L’evoluzione delle minacce informatiche e l’interconnessione crescente dei sistemi digitali hanno reso la sicurezza informatica una priorità per governi e imprese. La direttiva UE 2555/2022, nota come NIS 2, ha lo scopo di introdurre un quadro normativo rafforzato per migliorare la resilienza cibernetica delle infrastrutture critiche e delle organizzazioni strategiche. In Italia, l’Agenzia per la cybersicurezza nazionale (ACN) gioca un ruolo chiave nell’attuazione di questa normativa.

1. Cosa cambia con la NIS 2

La NIS 2 sostituisce la precedente direttiva NIS del 2016, ampliando il perimetro dei soggetti obbligati e introducendo obblighi più stringenti in termini di gestione del rischio e segnalazione degli incidenti. Le imprese che operano in settori essenziali, come energia, trasporti, sanità e digitale, sono ora tenute a implementare misure di sicurezza avanzate e a garantire una risposta tempestiva agli attacchi informatici. Inoltre, la direttiva promuove una cooperazione rafforzata tra gli Stati membri per affrontare in modo coordinato le minacce informatiche, creando un ecosistema digitale più resiliente e sicuro a livello europeo.

L’ampliamento della platea di soggetti obbligati include ora anche settori precedentemente non contemplati, come i servizi postali, la gestione dei rifiuti e le pubbliche amministrazioni. Questo nuovo assetto normativo si traduce in un aumento degli obblighi per molte realtà imprenditoriali, che devono adeguarsi implementando strategie di cybersecurity efficaci e conformi agli standard imposti.

2. L’ACN e le sue competenze

L’Agenzia per la cybersicurezza nazionale, istituita nel 2021, ha il compito di coordinare le strategie di sicurezza cibernetica in Italia. Con la NIS 2, l’ACN assume un ruolo ancora più centrale, in quanto è chiamata a:

• definire le linee guida e gli standard di sicurezza per le imprese soggette alla direttiva;

• supervisionare l’attuazione delle misure di gestione del rischio e la conformità delle organizzazioni;

• coordinare la risposta nazionale agli incidenti cibernetici per mezzo del CSIRT Italia (vale a dire l’organo dell’ACN che si occupa di monitoraggio preventivo e risposta agli incidenti informatici);

• promuovere la cooperazione tra settore pubblico e privato per migliorare la resilienza complessiva del Paese;

• irrogare sanzioni in caso di inadempienza alle norme in materia;

• gestire l’elenco dei «soggetti essenziali e importanti», aggiornandolo periodicamente;

• fornire supporto tecnico e operativo alle imprese per l’adozione di best practices in materia di sicurezza informatica;

• implementare una piattaforma digitale per la registrazione obbligatoria delle organizzazioni coinvolte.

3. Obblighi di registrazione e informazioni richieste

La direttiva NIS 2 e il relativo decreto di recepimento (d.lgs. 138/2024) stabiliscono che le imprese soggette alla normativa debbano registrarsi presso l’ACN tramite una piattaforma digitale dedicata. La registrazione deve avvenire annualmente tra il 1° gennaio e il 28 febbraio per garantire un monitoraggio costante e un aggiornamento tempestivo dell’elenco. Le informazioni richieste in fase di registrazione includono i dati generali dell’organizzazione (nome, indirizzo, contatti, indirizzi IP), il settore e i sottosettori di appartenenza, lo spazio di indirizzamento IP pubblico e i nomi di dominio utilizzati, i referenti interni per la sicurezza informatica.

Tale procedura consente di creare un database centralizzato delle infrastrutture critiche, facilitando la gestione degli interventi in caso di minaccia informatica e migliorando la capacità di prevenzione e risposta degli organismi competenti.

4. Implicazioni per le imprese

Le aziende devono adottare un approccio proattivo alla cybersicurezza, investendo in strumenti di protezione, formazione del personale e procedure di gestione degli incidenti. Per essere conformi alla NIS 2, le imprese devono:

• verificare se rientrano tra i soggetti essenziali o importanti;

• assicurarsi di completare la registrazione annuale presso l’ACN;

• collaborare con l’Agenzia e notificare eventuali cambiamenti organizzativi;

• implementare misure di sicurezza adeguate, al fine di ridurre il rischio di attacchi informatici;

• elaborare e testare piani di risposta agli incidenti per garantire la continuità operativa.

  
  

Questi obblighi si traducono in un impegno concreto per le imprese, che devono destinare risorse e competenze per adeguarsi alle nuove direttive. Tuttavia, la conformità alla NIS 2 rappresenta anche un’opportunità per migliorare la propria resilienza digitale, ridurre i costi derivanti da attacchi informatici e consolidare la fiducia di clienti e partner commerciali. È dunque innegabile come l’implementazione della NIS 2 richieda un cambio di mentalità, spingendo le imprese a considerare la sicurezza informatica non più come un costo, ma come un investimento strategico a lungo termine. 

Se sei interessato ad approfondire la NIS2 e le altre normative in materia di cybersecurity e protezione dei dati, non perderti il Data Protection Forum 2025 #DPF2025. L'appuntamento è il 06 giugno 2025, a partire dalle 09:30, presso l'Auditorium Appiani di Piazza delle Istituzioni a Treviso. L'evento è gratuito. Posti limitati. Non mancare! Prenota subito il tuo posto cliccando sul bottone qui sotto!

Francesco Magagna Redazione LexTech Hub