+39 333 1328522 
Rafforzare gli obblighi normativi e aumentare i livelli di sicurezza informatica, migliorando la cooperazione tra Stati europei contro le minacce informatiche.
È lo scopo della direttiva europea Nis2, che aggiorna le regole della Nis (Network and information security) risalente al 2016. Concepita a seguito di eventi che hanno messo alla prova l’architettura informatica europea (come la pandemia da Covid-19 e l’invasione russa dell’Ucraina), in Italia la Nis2 è entrata in vigore a metà ottobre, e obbliga aziende pubbliche e private ad alzare lo scudo della protezione informatica.
È lo scopo della direttiva europea Nis2, che aggiorna le regole della Nis (Network and information security) risalente al 2016. Concepita a seguito di eventi che hanno messo alla prova l’architettura informatica europea (come la pandemia da Covid-19 e l’invasione russa dell’Ucraina), in Italia la Nis2 è entrata in vigore a metà ottobre, e obbliga aziende pubbliche e private ad alzare lo scudo della protezione informatica.
INDICE
- SETTORI COINVOLTI
- L’ITER DA SEGUIRE
- GLI OBBLIGHI PER LE AZIENDE
- I PUNTI DI CONTATTO TRA NIS2 E ISO 27001
SETTORI COINVOLTI
A doversi adeguare alle regole saranno le grandi aziende (quelle con oltre 250 dipendenti, o con un fatturato superiore ai 50 milioni di euro) e le medie imprese (con massimo 50 dipendenti o dal fatturato da oltre dieci milioni). Anche le piccole e le microimprese potranno essere chiamate in causa: dipenderà dal livello di importanza che ricoprono negli ambiti di riferimento. I settori coinvolti sono 18, considerati di centrale importanza nella vita economica dei Paesi europei. Dieci sono considerati “ad alta criticità” e riguardano i seguenti ambiti: fornitori di energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, fornitori e distributori di acqua destinata al consumo umano. Ma anche raccoglitori e smaltitori di acque reflue, infrastrutture digitali, gestori e fornitori dei servizi di tecnologia dell’informazione e della comunicazione (Ict), operatori di infrastrutture pubbliche e private che sostengono la fornitura di servizi spaziali.
In sette, invece, appartengono alla lista “altri settori critici”: servizi postali, rifiuti, fabbricazione e distribuzione di sostanze chimiche, alimentare, fabbricazione di dispositivi (computer, mezzi di trasporto, macchinari medici), fornitori di servizi digitali (comprese le piattaforme social), organizzazioni di ricerca. Sono poi categorie a sé la pubblica amministrazione (centri regionali e locali compresi) e altri soggetti come, ad esempio, le attività di trasporto pubblico locale e gli istituti di ricerca.
In sette, invece, appartengono alla lista “altri settori critici”: servizi postali, rifiuti, fabbricazione e distribuzione di sostanze chimiche, alimentare, fabbricazione di dispositivi (computer, mezzi di trasporto, macchinari medici), fornitori di servizi digitali (comprese le piattaforme social), organizzazioni di ricerca. Sono poi categorie a sé la pubblica amministrazione (centri regionali e locali compresi) e altri soggetti come, ad esempio, le attività di trasporto pubblico locale e gli istituti di ricerca.
IL RUOLO DELL ACN
Nell’ambito della Nis2, oltre a fungere da punto di riferimento per i Paesi e le istituzioni europee in materia di cybersicurezza e a intervenire (insieme al ministero della Difesa) in caso di incidente informatico nel nostro Paese, l’Acn dovrà anche dividere le aziende italiane in due categorie: essenziali e importanti. Come spiegato sul sito dell’Agenzia, questa distinzione (basata su criteri come l’importanza del settore in cui operano) servirà ad applicare in maniera proporzionale i nuovi obblighi di ciascuna azienda, oltre a determinare i “poteri ispettivi e sanzionatori” dell’Acn.
