Direttiva NIS2: Guida operativa e novità per la conformità alla normativa sulla cybersicurezza.

Con l’entrata in vigore del decreto legislativo di attuazione della Direttiva (UE) 2022/2555, nota come Direttiva NIS2, si rafforza il quadro normativo europeo e nazionale in materia di cybersicurezza. Le imprese strategiche, i fornitori di servizi digitali e molte realtà operanti nei settori essenziali o ad alto impatto, sono ora soggette a obblighi stringenti in termini di governance, risk management e comunicazione con le autorità competenti.

In questo contesto, è essenziale per le aziende comprendere la scansione temporale degli adempimenti e attivare tempestivamente le strutture interne per garantire la conformità. Di seguito, un’analisi sintetica ma operativa sugli obblighi attualmente in corso e su quelli futuri.

I soggetti NIS 2.

La Direttiva NIS2 ha l’obiettivo di elevare il livello comune di sicurezza delle reti e dei sistemi informativi nell’Unione europea, estendendo il perimetro dei soggetti obbligati rispetto alla precedente Direttiva NIS (UE) 2016/1148.

La normativa distingue tra:

• Soggetti essenziali, operanti in settori critici (energia, trasporti, finanza, sanità, PA…)
• Soggetti importanti, attivi in settori a forte impatto (digitale, manifattura critiche, poste, gestione rifiuti…)

Le imprese rientranti in queste categorie, che in questi giorni stanno ricevendo da ACN conferma del loro status, sono ora sottoposte a obblighi annuali di registrazione e aggiornamento dati, gestione del rischio, notifica di incidenti, e cooperazione con l’Autorità nazionale competente NIS, individuata nell’Agenzia per la Cybersicurezza Nazionale (ACN).

Adempimenti in corso: aprile – maggio 2025

A partire dal 15 aprile 2025, i “soggetti NIS” saranno tenuti ad avviare il processo di aggiornamento delle informazioni, ai sensi dell’articolo 7, commi 4, 5 e 7, del decreto.

In particolare, entro il 31 maggio 2025, tutti i soggetti che hanno ricevuto da ACN la PEC di comunicazione formale di inserimento o permanenza nell’elenco ufficiale dei soggetti essenziali o importanti dovranno accedere alla piattaforma digitale NIS e fornire o aggiornare le seguenti informazioni:

• Spazio di indirizzamento IP pubblico e nomi di dominio utilizzati;
• Stati membri UE in cui vengono erogati servizi (ove applicabile);
• Dati di contatto delle persone fisiche appartenenti agli organi di amministrazione e direttivi ex art. 38, comma 5 del decreto;
• Dati del sostituto del punto di contatto designato.

Per categorie particolari di soggetti NIS (cloud provider, CDN, DNS, social network, marketplace, motori di ricerca, ecc.), sono richiesti anche:

• Indirizzi delle sedi UE;
• Sede del rappresentante legale, se non stabiliti nell’Unione.

Le novità introdotte dalla determinazione 164179 di ACN.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente reso pubbliche le specifiche tecniche di base, definendo misure di sicurezza e requisiti per la notifica di incidenti, che le organizzazioni dovranno implementare per conformarsi al decreto NIS2.

La determinazione, in vigore dal 30 aprile 2025, stabilisce le tempistiche per l’implementazione:

• 18 mesi dalla comunicazione di inserimento nell’elenco dei soggetti NIS per l’adozione delle misure di sicurezza
• 9 mesi per attivare i meccanismi di notifica degli incidenti significativi

Il documento si compone di quattro allegati tecnici che costituiscono un vero e proprio manuale operativo per le organizzazioni definendo misure di sicurezza e le specifiche per gli incidenti differenziate per i soggetti importanti e i soggetti essenziali.

L’ Aggiornamento del funzionamento del Portale ACN.

Con una ulteriore determinazione, che sostituisce quella di novembre 2024, ACN introduce le seguenti novità:

1. Punto di contatto per la cybersicurezza:
   • Ora può coincidere con il referente designato ai sensi della Legge 28 giugno 2024, n. 90 (ove il soggetto NIS sia anche vincolato dalla citata normativa).
2. Gestione del sostituto del punto di contatto:
   • È stato definito un processo per censirne i dati nel portale.
3. Dati degli organi di amministrazione e direttivi del soggetto NIS:
   • Devono essere indicati con:
     • Codice fiscale
     • PEC (Posta Elettronica Certificata)
4. Accettazione dell’incarico:
   • Le persone fisiche indicate devono accettare formalmente l’incarico accedendo al Portale ACN, seguendo la procedura descritta nella comunicazione che riceveranno via PEC.

Prossimi adempimenti previsti dalla NIS2

Oltre agli adempimenti di aprile–maggio, sono inoltre previste una serie di scadenze strutturali che accompagneranno il percorso di piena attuazione:

Gennaio 2026
Obbligo inderogabile di notifica degli incidenti significativi entro 24 ore. Non sarà più possibile gestire eventi critici in modo discrezionale o interno.

Aprile 2026
ACN dovrà pubblicare:

• Il modello di categorizzazione del rischio, con livelli differenziati per tipologia di soggetto;
• Il pacchetto di obblighi a lungo termine (audit periodici, miglioramento continuo, misure adattive).

Ottobre 2026
Scade il termine per l’implementazione effettiva delle misure minime di sicurezza. Le politiche / procedure dovranno essere operative, documentate e verificabili.

Conclusioni: un riepilogo di cosa dovrebbero fare le imprese in questa fase.

In questa fase è prioritario:

• Verificare se si è stati inclusi nell’elenco NIS2 e se si è ricevuta la comunicazione da ACN (ricezione comunicazione a mezzo PEC da ACN);
• Verificare la classificazione: soggetto “essenziale” o soggetto “importante”.
• Accedere alla piattaforma digitale e aggiornare i dati entro il 31 maggio 2025;
• Formalizzare ruoli e responsabilità interne, con particolare attenzione all’art. 38;
• Integrare la NIS2 nel sistema di compliance esistente (231, ISO 27001, gestione rischi IT, DPO…).

Secondariamente, con riferimento all’implementazione di misure di sicurezza e le specifiche per gli incidenti significativi richieste dalla determinazione:

• Analisi del gap: confrontare le misure di sicurezza con quelle richieste dalla determinazione;
• Roadmap di implementazione: sviluppare un piano di implementazione;
• Revisione dei protocolli di notifica: aggiornare le procedure interne;
• Adeguamento della governance: seguire le indicazioni della direttiva ne coinvolgimento degli organi amministrativi e direttivi

Le scadenze del 2025 rappresentano solo il primo passo di un percorso progressivo, che culminerà nell’ottobre 2026 con la piena operatività del sistema. Adottare un approccio scalabile e proattivo consente non solo di prevenire sanzioni, ma di costruire una struttura di cyber governance solida, adattabile e sostenibile nel lungo periodo.

La NIS2 non è soltanto una normativa da rispettare, ma un’occasione per rafforzare il proprio vantaggio competitivo attraverso l’adozione di una cultura della sicurezza digitale.