NIS2 – Network and Information Security 2: le nuove scadenze

da | Apr 10, 2025 | L'editoriale

È conclusa la fase di registrazione sull’ACN – Agenzia per la Cyber Sicurezza Nazionale – per le imprese obbligate dalla Direttiva NIS2, con il termine ufficialmente scaduto il 28 febbraio 2025.

Le aziende che hanno completato il censimento entro tale data hanno avuto un’ultima opportunità per finalizzare la registrazione entro il 10 marzo 2025. Le imprese che non hanno rispettato le scadenze rischiano sanzioni che possono arrivare fino allo 0,1% del fatturato annuo.

Per chi invece è in regola con la registrazione, ora inizia la fase più complessa: l’attuazione operativa delle misure di sicurezza richieste dalla normativa.

NIS2: la fase attuativa

La Direttiva NIS2, attuazione della Direttiva UE 2022/2555 e formalizzata in Italia con il Decreto Legislativo, rappresenta un significativo passo avanti nella protezione delle infrastrutture critiche e dei servizi essenziali. Rispetto alla precedente normativa NIS1 del 2018, il nuovo regolamento introduce obblighi più stringenti, tra cui:

  • Gestione del rischio informatico: con misure strutturate per proteggere le reti e i sistemi IT
  • Sicurezza della Supply Chain: obbligo di verifica del livello di protezione dei fornitori
  • Notifica obbligatoria degli incidenti: al CSIRT Italia entro i termini stabiliti
  • Controlli periodici di verifica: con sanzioni fino a 10 milioni di euro o il 2% del fatturato globale
  • Sanzioni dirette per i dirigenti: in caso di inadempienza, con la temporanea interdizione da ruoli

Per evitare conseguenze economiche e operative, le aziende devono definire una strategia chiara e implementare le misure richieste nei tempi previsti.

Le tre fasi dell’attuazione della NIS2

  1. Prima fase attuativa (ottobre 2024 – aprile 2025)
  2. Registrazione delle aziende obbligate (scadenza 28 febbraio 2025).
  3. Pubblicazione dell’elenco ufficiale dei soggetti NIS a cura dell’ACN (entro marzo 2025).
  4. Notifica alle aziende della loro inclusione nella normativa (entro aprile 2025)
  • Seconda fase attuativa (aprile 2025 aprile 2026)
  • Controlli e monitoraggi da parte delle autorità di vigilanza
  • Obbligo di segnalazione degli incidenti informatici a CSIRT Italia (da gennaio 2026)
  • Definizione del modello di categorizzazione dei servizi e attività critiche (entro aprile 2026)
  • Il completamento delle misure di sicurezza di base (entro settembre 2026)
  • Terza fase attuativa (da aprile 2026 in poi)
  • Applicazione integrale degli standard di sicurezza previsti dalla NIS2
  • Implementazione definitiva delle misure di protezione avanzate

NIS2: non c’è tempo da perdere

Condividi