NIS2 (www.acn.gov.it), portal for registering organisations subject to the NIS2 Directive.