L’ITER DA SEGUIRE
Per sapere se le aziende rientrano nell’ambito di applicazione della NIS2, il portale dell’ACN aveva messo a disposizione uno strumento di autovalutazione con cui è possibile rispondere ad alcune domande e capire velocemente se ed in che modo si è soggetto NIS. Entrando sul portale dell’;Agenzia, il punto di contatto, ovvero il soggetto incaricato della procedura di iscrizione, doveva compilare i campi richiesti, Tra
cui il titolo giuridico (ad esempio una delega specifica) che testimoni l’abilitazione a operare sulla piattaforma a nome dell’azienda, il codice fiscale o codice Ipa dell’impresa. Questa operazione era possibile tra l’1 dicembre 2024 (giorno in cui la piattaforma è entrata in funzione) e il 28 febbraio 2025. La fase di registrazione dei soggetti infatti, è terminata recentemente. Entro il 31 marzo 2025 l’Acn comunicherà alle aziende l’eventuale inserimento nell’elenco dei soggetti Nis2, con tanto di collocazione tra essenziali o importanti. A questo punto, l’ACN
Entro metà aprile 2025 si impegnerà alla:
Entro metà aprile 2025 si impegnerà alla:
- costituzione dell’elenco dei soggetti NIS e notifica agli stessi della loro inclusione (articolo 7, commi 2 e 3);
- adozione degli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti.
Entro metà maggio 2025, trasmissione e aggiornamento, tempestivo da parte dei soggetti NIS (comunque non oltre 14 giorni dalla modifica) delle loro informazioni (articolo 7, commi 4, 5 e 7). Entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento da parte dei soggetti registrati agli obblighi di base in materia di notifica di incidente. Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento da parte dei soggetti registrati agli obblighi di base in materia di sicurezza informatica.
GLI OBBLIGHI PER LE AZIENDE
Gli obblighi previsti dalla Nis2 riguarderanno le misure da intraprendere per aumentare la sicurezza informatica e quelle per notificare gli incidenti cyber. Oltre a essere responsabili di eventuali violazioni, gli organi di amministrazione aziendale approvano e controllano l’implementazione delle misure. Inoltre, sono tenuti a seguire e a promuovere tra i dipendenti corsi di formazione in materia di cybersicurezza. Per quel che riguarda gli obblighi in materia di sicurezza informatica, le aziende saranno tenute ad adottare misure che le aiutino a prevenire, gestire e ridurre al minimo l’impatto degli incidenti. Tali regole obbligheranno le imprese ad adottare politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete, strumenti per garantire la continuità operativa e la capacità di ripristino delle attività, il mantenimento di adeguati standard di sicurezza per la catena di approvvigionamento, politiche e procedure relative all’uso della crittografia e della cifratura, strumenti che garantiscano l’affidabilità del personale, adeguatamente controllato al momento di accesso e gestione dei dati, l’implementazione di sistemi di comunicazione di emergenza protetti. Il completo adempimento degli obblighi di base in materia di sicurezza informatica dovrà avvenire entro ottobre 2026.
A partire da gennaio 2026 le aziende dovranno obbligatoriamente notificare l’avvenimento di un incidente informatico al Csirt Italia (Computer Security Incident Response Team), il gruppo nazionale di risposta agli incidenti di sicurezza informatica interno all’Acn, che fungerà da organo di supporto ai soggetti coinvolti. Prima di allora, sarà possibile inviare le segnalazioni su base volontaria. La notifica degli incidenti “significativi” (quelli che causano un impatto diretto sul funzionamento dei servizi e sulle persone) dovrà essere spedita entro 24 ore dal momento in cui l’impresa è venuta a conoscenza dell’accaduto. Il testo dovrà indicare se l’episodio sia il risultato di atti illegittimi e se possa avere un impatto transfrontaliero.
Entro le 72 ore successive, sarà obbligatorio inviare al Csirt un nuovo aggiornamento, accompagnato da una valutazione dell’impatto dell’incidente. A un mese di distanza, poi, dovrà essere spedito un rapporto completo su quanto accaduto. L’implementazione degli obblighi di base in materia di notifica dovrà avvenire entro gennaio 2026.
