Dal 16 ottobre 2024 entra in vigore in Italia la Direttiva NIS2, recepita con il decreto legislativo n.138/2024. L’obiettivo è rafforzare la sicurezza informatica di aziende e Pubbliche Amministrazioni, in linea con gli standard europei.

Settori coinvolti e soggetti interessati
La NIS2 amplia l’ambito di applicazione a 18 settori, tra cui energia, trasporti, finanza, sanità, infrastrutture digitali e Pubblica Amministrazione. Le organizzazioni vengono classificate in:

• Soggetti essenziali: includono infrastrutture critiche con impatto diretto sulla sicurezza e sull’economia nazionale (es. energia, telecomunicazioni, banche, trasporti).
• Soggetti importanti: settori che, pur essendo critici, non rappresentano un rischio immediato su larga scala (es. sanità, fornitura idrica, alimentare).

Obblighi per le aziende

• Gestione del rischio: le imprese devono identificare vulnerabilità e implementare misure di mitigazione.
  Notifica degli incidenti: gli eventi critici vanno segnalati entro 24 ore alle autorità competenti, con un report dettagliato entro 72 ore.
• Sicurezza della supply chain: monitoraggio dei fornitori e introduzione di requisiti contrattuali per la cybersecurity.
• Formazione continua: aggiornamenti periodici del personale per prevenire attacchi informatici.
• Governance della sicurezza: audit interni e responsabilità diretta del management nella supervisione delle politiche di sicurezza.

Scadenze principali

• Entro il 28 febbraio 2025: registrazione sul portale ACN per le aziende interessate.
• Da gennaio 2026: obbligo di notificare gli incidenti informatici.
• Entro ottobre 2026: attuazione completa delle misure di sicurezza richieste.

Il mancato adeguamento alla NIS2 comporta sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale per i soggetti essenziali, e fino a 7 milioni di euro o all’1,4% per i soggetti importanti. Conformarsi alla direttiva non è solo un obbligo normativo, ma un vantaggio strategico per la protezione aziendale e la competitività sul mercato.