La Direttiva NIS2 (Network and Information Security Directive 2) rappresenta una delle normative più importanti per la gestione del rischio e la sicurezza informatica. A ottobre, l’Italia ha ufficialmente recepito il decreto di attuazione della NIS2, stabilendo nuove regole e obblighi per la cybersecurity per settori essenziali e strategici.
Ma cosa cambia davvero? Chi è coinvolto? Cosa fare subito e cosa accadrà nel 2025, data di entrata in vigore delle nuove misure.
Come funziona la Direttiva NIS2
Dal 1° gennaio 2025, l’Agenzia per la cybersicurezza nazionale metterà a disposizione una piattaforma dedicata per tutte le organizzazioni che desiderano valutare se rientrano negli obblighi della NIS2. La registrazione alla piattaforma è una fase preliminare per chiedere all’autorità se la NIS2 si applica all’organizzazione specifica. Questo processo, che inizierà a gennaio, avrà le seguenti scadenze:
- 28 febbraio 2025: termine per la registrazione.
- 31 marzo 2025: l’Agenzia notificherà a ciascuna azienda registrata se è soggetta alla direttiva NIS2.
Cosa fare ora per adeguarsi alla NIS2?
L’adeguamento alla direttiva NIS2 richiede un’attenta pianificazione e una preparazione precisa. Prima di tutto, le aziende devono verificare se devono effettuare l’application sulla piattaforma dell’Agenzia. Ecco i passaggi essenziali per prepararsi al meglio:
- Assessment aziendale: Da qui al 31 dicembre, ogni organizzazione deve fare un’analisi per verificare se soddisfa i criteri della direttiva NIS2, considerando vari fattori come:
- Settore di appartenenza
- Dimensione aziendale
- Criticità del ruolo dell’azienda nella supply chain
- Preparazione documentale: Qualora l’assessment indichi l’obbligo di conformarsi alla NIS2, sarà necessario raccogliere e organizzare la documentazione richiesta, inclusa:
- Informazioni dettagliate sull’organizzazione aziendale
- Procedure di sicurezza informatica in atto
- Contatti operativi rilevanti
- Preparazione per la registrazione: La fase di preparazione è cruciale per un’application senza intoppi. Ogni azienda deve assicurarsi di avere pronte tutte le informazioni e i documenti necessari per completare correttamente la registrazione.
A chi è rivolta la NIS2?
La direttiva NIS2 si rivolge a una vasta gamma di soggetti pubblici e privati, operanti in settori essenziali o importanti. Tra le categorie coinvolte, troviamo:
- Infrastrutture digitali: aziende nel settore tecnologico, operatori di telecomunicazioni, data center e fornitori di cloud.
- Piattaforme digitali critiche: piattaforme di social media, marketplace online e altre realtà che supportano la connettività e l’economia.
- Settori non digitali: anche banche, infrastrutture energetiche, sanità, distribuzione alimentare, trasporti e spedizioni sono tenuti a rispettare la NIS2.
La direttiva mira a garantire la sicurezza informatica di settori chiave per l’economia e la sicurezza nazionale, imponendo a queste organizzazioni di adottare misure rigorose per proteggere i dati e le infrastrutture critiche.
Cosa succederà dopo il 31 marzo 2025?
Entro il 31 marzo 2025, tutte le aziende soggette alla NIS2 riceveranno una comunicazione ufficiale dall’Agenzia per la cybersicurezza, confermando la loro inclusione nella normativa. Ma cosa implica esattamente questa conformità?
- Dimostrare di essere compliant: Le organizzazioni dovranno documentare e dimostrare l’attuazione di controlli e procedure di sicurezza, nonché aggiornare periodicamente le proprie politiche di gestione del rischio.
- Invio documentazione periodica: Sarà necessario inviare all’Agenzia aggiornamenti e prove della conformità su base annuale.
- Esclusione annuale: Chi non è soggetto alla NIS2 dovrà ripetere l’assessment ogni anno per confermare l’esclusione, garantendo così che la normativa sia sempre applicata a tutte le realtà che soddisfano i requisiti.
Come prepararsi alla conformità NIS2
La direttiva NIS2 rappresenta un’importante evoluzione nelle normative per la sicurezza informatica, richiedendo a molte aziende un impegno significativo per garantire la conformità. Polimeni.Legal offre servizi di consulenza legale per aiutare le organizzazioni a comprendere e implementare i requisiti della NIS2, garantendo la protezione e la sicurezza delle proprie infrastrutture digitali.
FAQ:
Chi è tenuto a conformarsi alla NIS2?
Soggetti pubblici e privati che operano in settori ritenuti essenziali o importanti, come infrastrutture digitali, fornitori di servizi cloud, operatori di reti di comunicazione elettronica e altri settori tecnologici strategici, non solo per la loro dimensione, ma anche per la criticità del loro ruolo nella supply chain.
Come posso sapere se la mia azienda è soggetta alla NIS2?
È necessario fare un assessment aziendale per determinare se la propria attività soddisfa i requisiti della direttiva.
Quali sono le conseguenze per chi non rispetta la NIS2?
Le aziende che non rispettano i requisiti della NIS2 rischiano sanzioni amministrative e, nei casi più gravi, la revoca delle autorizzazioni operative.