A partire da gennaio 2026 le aziende dovranno obbligatoriamente notificare l’avvenimento di un incidente informatico al Csirt Italia (Computer Security Incident Response Team), il gruppo nazionale di risposta agli incidenti di sicurezza informatica interno all’Acn, che fungerà da organo di supporto ai soggetti coinvolti. Prima di allora, sarà possibile inviare le segnalazioni su base volontaria. La notifica degli incidenti “significativi” (quelli che causano un impatto diretto sul funzionamento dei servizi e sulle persone) dovrà essere spedita entro 24 ore dal momento in cui l’impresa è venuta a conoscenza dell’accaduto. Il testo dovrà indicare se l’episodio sia il risultato di atti illegittimi e se possa avere un impatto transfrontaliero.
Entro le 72 ore successive, sarà obbligatorio inviare al Csirt un nuovo aggiornamento, accompagnato da una valutazione dell’impatto dell’incidente. A un mese di distanza, poi, dovrà essere spedito un rapporto completo su quanto accaduto. L’implementazione degli obblighi di base in materia di notifica dovrà avvenire entro gennaio 2026.
I PUNTI DI CONTATTO TRA NIS2 E ISO 27001
Nonostante approcci leggermente diversi, la NIS2 e la ISO/IEC 27001 condividono diversi punti di contatto, poiché entrambe mirano a garantire la sicurezza delle informazioni e la resilienza dei sistemi informatici. Alcuni dei punti di contatto riguardano, ad esempio:
1. La gestione del rischio
- La NIS2 richiede alle organizzazioni di adottare misure basate sul rischio per garantire la sicurezza delle reti e dei sistemi informativi. ISO 27001 impone un approccio strutturato alla gestione del rischio con identificazione, valutazione e trattamento dei rischi legati alla sicurezza delle informazioni.
- Per entrambe, dunque, il processo di valutazione del rischio è essenziale e punto cardine degli adempimenti richiesti.
2. L’adozione di misure di sicurezza tecniche e organizzative
- La NIS2 elenca, come misure di sicurezza da adottare, controllo degli accessi, gestione delle vulnerabilità e procedure per garantire la continuità operativa.
- Anche la ISO 27001 include controlli simili nell’ Annex A.
3. La gestione degli incidenti di sicurezza
- La NIS2 impone obblighi di rilevamento, gestione e segnalazione degli incidenti di sicurezza codificati in una procedura specifica.
- Anche la ISO 27001 richiede l’adozione di controlli per una efficace gestione degli incidenti di sicurezza.
Restano comunque ferme le differenze chiave, infatti
- La NIS2 è un obbligo normativo, mentre ISO 27001 è una certificazione volontaria.
- La NIS2 si applica a settori specifici (energia, sanità, trasporti, servizi digitali, ecc.), mentre ISO 27001 è applicabile a qualsiasi organizzazione.
- ISO 27001 è più dettagliata nella gestione della sicurezza delle informazioni, mentre NIS2 si concentra sulla sicurezza informatica a livello più ampio.
Autrice Articolo
Ha acquisito il Ph.D. in Giurisprudenza presso l’Università degli Studi di Padova discutendo una tesi in diritto penale sulla responsabilità delle persone giuridiche, dopo aver conseguito la laurea Magistrale in Giurisprudenza con lode (e menzione speciale per la tesi) presso l’Alma Mater Studiorum Università di Bologna, usufruendo del c.d. percorso breve, e la laurea con lode in Scienze Giuridiche (vincitrice del premio per la miglior tesi). Ha altresì conseguito l’abilitazione all’esercizio della professione forense. È consulente aziendale, in particolare nel settore dei sistemi di gestione – con funzione anche di auditor -, della responsabilità sociale delle persone giuridiche, della sicurezza sul lavoro, dei processi di implementazione del business e della privacy (GDPR). È docente per importanti Enti di Certificazione sulle norme ISO e in materia di privacy.
Contatti
Per maggiori informazioni contattateci o chiamate il numero +39 333 1328522.
Può compilare il form in basso per avere maggiori info
