Passa al contenuto
Contattaci

 DIRETTIVA NIS2: definizione dell'elenco dei soggetti che rientrano nel perimentro della normativa UE 

Empsol_logo_negativo_A
NET-CSAT-SCORE05

A partire dal 12 aprile 2025 l'Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato l'invio delle notifiche riguardanti l'inclusione dei soggetti nell'elenco degli operatori disciplinati in base alla normativa.

Gli obiettivi di EMPSOL:
  • rispettare tutte le scadenze previste dalla normativa
  • cogliere l'opportunità per rafforzare la sicurezza dell’infrastruttura aziendale e degli gli asset critici.

Prenota un meeting gratuito senza impegno con EMPSOL sul tema della normativa NIS2

Marzio Zolla, CEO at EMPSOL

La direttiva europea NIS2 introduce requisiti stringenti in materia di sicurezza informatica per organizzazioni che gestiscono infrastrutture critiche e servizi essenziali (quali ad esempio energia, trasporti e salute).

  Ecco come EMPSOL può aiutarvi a completare il percorso di adeguamento alla NIS2:  

1.

Analisi del rischio e assessment iniziale del livello di conformità aziendale.

2.

Studio e analisi delle misure di sicurezza e delle procedure mancanti.

3.

Attuazione delle pratiche e attività esecutive secondole linee guida.

4.

Supporto per la certificazione NIS2: documentazione, audit e formazione.

Richiedici informazioni in merito alla normativa NIS2 o ad altre tematiche di tuo interesse.
EMPSOL è qui per te: ti risponderemo o ti contatteremo volentieri, senza impegno.

Normativa europea NIS2 - Approfondimento


La Direttiva NIS2, pubblicata sulla Gazzetta Ufficiale dell’UE a fine Dicembre 2022, abroga e sostituisce la precedente Direttiva NIS.
A partire dal 1° dicembre 2024 fino al 28 febbraio 2025, i punti di contatto dovranno autenticarsi sul Portale ACN (Agenzia per la cybersicurezza nazionale).

La Direttiva NIS2 mira a rafforzare il livello globale di cybersicurezza all’interno degli Stati membri, per garantire l’adozione di misure tecniche ed organizzative adeguate contro i rischi cyber su tutto il processo di gestione di tali rischi, dalla prevenzione alla minimizzazione dell’impatto che tali incidenti possono causare. 

Principali novità della Direttiva NIS2: 

  • Impone agli Stati membri di adottare piani nazionali di cybersicurezza e di nominare o istituire autorità nazionali, autorità di gestione delle emergenze informatiche, punti di contatto unici e meccanismi di vigilanza e sanzione. 
  • Richiede una rapida reazione agli incidenti più gravi e la collaborazione tra gli Stati membri. 
  • Prevede la creazione di un team di risposta agli incidenti di sicurezza informatica (CSIRT) per assistere gli Stati membri e gli operatori economici. 
  • Introduce il concetto di catena di approvvigionamento e i relativi requisiti di sicurezza. 
  • Ridefinisce e amplia le categorie di soggetti a cui la Direttiva stessa si applica: soggetti altamente critici e soggetti critici.


Dettagli direttiva NIS2

Estensione ambiti di applicazione

  • [Soggetti] 18 settori: 11 settori altamente critici e 7 settori critici [*]
  • Intera infrastruttura ICT (originariamente solo reti e sistemi serventi i servizi essenziali)

Processo di identificazione dei soggetti

  • Soggetti distinti tra entità essenziali e importanti
  • Identificazione automatica sulla base di criteri oggettivi (da media imprese in su, salvo eccezioni)
  • L’Autorità ha anche la facoltà di identificare ulteriori soggetti

Recepimento e attuazione

Recepimento (febbraio 23 - metà ottobre 24)

  • Avvio informale di alcuni tavoli settoriali
  • Adozione definitiva in CDM (7 agosto)
  • Pubblicazione in Gazzetta Ufficiale (1° ottobre)
  • Entrata in vigore (16 ottobre)

 Prima fase attuativa (metà ottobre 24 – metà aprile 25)

  • Avvio formale di tutti i tavoli settoriali
  • [Soggetti] Censimento e registrazione dei soggetti (entro febbraio 2025)
  • Adozione dell’elenco dei soggetti NIS e notifica (aprile 2025)
  • Elaborazione e adozione degli obblighi di base (aprile 2025)

 Seconda fase attuativa (metà aprile 25 – metà aprile 26)

  • [Soggetti] Implementazione obblighi di base 1 (termine per notifiche di incidente 01/2026) [**]
  • Monitoraggio e supporto dell’implementazione obblighi di base
  • Elaborazione e adozione del modello di categorizzazione delle attività e dei servizi
  • Elaborazione e adozione degli obblighi a lungo termine (aprile 2026)

Terza fase attuativa (da metà aprile 26)

  • [Soggetti] Implementazione obblighi di base 2 (termine per misure di sicurezza 10/2026)
  • [Soggetti] Categorizzazione delle attività e dei servizi
  • [Soggetti] Implementazione degli obblighi a lungo termine

 NOTE

[*]

Settori altamente critici: Energia / Trasporti / Settore bancario / Infrastrutture dei mercati finanziari / Acqua potabile / Acque reflue / Infrastrutture digitali / Gestione dei servizi TIC (b2b) / Spazio

Settori critici: Servizi postali e di corriere / Gestione dei rifiuti / Fabbricazione, produzione e distribuzione di sostanze chimiche / Produzione, trasformazione e distribuzione di alimenti / Fabbricazione / Fornitori di servizi digitali / Ricerca

Ulteriori tipologie di soggetti: Pubblica Amministrazione centrale / Pubblica Amministrazione regionale e locale

[**]

L’obbligo di notifica decorre a partire dal 1 gennaio 2026 (notifiche volontarie possibili fin da subito).

Notifica obbligatoria – Incidente significativo

Notifica facoltativa – Incidente / Minacce / Quasi incidente

Quando:

  • entro le 24 ore (pre-notifica)
  • entro le 72 ore (notifica integrativa)
Empsol_logo_negativo_A

Via F. Burlamacchi, 16 - 20135 Milano (IT)

www.empsol.it - tel. +39 02 8050 9762
P.IVA 05289500968 - SDI PAR1J38

Empsol_logo_negativo_A

Via F. Burlamacchi, 16 - 20135 Milano (IT)

www.empsol.it - tel. +39 02 8050 9762
P.IVA 05289500968 - SDI PAR1J38