Contattaci
Categorie

Direttiva NIS 2: le date da segnare in agenda dopo la registrazione

Redazione
07.05.2025 - Tempo di lettura: 6'
Direttiva NIS 2: le date da segnare in agenda dopo la registrazione

Una panoramica sulle date in calendario per i soggetti interessati dagli obblighi della direttiva NIS 2, recepiti dal relativo decreto di attuazione.

La direttiva NIS 2, recepita dal relativo decreto legislativo di attuazione, ha introdotto diversi obblighi per l’implementazione del livello di sicurezza comune dagli attacchi informatici.

Rispetto alla precedente normativa è stata estesa la platea dei soggetti obbligati, distinti tra essenziali e importanti.

Il primo degli obblighi previsti è stato quello di registrazione al portale dell’ACN, l’Agenzia per la cybersicurezza nazionale. La scadenza era fissata al 28 febbraio scorso.

Superato il termine, sono diverse le date da segnare in agenda. Particolarmente importante è stato il mese di aprile, che ha aperto ai prossimi step.

Direttiva NIS 2: i principali obblighi della direttiva europea

La direttiva europea NIS 2 è stata attuata dal decreto legislativo n. 138/2024 a partire dal 16 ottobre dello scorso anno.

Il decreto prevede l’abrogazione della legge di recepimento della precedente direttiva NIS. Tra le novità introdotte c’è l’aumento del livello di sicurezza comune dagli attacchi informatici, da ottenere con l’armonizzazione delle norme applicabili ai diversi operatori nei diversi Stati membri.

La direttiva NIS 2 prevede inoltre il rafforzamento dei livelli standard di sicurezza.

Le principali novità introdotte sono:

  • Ampliamento dei settori coinvolti da 6 a 18: energia, acqua potabile e reflue, infrastrutture digitali, settore sanitario, bancario, mercati finanziari, trasporti, spazio (parziale), servizi postali e di corriere, alimentare, gestione rifiuti, servizi TIC business-to-business, pubblica amministrazione, chimica, manifatturiero, servizi digitali, ricerca.
  • Classificazione degli operatori: vengono distinti due livelli di rilevanza, soggetti essenziali e soggetti importanti, con obblighi diversificati in base alla criticità.
  • Rafforzamento delle misure di sicurezza: si introduce un approccio multi-rischio e proporzionale, con l’obbligo di implementare misure adeguate e un processo di notifica degli incidenti più strutturato.
  • Introduzione di nuovi strumenti di governance obbligatori: la gestione del rischio cyber, la formazione in materia di cybersicurezza e lo svolgimento regolare di audit.
  • Maggiore attenzione alla supply chain: vengono stabilite nuove regole stringenti per la sicurezza della catena di fornitura, in particolare per le infrastrutture critiche o rilevanti.

I soggetti coinvolti dalle regole approvate a livello europeo, recepite nell’ordinamento nazionale, sono principalmente quelli coinvolti nei servizi essenziali e i fornitori di servizi digitali nell’intera Unione europea.

Tra i nuovi obblighi previsti ci sono quelli relativi all’adozione di modelli adeguati agli specifici requisiti e l’inserimento degli stessi modelli nelle pratiche operative aziendali.

Le differenze tra soggetti essenziali e importanti e gli obblighi previsti

Il decreto legislativo n. 138 del 2024, di recepimento della direttiva NIS 2, prevede la suddivisione dei soggetti obbligati tra “essenziali” e “importanti”.

A stabilire i criteri per l’identificazione dei soggetti essenziali è l’articolo 6 del decreto legislativo citato.

Senza entrare eccessivamente nel dettaglio è però opportuno elencare chi può rientrare tra i soggetti che svolgono servizi essenziali:

  • nel settore energetico: elettrico, oil and gas, riscaldamento e idrogeno;
  • per il settore sanitario: produttori di dispositivi medicali, laboratori; R&D e settore farmaceutico;
  • nel settore dei trasporti: aereo, nautico, ferroviario e stradale;
  • acque e acque di scarico;
  • infrastrutture digitali;
  • settore spaziale;
  • pubblica amministrazione.

I soggetti “importanti” sono ricavati da quelli “essenziali”. Tra tali soggetti rientrano quelli ricompresi nell’articolo 3 del del decreto legislativo n. 138/2024, che non possono essere definiti soggetti essenziali.

Di seguito un elenco dei servizi svolti dai soggetti “importanti”:

  • settore postale e, più in generale, di spedizioni;
  • gestione e trattamento dei rifiuti;
  • settore chimico, compresa la produzione e la distribuzione;
  • settore alimentare, compreso l’approvvigionamento e la grande distribuzione;
  • industrie tecnologiche e ingegneristiche;
  • servizi digitali, compresi social network e servizi di data center;
  • ricerca scientifica.

