La Direttiva NIS2 (Network and Information Systems Directive) è stata introdotta con l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi in tutti gli Stati membri dell’Unione Europea. In Italia è stata recepita con il Decreto Legislativo 138/2024 e impone alle imprese di adottare misure di sicurezza più rigide, al fine di prevenire e mitigare i rischi legati agli incidenti informatici.
Prima fase – Registrazione e censimento:
Con l’entrata in vigore del decreto, l’Italia ha avviato la prima fase di attuazione della normativa. Tra dicembre 2024 e febbraio 2025, le imprese operanti in settori ritenuti critici ed essenziali sono state chiamate a registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Tale fase ha avuto l’obiettivo di mappare i soggetti impattati e comunicare ufficialmente gli obblighi previsti dalla normativa.
Seconda fase – Trasmissione del set informativo:
A partire dal 12 aprile 2025, i soggetti che rientrano nel perimetro di applicazione della direttiva NIS2 riceveranno ufficialmente una notifica via PEC da parte dell’ACN.
La comunicazione rappresenta il riconoscimento formale della loro inclusione nel perimetro normativo, dando inizio a un percorso obbligatorio e progressivo verso il raggiungimento della piena conformità.
Inoltre, l’ACN, in data 14 aprile, ha emesso la determinazione che definisce le misure minime di sicurezza informatica da rispettare, nonché le tempistiche e le modalità di notifica degli incidenti per i soggetti inclusi nel perimetro normativo.
Infine, i soggetti formalmente riconosciuti come “NIS 2” saranno tenuti, entro maggio 2025, a trasmettere un set informativo obbligatorio tramite il Portale dei Servizi di ACN.
Il set dovrà includere:
- i propri indirizzamenti IP;
- l’elenco degli Stati membri UE in cui presta servizi digitali o infrastrutturali;
- il nominativo del responsabile della sicurezza;
- il sostituto di contatto, da coinvolgere in caso di assenza del titolare.
Questi dati dovranno essere costantemente aggiornati, con l’obbligo di comunicare qualsiasi variazione entro 14 giorni.
Vuoi saperne di più?