1.

2.

3.

4.

Normativa europea NIS2 - Approfondimento

La Direttiva NIS2, pubblicata sulla Gazzetta Ufficiale dell’UE a fine Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS.
A partire dal 1° dicembre 2024 fino al 28 febbraio 2025, i punti di contatto dovranno autenticarsi sul Portale ACN (Agenzia per la cybersicurezza nazionale).

La Direttiva NIS2 mira a rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, per garantire l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber su tutto il processo di gestione di tali rischi, dalla prevenzione alla minimizzazione dell’impatto che tali incidenti possono causare. 

Principali novità della Direttiva NIS2: 

• Impone agli Stati membri di adottare piani nazionali di cybersicurezza e di nominare o istituire autorità nazionali, autorità di gestione delle emergenze informatiche, punti di contatto unici e meccanismi di vigilanza e sanzione. 
  

• Richiede una rapida reazione agli incidenti più gravi e la collaborazione tra gli Stati membri. 

• Prevede la creazione di un team di risposta agli incidenti di sicurezza informatica (CSIRT) per assistere gli Stati membri e gli operatori economici. 

• Introduce il concetto di catena di approvvigionamento e i relativi requisiti di sicurezza. 

• Ridefinisce e amplia le categorie di soggetti a cui la Direttiva stessa si applica: soggetti altamente critici e soggetti critici.

Dettagli direttiva NIS2

Estensione ambiti di applicazione

• [Soggetti] 18 settori: 11 settori altamente critici e 7 settori critici [*]
• Intera infrastruttura ICT (originariamente solo reti e sistemi serventi i servizi essenziali)

Processo di identificazione dei soggetti

• Soggetti distinti tra entità essenziali e importanti
• Identificazione automatica sulla base di criteri oggettivi (da media imprese in su, salvo eccezioni)
• L’Autorità ha anche la facoltà di identificare ulteriori soggetti

Recepimento e attuazione

Recepimento (febbraio 23 - metà ottobre 24)

• Avvio informale di alcuni tavoli settoriali
• Adozione definitiva in CDM (7 agosto)
• Pubblicazione in Gazzetta Ufficiale (1° ottobre)
• Entrata in vigore (16 ottobre)

 Prima fase attuativa (metà ottobre 24 – metà aprile 25)

• Avvio formale di tutti i tavoli settoriali
• [Soggetti] Censimento e registrazione dei soggetti (entro febbraio 2025)
• Adozione dell’elenco dei soggetti NIS e notifica (aprile 2025)
• Elaborazione e adozione degli obblighi di base (aprile 2025)

 Seconda fase attuativa (metà aprile 25 – metà aprile 26)

• [Soggetti] Implementazione obblighi di base 1 (termine per notifiche di incidente 01/2026) [**]
• Monitoraggio e supporto dell’implementazione obblighi di base
• Elaborazione e adozione del modello di categorizzazione delle attività e dei servizi
• Elaborazione e adozione degli obblighi a lungo termine (aprile 2026)

Terza fase attuativa (da metà aprile 26)

• [Soggetti] Implementazione obblighi di base 2 (termine per misure di sicurezza 10/2026)
• [Soggetti] Categorizzazione delle attività e dei servizi
• [Soggetti] Implementazione degli obblighi a lungo termine

 NOTE

[*]

Settori altamente critici: Energia / Trasporti / Settore bancario / Infrastrutture dei mercati finanziari / Acqua potabile / Acque reflue / Infrastrutture digitali / Gestione dei servizi TIC (b2b) / Spazio

Settori critici: Servizi postali e di corriere / Gestione dei rifiuti / Fabbricazione, produzione e distribuzione di sostanze chimiche / Produzione, trasformazione e distribuzione di alimenti / Fabbricazione / Fornitori di servizi digitali / Ricerca

Ulteriori tipologie di soggetti: Pubblica Amministrazione centrale / Pubblica Amministrazione regionale e locale

[**]

L’obbligo di notifica decorre a partire dal 1 gennaio 2026 (notifiche volontarie possibili fin da subito).

Notifica obbligatoria – Incidente significativo

Notifica facoltativa – Incidente / Minacce / Quasi incidente

Quando:

• entro le 24 ore (pre-notifica)
• entro le 72 ore (notifica integrativa)