Devono prestare particolare attenzione agli obblighi collegati con la direttiva NIS 2 anche tutti i fornitori e service provider dei servizi essenziali e dei servizi importanti.

In linea generale, in relazione ai servizi essenziali, gli obblighi di vigilanza sono principalmente ex-ante e le autorità possono effettuare ispezioni, audit e richieste di accesso ai dati. Nel caso dei servizi importanti, invece, gli obblighi di vigilanza sono ex-post.

A seconda della classificazione, sono previsti obblighi diversi.

I principali riguardano:

  1. la registrazione e l’aggiornamento delle informazioni;
  2. gli organi di amministrazione e direttivi;
  3. gli obblighi in materia di misure di sicurezza informatica;
  4. gli obblighi in materia di notifica di incidente;
  5. per alcune tipologie di soggetti, gli obblighi in materia di banca dei dati di registrazione dei nomi di dominio;
  6. la categorizzazione delle attività e dei servizi;
  7. l’applicazione delle regole per la sicurezza della supply chain delle infrastrutture critiche o importanti.

Tali obblighi vengono scanditi secondo una specifica tabella di marcia temporale, specifica per i soggetti chiamato a rispondere alle regole.

Direttiva NIS 2: il ruolo fondamentale dell’ACN

Il compito di esercitare funzioni direttive, di controllo o di vigilanza sull’implementazione e sull’attuazione del decreto n. 138/2024 spetta all’Agenzia per la cybersicurezza nazionale, ACN, l’autorità nazionale competente NIS.

Tra le varie funzioni svolte dall’ACN ci sono quelle relative all’adozione di linee guida, raccomandazioni e orientamenti non vincolanti e all’elaborazione e adozione dell’elenco dei cosiddetti “soggetti NIS”. Vengono inoltre svolte attività di monitoraggio e vigilanza.

Proprio sul portale dell’ACN sono richiamate le date che devono essere in agenda per i soggetti interessati dagli obblighi NIS.

La prima scadenza da rispettare era fissata al 17 gennaio scorso e interessava una platea piuttosto specifica, i fornitori di cloud computing, data center, servizi gestiti e mercati online.

La successiva, quella del 28 febbraio, ha riguardato una platea più estesa, a tutti i soggetti inclusi nell’ambito di applicazione del decreto. Entro tale data doveva essere effettuata la registrazione all’apposito portale dei servizi dell’ACN.

L’obiettivo della registrazione è il censimento dei soggetti che operano nei settori individuati dalla Direttiva NIS 2, per poi passare all’effettiva fase di implementazione degli obblighi attraverso il monitoraggio dell’ACN.

Il 31 marzo di ciascun anno è invece fissata la data per la redazione dell’elenco dei soggetti essenziali e dei soggetti importanti.

Le pubbliche amministrazioni e i soggetti pubblici o privati che rientrano nell’ambito di applicazione del decreto legislativo n. 138/2024 devono comunque rispettare gli obblighi previsti, anche se non hanno provveduto alla registrazione (che è però necessaria per la costituzione degli elenchi).

Di particolare importanza, per i soggetti che rientrano negli specifici elenchi, è stato il mese di aprile.

Direttiva NIS 2: l’importanza del mese di aprile

Per i soggetti sottoposti agli obblighi NIS il mese di aprile 2025 è stato particolarmente importante.

I soggetti designati come essenziali ed importanti hanno dovuto nominare un responsabile per l’adempimento degli obblighi relativi al decreto di recepimento della direttiva NIS 2.

Inoltre l’ACN, l’Autorità nazionale competente NIS, ha provveduto a notificare al domicilio digitale se i soggetti registrati rientrano o non rientrano nell’elenco dei soggetti essenziali o importanti.

Le procedure hanno avuto l’obiettivo di istituire un canale di comunicazione diretto tra i soggetti registrati e l’Autorità nazionale competente NIS, allo scopo di fornire informazioni chiare sulla classificazione dei soggetti e sulla conseguente applicazione degli obblighi.

Con la determina del 10 aprile 2025 dell’ACN, che aggiorna e sostituisce la precedente determina del 26 novembre 2024, sono state introdotte alcune novità tra le quali:

  • la figura del sostituto del punto di contatto;
  • la figura della segreteria, la persona fisica che svolge funzioni di supporto al punto di contatto e al sostituto punto di contatto nell’interlocuzione con l’Autorità nazionale competente NIS;
  • la possibilità che le funzioni di punto di contatto possano essere svolte dal rappresentante legale del soggetto NIS, da uno dei procuratori generali del soggetto NIS, censiti sul registro delle imprese, o da un dipendente del soggetto;
  • le regole, i termini e la documentazione per la designazione del rappresentante nell’Unione;
  • l’introduzione del Servizio NIS per l’aggiornamento annuale delle informazioni.

