NIS2: nuove regole e scadenze per la cybersecurity aziendale

30 Maggio 2025

Come abbiamo anticipato a Novembre 2024, la direttiva NIS2 segna un passo avanti significativo rispetto alla precedente normativa, imponendo requisiti di sicurezza informatica più rigorosi e dettagliati per rafforzare la protezione delle infrastrutture critiche e dei servizi essenziali. 


Le aziende dovranno concentrarsi su diversi aspetti fondamentali imposti dalla nuova direttiva. Innanzitutto, una responsabilità diretta per l'approvazione e la supervisione delle misure di cybersicurezza ricadrà sul management (Board), rendendo obbligatoria una formazione specifica per dirigenti e personale, affiancata da una gestione accurata degli accessi fisici e logici. Sarà inoltre cruciale la sicurezza della supply chain, che richiederà l'individuazione dei fornitori critici, un'attenta analisi della loro esposizione al rischio e la conseguente implementazione di misure atte a mitigarlo. Parallelamente, la gestione del rischio e la continuità operativa impongono alle organizzazioni di condurre analisi approfondite dei rischi sui propri sistemi critici, attuare efficaci strategie per il loro trattamento e perseguire un miglioramento continuo, che includa solidi piani di continuità operativa. Infine, per quanto riguarda la gestione degli incidenti, sarà necessario implementare una procedura dedicata, designare un punto di contatto interno e garantire la notifica degli incidenti rilevanti all'Autorità Competente Nazionale (ACN) entro 24 ore dalla loro scoperta. 


La direttiva coinvolge medie e grandi aziende di numerosi settori, tra cui: energia, trasporti (aereo, ferroviario, vie d'acqua, strada), bancario, infrastrutture dei mercati finanziari, sanitario, acqua potabile e reflue, infrastrutture digitali, gestione servizi ICT, pubblica amministrazione, spazio, servizi postali, gestione dei rifiuti, produzione chimica, alimentare, e manifatturiero (dispositivi medici, elettronica, macchinari, veicoli).


La NIS2 si applica anche a entità che, indipendentemente dalla dimensione, prendono decisioni cruciali sulla sicurezza informatica o gestiscono sistemi per soggetti rientranti nel perimetro NIS.


Sanzioni previste

La non conformità può portare a sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo mondiale totale, se superiore. Per i soggetti essenziali, nei casi più gravi, è prevista la possibile sospensione temporanea delle funzioni per i dirigenti.


Scadenze da non dimenticare

  • 31 Luglio 2025: aggiornamento informazioni
  • Entro il 2025: implementazione della gestione degli incidenti
  • Entro il 2026: richiesta la piena conformità
  • Annualmente: Gennaio/Febbraio (riapertura registrazioni), 15 Aprile (comunicazione ACN sui soggetti inclusi), fine Maggio (aggiornamento dati).


Le imprese devono agire tempestivamente per analizzare il proprio allineamento con la NIS2 e pianificare le azioni correttive necessarie.

Pronti per la NIS2?
Affrontare la NIS2 può essere complesso, per questo offriamo consulenza specializzata per guidarvi: iniziamo con un Context Assessment per valutare l'applicabilità della direttiva alla vostra realtà, per poi supportarvi con NIS Compliance, il nostro servizio di adeguamento.
Grazie a soluzioni personalizzate, vi accompagniamo fino al raggiungimento della piena conformità NIS2.

Contattaci per maggiori informazioni