Arona (NO)+ 39 0322 24.58.58 - 30 lineeMILANO+ 39 02 86915076Gozzano (NO)+39 0322 94055

NIS 2: scadenze, obblighi e percorso di adeguamento

Con l’adozione del D.Lgs. 138/2024, l’attuazione in Italia della direttiva europea NIS 2 ha assunto contorni definiti, imponendo a numerose imprese un articolato insieme di adempimenti. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha già avviato le comunicazioni formali verso i soggetti inclusi nell’ambito applicativo della disciplina, e parallelamente ha pubblicato i primi obblighi esecutivi.

Sebbene il calendario fissato per la piena conformità possa apparire esteso, molte delle misure richieste presuppongono una profonda revisione di assetti organizzativi, governance e processi operativi, rendendo opportuno avviare fin da subito un piano strutturato di adeguamento.

INDICE

  1. Le richieste operative da ACN: il primo pacchetto di obblighi
  2. Il secondo blocco di obblighi: la piena implementazione delle misure
  3. Il dettaglio delle misure richieste
  4. Gli obblighi di notifica degli incidenti: attivi da gennaio 2026
  5. Un percorso di compliance che richiede preparazione
  6. Verso una compliance sostenibile

1. LE RICHIESTE OPERATIVE DA ACN: IL PRIMO PACCHETTO DI OBBLIGHI

L’ACN ha notificato alle aziende coinvolte la loro inclusione nel perimetro NIS 2, chiedendo, tramite il portale istituzionale, l’invio di una serie di dati entro la scadenza prorogata al 31 luglio 2025.

In particolare, i soggetti obbligati devono trasmettere:

  • l’identità, il ruolo ricoperto e i recapiti delle persone fisiche che detengono responsabilità gestionali o di controllo effettivo sull’impresa, ivi inclusi i membri degli organi amministrativi o comunque coloro che esercitano poteri decisionali;
  • il nominativo e i dati del sostituto del punto di contatto;
  • i range di indirizzi IP pubblici e i domini internet in utilizzo o nella disponibilità dell’organizzazione;
  • gli Stati UE nei quali l’impresa presta servizi regolamentati;
  • eventuali accordi volontari di condivisione informativa in ambito NIS.

Tali comunicazioni non sono meramente formali: la responsabilità derivante da eventuali omissioni o errori ricade direttamente sugli organi di amministrazione e controllo dell’ente.

2. IL SECONDO BLOCCO DI OBBLIGHI: LA PIENA IMPLEMENTAZIONE DELLE MISURE

Pochi giorni dopo l’invio delle comunicazioni iniziali, l’ACN ha adottato due provvedimenti essenziali:

  • uno relativo alle misure minime di sicurezza da attuare;
  • uno riferito ai nuovi obblighi di segnalazione degli incidenti informatici.

Le disposizioni adottate distinguono gli adempimenti in funzione della qualificazione del soggetto come essenziale o importante.

Il percorso prevede due fasi:

  • Fase 1 (in corso): adozione delle misure di sicurezza minime richieste dalla normativa europea, da realizzarsi in sede di prima applicazione.
  • Fase 2 (attesa entro aprile 2026): pubblicazione da parte dell’ACN di ulteriori obblighi tecnici e organizzativi a completamento del regime definitivo.

Il termine per l’integrale attuazione delle misure attualmente definite è fissato a ottobre 2026 (entro 18 mesi dalla notifica di classificazione da parte dell’ACN).

3. IL DETTAGLIO DELLE MISURE RICHIESTE

Le imprese identificate come importanti sono chiamate a implementare 37 misure organizzative e tecniche, articolate in 87 requisiti puntuali, predisposti secondo il Framework Nazionale per la Cybersecurity e la Data Protection.

Per i soggetti essenziali il numero di adempimenti sale ulteriormente: 43 misure complessive, suddivise in 116 requisiti specifici.

Tutte le misure si sviluppano lungo i sei assi classici di gestione della sicurezza informatica:

  • Governance: definizione della strategia di gestione del rischio, allocazione delle responsabilità e ruoli organizzativi.
  • Identificazione: censimento e classificazione degli asset rilevanti, valutazione dei rischi e pianificazione della gestione.
  • Protezione: adozione di contromisure e barriere protettive sugli asset critici.
  • Rilevamento: predisposizione di sistemi capaci di individuare tempestivamente anomalie e violazioni.
  • Risposta: strutturazione di processi reattivi efficaci in caso di incidente.
  • Recupero: ripristino dell’operatività post-incidente, inclusa l’integrazione delle lezioni apprese.

In linea generale, tali misure devono riguardare l’intera infrastruttura informatica e di rete. Tuttavia, è prevista la possibilità, in determinati casi, di limitare l’applicazione di alcune misure soltanto ai sistemi la cui compromissione determinerebbe conseguenze rilevanti su riservatezza, integrità o disponibilità dei servizi regolamentati.

4. GLI OBBLIGHI DI NOTIFICA DEGLI INCIDENTI: ATTIVI DA GENNAIO 2026

A partire dal gennaio 2026, entreranno in vigore i nuovi obblighi di segnalazione degli incidenti rilevanti al CSIRT Italia.

Nello specifico:

  • per i soggetti importanti dovranno essere notificati:
    • violazioni (totali o parziali) della riservatezza dei dati digitali;
    • compromissioni (totali o parziali) dell’integrità dei dati;
    • interruzioni o degradi dei livelli di servizio attesi.
  • per i soggetti essenziali si aggiunge inoltre:
    • accesso non autorizzato ai dati, incluso l’abuso di privilegi.

È quindi necessario che le imprese predispongano procedure aggiornate per il monitoraggio, l’analisi e la comunicazione degli incidenti, integrando tali processi con quelli eventualmente già adottati in virtù della normativa sul Perimetro Nazionale di Sicurezza Cibernetica, in quanto i due regimi restano complementari.

5. UN PERCORSO DI COMPLIANCE CHE RICHIEDE PREPARAZIONE

Con l’avvio concreto dell’attuazione NIS 2, le aziende coinvolte dovranno necessariamente intraprendere un percorso articolato e multidisciplinare, che coinvolge tanto la componente IT quanto la governance legale e societaria.

Il tema della responsabilità degli organi apicali emerge con forza: amministratori, direttori e manager apicali sono direttamente esposti a responsabilità per eventuali violazioni o carenze nell’attuazione delle misure di sicurezza richieste.

Ne consegue che la compliance alla NIS 2 richiede fin d’ora:

  • una revisione approfondita dei processi interni;
  • la ridefinizione di ruoli e deleghe di sicurezza informatica;
  • l’implementazione di strumenti di risk management aggiornati;
  • la formazione continua del personale coinvolto;
  • una governance legale attenta ai profili di responsabilità.

6. VERSO UNA COMPLIANCE SOSTENIBILE

Sebbene il termine ultimo di attuazione appaia formalmente lontano, il volume e la complessità degli adempimenti richiedono alle imprese una pianificazione attenta e un progressivo adeguamento sin d’ora, pena il rischio di concentrare sforzi emergenziali non sostenibili a ridosso delle scadenze. Caravati Pagani supporta i clienti nell’individuazione delle strategie organizzative e nel raccordo con professionisti specializzati, per un percorso di compliance efficace e duraturo.

Dott.ssa Elisabetta Pacitti

Dottore in informatica giuridica - elisabettapacitti@caravatipagani.it

successivoI NUOVI MEMBRI DELLO STAFF DI CARAVATI PAGANI