Inoltre, con la determina del 14 aprile del proprio direttore generale, l’ACN ha definito le misure di sicurezza e i requisiti per la notifica di incidente.

Direttiva NIS 2: le prossime date da segnare in agenda

La tabella di marcia prosegue con diversi altri appuntamenti in arrivo.

Per i soggetti che si sono in precedenza iscritti all’apposita piattaforma digitale e che hanno ricevuto la comunicazione dall’ACN, a partire dallo scorso 15 aprile e fino al 31 maggio è richiesto di proseguire con i successivi passaggi.

Nello specifico sono chiamati a designare il sostituto punto di contatto e fornire o aggiornare alcune informazioni, ad esempio:

  • lo spazio di indirizzamento IP pubblico;
  • i nomi dominio in uso o disponibili per il soggetto;
  • l’elenco degli Stati membri in cui vengono forniti servizi interessati dalla normativa.

I soggetti NIS dovranno inoltre notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS.

Inoltre, entro il 30 giugno successivo alla prima comunicazione, i soggetti devono provvedere alla comunicazione o all’aggiornamento dell’elenco dei propri servizi. Nello specifico, i soggetti essenziali e quelli importanti, devono comunicare la caratterizzazione e la categoria di rilevanza.

Successivamente l’ACN pubblicherà gli obblighi relativi alla notifica di incidenti e per l’implementazione della sicurezza informatica.

Scopri TeamSystem Cybersecurity
TeamSystem Cybersecurity
Metti al sicuro e verifica in modo semplice i tuoi account e-mail, il sito, le password e tutti i dati della Impresa, del tuo Studio e dei tuoi clienti.
Scopri TeamSystem Cybersecurity

Articoli correlati

Le novità della normativa DORA: cosa cambia per le aziende
Identità digitale
Le novità della normativa DORA: cosa cambia per le aziende
Scopri le novità introdotte dalla normativa DORA, le implicazioni per le aziende e come adeguarsi ai nuovi requisiti e migliorare la resilienza operativa digitale.
08.04.2025 | Redazione
PEC obbligatoria per gli amministratori di società da gennaio 2025
Identità digitale
PEC obbligatoria per gli amministratori di società da gennaio 2025
Dal 2025 la PEC diventa obbligatoria per gli amministratori di società: ecco cosa sapere, come adempiere agli obblighi e le sanzioni previste.
28.03.2025 | Redazione
Come prevenire la fuga dei dati aziendali e proteggere la tua azienda
Identità digitale
Come prevenire la fuga dei dati aziendali e proteggere la tua azienda
Scopri come prevenire la fuga di dati aziendali con soluzioni di protezione avanzate. Riduci il rischio di perdita di dati sensibili e aumenta la sicurezza aziendale.
19.03.2025 | Redazione
Social Engineering: cos’è e come difendere la propria azienda
Identità digitale
Social Engineering: cos’è e come difendere la propria azienda
Scopri cos'è il social engineering e come difendere la tua azienda da tentativi di phishing, manipolazione e altre minacce informatiche. Proteggi i tuoi dati sensibili.
17.03.2025 | Redazione
Cybersecurity: proteggi la tua impresa con la guida completa di TeamSystem
Identità digitale
Cybersecurity: proteggi la tua impresa con la guida completa di TeamSystem
Scopri come proteggere la tua azienda o il tuo Studio professionale da minacce informatiche con la guida definitiva.
26.02.2025 | Redazione
Sicurezza informatica aziendale: la situazione nelle imprese italiane
Identità digitale
Sicurezza informatica aziendale: la situazione nelle imprese italiane
Come va la sicurezza informatica nelle imprese italiane? Scopri le sfide, i rischi e le strategie adottate per proteggere i dati aziendali.
24.02.2025 | Redazione
Le regole sulla conservazione dei modelli di variazione dei dati IVA
Identità digitale
Le regole sulla conservazione dei modelli di variazione dei dati IVA
Gli obblighi di conservazione a norma interessano anche i modelli di variazione dei dati IVA: scopri di più.
13.02.2025 | Redazione
Attacchi hacker in Italia: come le PMI possono proteggersi
Identità digitale
Attacchi hacker in Italia: come le PMI possono proteggersi
I dati del rapporto Clusit ci offrono uno squarcio sugli attacchi hacker in Italia a danno delle PMI. Ecco come possono proteggersi e quali strumenti usare.
11.02.2025 | Redazione