Lean & Info Security 

Scadenze della Direttiva NIS2:

Come Prepararsi in Modo Efficace

La Direttiva NIS2 (Network and Information Security Directive 2) segna un passo significativo nel panorama della cybersecurity a livello europeo. Pensata per rafforzare la protezione delle infrastrutture critiche e migliorare la gestione degli incidenti di sicurezza, introduce una serie di nuovi requisiti che organizzazioni e Stati membri devono soddisfare entro scadenze specifiche. Ecco le tappe principali e delle azioni consigliate per affrontarle.

Le Date Cruciali della Direttiva NIS2

Entro il 28 febbraio 2025: Autovalutazione per verificare se si rientra tra i soggetti essenziali o importanti e registrazione sulla piattaforma ACN. A partire dal 1° dicembre 2024 fino al 28 febbraio 2025, i punti di contatto dovranno autenticarsi sul Portale ACN (Agenzia per la cybersicurezza nazionale), utilizzando le credenziali SPID. Durante questo periodo, gli utenti designati come punti di contatto dovranno compilare una dichiarazione tramite il Servizio NIS/Registrazione, assicurandosi che le informazioni fornite siano corrette e aggiornate.

In particolare, gli utenti dovranno:

• Indicare se il soggetto è parte di un gruppo di imprese e fornire il codice fiscale della capogruppo, se applicabile.
• Elencare le imprese collegate e fornire i relativi codici fiscali.
• Elencare i codici ATECO che descrivono l’attività del soggetto.
• Indicare le normative settoriali dell’Unione europea pertinenti.
• Fornire i valori del fatturato, del bilancio e il numero di dipendenti per determinare la categoria dell’impresa.
• Elencare le tipologie di soggetto a cui il soggetto è riconducibile.

Entro il 31 marzo 2025 l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti sulla base delle registrazioni ricevute attraverso la piattaforma;

tra il 1° aprile 2025 e il 15 aprile 2025, l’ACN comunicherà ai soggetti interessati se sono stati inseriti tra l’elenco dei soggetti essenziali o importanti;

Entro il 15 aprile 2025: i soggetti che avranno ricevuto la comunicazione dovranno nominare con un apposito atto un soggetto che abbia la responsabilità dell’adempimento degli obblighi del decreto.

Entro il 1 gennaio 2026: Adeguamento alle misure di gestione degli incidenti (art. 25) e aggiornamento annuale delle informazioni (art. 30).

Entro ottobre 2026: Adeguamento agli obblighi relativi a gestione dei rischi e misure di sicurezza (artt. 23, 24, 29).

Cosa Fare per Adeguarsi Alle Nuove Norme

Per evitare penalità e adempiere ai requisiti, è necessario agire il prima possibile.

Ecco un piano d’azione che può essere preso come base:

• Verifica dell’Ambito di Applicazione Un primo passo imprescindibile è confermare se la propria organizzazione è interessata dagli obblighi. La direttiva si applica a due principali macro-categorie: Enti essenziali, riguardanti settori quali energia, sanità, trasporti, distribuzione idrica e infrastrutture digitali ed Enti importanti, comprendenti operatori legati ai settori come i servizi postali, rifiuti industriali e altre attività strategiche

• Condurre una Valutazione Completa dei Rischi Occorre analizzare potenziali vulnerabilità e criticità dei propri sistemi e processi attraverso una valutazione strutturata del rischio informatico. Questo passaggio include l’esame dell’infrastruttura IT, delle reti utilizzate e delle procedure operative in essere.
• Adottare Misure di Protezione e Rilevazione Tra le disposizioni della direttiva figura l’obbligo di implementare procedure organizzative e strumenti tecnologici capaci di contenere eventuali minacce. Tra questi: – Sistemi di monitoraggio e controllo costante. – Piani dettagliati per affrontare situazioni di emergenza. – Programmi di formazione per aumentare la consapevolezza e l’abilità del personale in materia di sicurezza informatica.
• Identificare un Referente Interno per la Sicurezza Ogni ente coinvolto deve designare un responsabile per garantire il coordinamento delle politiche legate alla cybersecurity. In genere, tale ruolo viene svolto da una figura specializzata, come un Chief Information Security Officer (CISO) o equivalente.
• Strutturare un Piano per la Segnalazione degli Incidenti La notifica di eventi cyber rimane una priorità fondamentale prevista dalla NIS2. Di conseguenza, è necessario definire procedure rapide e sistematiche per comunicare eventuali violazioni di dati alle autorità competenti nei tempi previsti.
• Coinvolgere la Filiera Poiché la direttiva sottolinea l’importanza di una supply chain digitale sicura, è necessario valutare proattivamente la resilienza informatica dei propri fornitori e partner commerciali, assicurandosi che adottino standard adeguati.

Le scadenze delineate dalla Direttiva NIS2 rappresentano un’opportunità preziosa per rafforzare la protezione degli ecosistemi digitali europei, ma rispettarle richiederà interventi attenti e strategici. Investire del tempo in una preparazione strutturata non solo permetterà di evitare criticità normative, ma potrebbe anche tradursi in un miglioramento della competitività aziendaleLa Direttiva NIS2 (Network and Information Security Directive 2) segna un passo significativo nel panorama della cybersecurity a livello europeo. Pensata per rafforzare la protezione delle infrastrutture critiche e migliorare la gestione degli incidenti di sicurezza, introduce una serie di nuovi requisiti che organizzazioni e Stati membri devono soddisfare entro scadenze specifiche.