News

NIS 2: al via la nuova fase attuativa della Direttiva sulla Cybersicurezza

Mag. 6 2025

NUOVI OBBLIGHI DI CYBERSICUREZZA PER AZIENDE E SERVIZI PUBBLICI CON L'ENTRATA IN VIGORE DELLA DIRETTIVA NIS 2

Nel mese di Aprile 2025, entra nel vivo la nuova fase attuativa della direttiva NIS 2 (Network and Information Security), il provvedimento europeo volto a rafforzare la sicurezza informatica dei soggetti pubblici e privati che operano in settori strategici come sanità, trasporti, energia, alimentare e servizi digitali.

Dopo la fase iniziale di registrazione al portale dell’Agenzia per la Cybersicurezza Nazionale (ACN),  le organizzazioni interessate sono chiamate a compiere ulteriori adempimenti per garantire la conformità normativa.

Obblighi di autovalutazione e adeguamento per la cybersecurity

Le imprese classificate come essenziali o importanti devono ora completare l’autovalutazione dei propri livelli di sicurezza e presentare un piano di adeguamento secondo i requisiti previsti dalla determinazione 164179 pubblicata dall’Agenzia il 14 Aprile scorso. 

Tra i punti chiave, l’adozione di misure tecniche ed organizzative per la gestione dei rischi, la formazione continua, il rafforzamento delle procedure di risposta agli incidenti, il controllo delle identità e degli accessi e la gestione del rischio e della sicurezza informatica della supply chain.

L’ACN svolge un ruolo di coordinamento nella fase attuativa, offrendo linee guida operative, modelli di riferimento (Framework Nazionale) e supporto alle organizzazioni attraverso il Portale NIS, ormai strumento indispensabile al coordinamento nazionale.

le Prossime Scadenze

La roadmap prevede che entro il 31 Maggio 2025, le aziende completino la trasmissione di alcune informazioni tra le quali:

  • Punto di contatto e sostituto del Punto di contatto - PoC: (una persona fisica, distinta dal punto di contatto, designato con le medesime modalità, che supporta quest’ultimo nell’esercizio delle proprie funzioni)
  • Censimento del personale di Segreteria: ulteriori utenti che supportano i PoC nell’inserimento dei dati sulla piattaforma
  • Spazio di indirizzamento IP e nomi di dominio: indirizzi IP pubblici e statici che il soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi con fornitori di servizi Internet (ISP), Registri Internet Regionali o altre organizzazioni deputate alla fornitura di indirizzi IP sulla base delle normative e degli accordi nazionali, europei e internazionali vigenti; nomi di dominio che il soggetto NIS utilizza o ha nella propria disponibilità in forza di contratti o accordi con fornitori di servizi di registrazione di nomi di dominio
  • Censimento degli organi di amministrazione e direttivi: responsabili legalmente, secondo l’Art 38, delle sanzioni relative alla normativa
  • Elenco dei Servizi in UE ed Elenco delle sedi in UE e Rappresentante NIS

A Gennaio 2026 entra in vigore l’obbligo di comunicazione degli incidenti, secondo la tassonomia divulgata dall’agenzia 

Entro Maggio 2026 le aziende dovranno aggiornare nuovamente le informazioni nel portale dell’Agenzia.

Entro Ottobre 2026, le organizzazioni dovranno adeguarsi con misure tecniche e organizzative adeguate ai requisiti della normativa.

A breve, il Digital Europe Programme darà accesso a nuovi bandi destinati a finanziare progetti per il rafforzamento della cybersecurity e della resilienza operativa, con un budget complessivo di 1,3 miliardi: tra le priorità, la formazione del personale e l’adeguamento tecnico alle normative NIS 2 e Cyber Resilience Act.

L’obiettivo è creare una cultura diffusa della sicurezza informatica, riducendo il rischio umano attraverso la sensibilizzazione alle minacce digitali e l’adozione di comportamenti sicuri. Le attività formative dovranno essere tracciabili e adeguate al ruolo ricoperto e saranno oggetto di verifica da parte di ACN.

La NIS 2: finalità e impatti

ISCRIVITI AL CORSO DI FORMAZIONE
Contattaci per maggiori informazioni