NIS2 – scadenza 31 dicembre, il tempo stringe. Questa è la data entro la quale tutte le organizzazioni soggette alla Direttiva NIS2 (UE 2022/2555) dovranno aver completato le attività previste per la conformità, compresa la designazione dei ruoli responsabili della sicurezza e l’aggiornamento delle procedure interne.
Recepita in Italia con il D.lgs. 138/2024, in vigore dal 16 ottobre 2024, la NIS2 segna un salto di qualità nella gestione della sicurezza informatica e nella responsabilità aziendale. Non si tratta più di una semplice “raccomandazione europea”, ma di un vero e proprio obbligo normativo, che introduce sanzioni e responsabilità dirette anche per gli organi amministrativi.
NIS2: un obbligo che riguarda anche le PMI
Vogliamo ricordare che una delle principali novità della direttiva NIS2 è l’ampliamento del perimetro dei soggetti coinvolti (supply chain). Non sono più solo i grandi operatori di infrastrutture critiche a dover garantire standard di sicurezza elevati: la NIS2 introduce il principio di rilevanza sistemica, che coinvolge anche medie imprese che forniscono servizi essenziali o comunque tutte le aziende anche piccole che fanno parte della catena di fornitura di settori sensibili.
Molte organizzazioni, quindi, potrebbero essere coinvolte anche indirettamente e non adeguarsi in tempo significa esporsi non solo a sanzioni, ma anche a rischi reputazionali e operativi molto seri. La NIS2, infatti, non è una semplice formalità, è una normativa che introduce obblighi stringenti in materia di cybersecurity, governance e gestione degli incidenti. Chi non si adegua in tempo rischia di trovarsi inadempiente di fronte all’Agenzia per la Cybersicurezza Nazionale (ACN), con conseguenze operative, economiche e legali significative.
Cosa è necessario per adeguarsi alla NIS2?
La NIS2 impone procedure e adeguamenti tecnici ben definiti, che possiamo riassumere con:
- implementare procedure di risposta agli incidenti in linea con gli standard europei;
- assicurare una tracciabilità chiara delle responsabilità interne;
- formare personale qualificato in grado di dialogare con gli organismi nazionali di cybersecurity;
- predisporre infrastrutture IT sicure, resilienti e monitorate.
Ogni ritardo può trasformarsi in un rischio concreto: non solo sanzioni amministrative (fino a milioni di euro per i soggetti essenziali), ma anche responsabilità dirette per gli organi amministrativi, danni reputazionali e fermi operativi in caso di incidente.
NIS2: l’ACN introduce la figura del referente CSIRT
Vogliamo innanzitutto evidenziare che recentemente l’Agenzia per la Cybersecurity Nazionale (ACN) ha introdotto la figura del referente CSIRT. Questa nuova figura, che dovrà essere designata tra il 20 novembre e il 31 dicembre 2025, è la persona fisica, designata dal Punto di Contatto (PdC) tramite procedura telematica sul Portale ACN, che interloquisce con lo CSIRT Italia ed effettua le notifiche di cui agli articoli 25 e 26 del decreto NIS per conto del soggetto NIS. Occorre dunque prepararsi subito per individuare i profili adatti che possono coprire un ruolo a forte responsabilità. È necessaria, infatti, un’esperienza concreta in gestione incidenti e la conoscenza delle architetture di rete/sistemi dell’organizzazione coinvolta.
Quali sono le attività da concludere entro il 31 dicembre 2025?
Secondo le linee guida operative pubblicate dall’ACN, le attività da concludere entro la fine dell’anno sono precise e inderogabili:
- Aggiornamento dell’organigramma aziendale e dei mansionari, con l’inserimento dei ruoli previsti dalla NIS2:
- Punto di Contatto (PdC)
- Sostituto Punto di Contatto
- Referente CSIRT Italia (e sostituti)
- CISO (Chief Information Security Officer)
- Definizione e adozione della procedura di gestione degli incidenti significativi inclusi i flussi di notifica verso CSIRT Italia e ACN.
- Aggiornamento delle informazioni sul portale ACN e notifica del Referente CSIRT tra il 20 novembre e il 31 dicembre 2025.
- Formazione specifica del Referente CSIRT Italia sulla procedura di gestione degli incidenti significativi e relative notifiche.
Come possiamo supportarti per la compliance della NIS2?
Grazie al nostro team di esperti, possiamo accompagnarti in ogni fase del percorso di conformità alla NIS2, con un approccio integrato che combina sia la competenza normativa sia la capacità tecnologica. Dall’Assessment iniziale fino all’implementazione di tutte le procedure e soluzioni tecniche prescritte dalla normativa europea.
Non aspettare ulteriormente, il tempo sta per scadere!
La NIS2 è un’occasione per rafforzare la postura di sicurezza informatica aziendale e proteggere la continuità operativa. Occorre pianificare subito le attività di adeguamento e arrivare al 31 dicembre con una struttura conforme, sicura e pronta a rispondere agli obblighi della NIS2.
