La crescente digitalizzazione e la diffusione di tecnologie come 5G, intelligenza artificiale e Internet of Things stanno ampliando le superfici di attacco informatico, trasformando la cybersecurity in una priorità strategica per imprese e istituzioni. In questo contesto si inserisce la Direttiva europea NIS2 (2022/2555), pensata per rafforzare la sicurezza delle reti e dei sistemi informativi. Entrata in vigore a gennaio 2023 e recepita in Italia con il Decreto Legislativo 138/2024, NIS2 aggiorna la precedente normativa del 2016, estendendo ambiti di applicazione, responsabilità e obblighi per le aziende.

Il recepimento italiano della Direttiva ha previsto un calendario serrato. Dal 1° dicembre 2024 è partita la fase di registrazione delle aziende coinvolte e l’elenco ufficiale degli operatori è stato pubblicato ad aprile 2025, mentre è notizia di pochi giorni fa che il termine per la comunicazione delle informazioni richieste all’Agenzia per la Cybersicurezza Nazionale (ACN) è stato prorogato al 31 luglio 2025, rispetto alla scadenza iniziale del 31 maggio. Questo slittamento consente di affrontare meglio gli adempimenti e promuovere sessioni informative dedicate ai vertici aziendali.

Una proroga tanto importante quanto attesa vista l’importanza di NIS2, che introduce importanti novità, estendendo la sua applicazione a 18 settori ritenuti strategici per l’economia e la società. Le aziende vengono classificate in due grandi categorie: Soggetti Essenziali (energia, trasporti, sanità, infrastrutture digitali, ecc.) e Soggetti Importanti (fornitori IT, ricerca, distribuzione, ecc.). Per rientrare nel perimetro della direttiva, le imprese devono operare nell’UE, appartenere a uno dei settori identificati e superare i 50 dipendenti con un fatturato o bilancio superiore rispettivamente a 50 o 43 milioni di euro.

NIS2

Gli obblighi principali prevedono l’adozione di misure di sicurezza proattive e preventive tra cui analisi delle minacce, protezione dei sistemi, monitoraggio continuo degli incidenti e capacità di ripristino in caso di attacco. Inoltre, entro 24 ore dalla scoperta di un evento significativo, è obbligatoria la segnalazione alle autorità competenti, mentre una gestione rigorosa della supply chain è fondamentale per evitare vulnerabilità.

NIS2 e ISO/IEC 27001: una sinergia virtuosa

Le aziende già in possesso della certificazione ISO/IEC 27001, standard internazionale per la gestione della sicurezza delle informazioni, sono in una posizione privilegiata per affrontare la Direttiva. Tuttavia, sarà necessario compiere ulteriori rafforzamenti, come adeguare le procedure di segnalazione, migliorare la resilienza operativa e ampliare la copertura ai nuovi settori considerati critici.

Le aziende incluse nel Registro NIS2, previa notifica via PEC, devono comunicare entro la nuova scadenza del 31 luglio gli indirizzamenti IP utilizzati, i Paesi UE in cui erogano servizi e il nominativo del responsabile della sicurezza e il sostituto di contatto. Da sottolineare che il mancato rispetto degli obblighi comporta sanzioni pecuniarie, come previsto dall’art. 38 del D.lgs. 138/2024.