La Direttiva NIS2 è in vigore in Italia dal 17 ottobre 2024, con il recepimento avvenuto tramite il D.Lgs. 138/2024. L’autorità di riferimento è l’ACN (Agenzia per la Cybersicurezza Nazionale). Se la tua azienda opera in uno dei settori elencati dalla direttiva, ci sono obblighi concreti da rispettare entro scadenze definite — alcune già trascorse.
Chi è soggetto alla NIS2
La NIS2 divide le organizzazioni in due categorie.
Soggetti essenziali (alta criticità): energia (elettricità, gas, petrolio), trasporti (aereo, ferroviario, navale, stradale), settore bancario e infrastrutture finanziarie, sanità, acqua potabile e acque reflue, infrastrutture digitali critiche e fornitori cloud.
Soggetti importanti (altri settori critici): servizi postali e di corriere espresso, produzione di dispositivi medici, veicoli, macchinari e prodotti chimici, fornitori di servizi ICT — inclusi MSP e system integrator — ricerca, gestione rifiuti e settore alimentare.
In termini di dimensioni, rientrano le medie imprese (50-250 dipendenti, fatturato 10-50M€) e le grandi imprese (oltre 250 dipendenti o fatturato superiore a 50M€). Le micro e piccole imprese sono generalmente escluse, salvo operino in settori critici o forniscano servizi a soggetti essenziali.
Cosa devi fare
Gestione del rischio. Analisi e valutazione sistematica dei rischi cyber basata su framework riconosciuti. Non basta una valutazione iniziale: va aggiornata periodicamente.
Business continuity. Piani di continuità operativa, backup strutturati e disaster recovery testati. La parola chiave è “testati”: un backup che non hai mai verificato non conta come misura di sicurezza.
Sicurezza della supply chain. Devi valutare le pratiche di sicurezza dei tuoi fornitori ICT, non solo la tua infrastruttura interna. È uno dei punti più spesso trascurati.
MFA e crittografia su tutti i sistemi e account critici. Questo da solo elimina la maggior parte dei vettori di attacco sulle credenziali.
Notifica incidenti. In caso di incidente significativo, segnalazione all’ACN entro 24 ore e report completo entro 72 ore. La procedura deve essere pronta prima che serva.
Formazione. Programmi periodici di security awareness per tutti i dipendenti, non solo per l’IT. La NIS2 lo richiede esplicitamente.
Responsabilità del management. Gli organi direttivi devono approvare e supervisionare le misure di sicurezza. La NIS2 non è un problema dell’ufficio IT: coinvolge chi firma le decisioni aziendali.
Le scadenze
- 17 ottobre 2024 — Entrata in vigore del D.Lgs. 138/2024
- 28 febbraio 2025 — Scadenza registrazione sulla piattaforma ACN
- 31 marzo 2025 — ACN comunica l’inclusione formale negli elenchi NIS2
- 31 ottobre 2026 — Piena conformità agli obblighi di sicurezza
Se non ti sei ancora registrato su nis2.acn.gov.it, è il primo passo da fare. La registrazione è obbligatoria e alcune scadenze sono già passate.
Come adeguarsi in 5 passi
1. Verifica il tuo profilo NIS2. Analizza settore di appartenenza, dimensioni aziendali e tipo di servizi rispetto agli allegati del D.Lgs. 138/2024. Se hai dubbi, un consulente può fare questa verifica in poche ore.
2. Registrati su nis2.acn.gov.it. Completa la registrazione con le informazioni richieste. È un passaggio burocratico ma obbligatorio e tracciato.
3. Fai una gap analysis. Confronta lo stato attuale della tua sicurezza con i requisiti NIS2. L’obiettivo non è la perfezione ma capire dove sei più esposto, per prioritizzare gli interventi.
4. Implementa le misure. MFA, backup strutturati, gestione patch, EDR, procedure di risposta agli incidenti, formazione del personale. Non tutto contemporaneamente: procedi in base ai risultati della gap analysis.
5. Mantieni la conformità nel tempo. La NIS2 non è un progetto con una data di fine. Richiede monitoraggio continuo, aggiornamento periodico delle misure e documentazione degli incidenti.
10punto10 supporta le aziende italiane nell’intero percorso NIS2: dalla gap analysis iniziale all’implementazione delle misure tecniche, dalla gestione continuativa dell’infrastruttura alla formazione del personale. Contattaci per una consulenza gratuita: analizziamo insieme il tuo profilo di rischio e definiamo il piano di adeguamento.