Aggiornato in data 12 maggio 2025
Il decreto legislativo 138/2024 ha recepito in Italia la Direttiva UE NIS2 (Network and Information Systems Directive), introducendo importanti novità per la sicurezza informatica di aziende e pubbliche amministrazioni.
Aggiornamento scadenza del 31 maggio 2025.
I soggetti essenziali o importanti – secondo la Direttiva NIS2 – hanno tempo fino al 31 maggio 2025 per accedere alla piattaforma digitale dell’ACN e aggiornare o aggiungere dati e informazioni sullo stato della sicurezza informatica dell’azienda.
Ma quali sono? Vediamoli insieme.
- Punto di contatto e sostituto.
Designare il sostituto del punto di contatto, ovvero una persona fisica che supporta il punto di contatto nell’esercizio delle proprie funzioni, si interfaccia direttamente con l’Autorità nazionale competente NIS ed effettua sulla piattaforma digitale le stesse azioni del punto di contatto. - Spazio di indirizzamento IP e nomi di dominio.
Indicare i nomi di dominio che il soggetto NIS utilizza o ha nella propria disponibilità;
Indicare gli indirizzi IP pubblici e statici che il soggetto NIS utilizza o ha nella propria disponibilità. - Dati anagrafici e di contatto.
Verificare la correttezza dei dati anagrafici e di contatto del soggetto NIS, nonché indicare ulteriori informazioni, come i servizi offerti e le sedi nell’UE.
Le prossime scadenze.
Da gennaio 2026, i soggetti saranno obbligati a notificare gli incidenti significativi e – entro ottobre dello stesso anno – dovranno avere adottato le misure di sicurezza indicate.
Nei mesi precedenti.
Se la tua organizzazione rientra tra i soggetti elencati negli Allegati I e II, hai l’obbligo di registrarti sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio 2025. Se sei un fornitore di un’organizzazione essenziale o importante, anche se non direttamente obbligato, potresti essere coinvolto indirettamente.
Ecco una panoramica dettagliata.
Chi ha l’obbligo di registrarsi?
La registrazione è obbligatoria – entro il 28 febbraio 2025 – per le entità classificate come “essenziali” o “importanti” secondo la NIS2, tra cui:
- Aziende in settori strategici: energia, spazio, trasporti, sanità, finanza, telecomunicazioni, gestione di acqua potabile, acque reflue e rifiuti, servizi postali, produzione e distribuzione di sostanze chimiche e alimenti, fabbricazione di macchinari, mezzi di trasporto e prodotti elettronici, attività di ricerca, e altri.
- Fornitori di infrastrutture IT critiche e piattaforme digitali essenziali.
- Pubblica Amministrazione.
Il ruolo della supply chain e i suoi obblighi indiretti.
Anche se la tua azienda non rientra direttamente tra i soggetti obbligati, se fornisci beni, servizi o supporto tecnologico a entità NIS2, potresti essere coinvolto indirettamente tramite obblighi contrattuali (accordi specifici con i tuoi clienti NIS2).
Infatti, le entità NIS2 “essenziali” e “importanti” devono:
- Garantire la conformità della propria supply chain: assicurandosi che i fornitori rispettino i requisiti di sicurezza.
- Monitorare e ridurre i rischi derivanti dai fornitori: inclusi quelli legati a vulnerabilità tecniche, gestionali o operative.
Di conseguenza, potresti essere soggetto a:
- Audit di sicurezza: condotti dai tuoi clienti NIS2.
- Clausole contrattuali stringenti: che impongono specifici standard di sicurezza informatica.
- Richieste di adeguamento: per adottare standard di sicurezza più elevati.
Come registrarsi sul portale ACN.
La registrazione si divide in tre fasi:
- Censimento del punto di contatto: devi designare un responsabile per le comunicazioni con l’ACN (dipendente o consulente delegato) che:
- Si autentica sul portale con SPID.
- Carica il documento che ne autorizza l’operato.
- Inserisce dati personali e di contatto (nome, codice fiscale, PEC, telefono, ecc.).
- Associazione del punto di contatto al soggetto NIS2: il punto di contatto associa la propria utenza all’ente o all’azienda tramite codice fiscale (o codice IPA per la PA), con successiva verifica e convalida.
- Compilazione della dichiarazione NIS2: dovrai fornire informazioni dettagliate sull’ente, tra cui:
- appartenenza a gruppi aziendali;
- codici ATECO;
- normative UE applicabili;
- dati su fatturato, bilancio e numero di dipendenti.
L’Agenzia per la Cybersicurezza Nazionale ha realizzato un video tutorial per guidarti passo passo: https://lnkd.in/dnMj8E9B
L’importanza dell’adeguamento.
La registrazione e il rispetto degli obblighi NIS2 sono fondamentali per la sicurezza informatica. Adottare elevate misure di sicurezza non solo ti permette di continuare a collaborare con i soggetti essenziali, ma protegge la tua attività da incidenti o violazioni che potrebbero danneggiare la tua reputazione, portare a sospensioni del punto di contatto, rescissioni contrattuali con richieste di danni e sanzioni da parte delle autorità.
Il nostro supporto.
Noi di Efuture possiamo aiutarti a capire se la normativa riguarda anche te e affiancarti nel percorso di compliance.
Scrivi una mail a [email protected] o chiama il 039 94 51 118 per avere maggiori informazioni e chiarire ogni dubbio.