L’entrata in vigore del Decreto Legislativo di attuazione della Direttiva NIS 2 (Direttiva UE 2022/2555) segna un cambiamento significativo per la sicurezza informatica in Italia. Le aziende coinvolte devono adeguarsi ai nuovi requisiti per evitare sanzioni e garantire la protezione dei propri sistemi informatici.

NIS 2: chi riguarda la nuova normativa sulla sicurezza informatica?

La Direttiva NIS 2 amplia l’elenco delle aziende soggette agli obblighi di sicurezza informatica. Sono coinvolti i seguenti settori:

  • Settori ad alta criticità, come energia, trasporti, , infrastrutture digitali e sanità.
  • Fornitori di servizi digitali e settori ICT, incluse piattaforme di cloud computing, data center e servizi di gestione IT.
  • Altri settori strategici, quali produzione e distribuzione di prodotti chimici, gestione delle acque, gestione rifiuti,  servizi postali.

Le aziende che rientrano in questi settori devono verificare la conformità alla normativa e adottare misure di sicurezza adeguate.

NIS 2: obblighi principali per le aziende

Le aziende soggette alla Direttiva NIS 2 devono rispettare i seguenti requisiti:

  • Adottare misure di sicurezza adeguate per la gestione dei rischi cyber e la protezione dei dati.
  • Notificare gli incidenti di sicurezza alle autorità competenti entro le tempistiche stabilite.
  • Implementare politiche di gestione del rischio e garantire la formazione del personale in materia di cybersecurity.
  • Sottoporsi a controlli e audit periodici per verificare la conformità alla normativa.

Il mancato rispetto della normativa può comportare sanzioni severe e limitazioni operative.

NIS 2: scadenze da rispettare per le aziende

La NIS 2 impone un calendario rigoroso per l’adeguamento:

  • Registrazione sulla piattaforma ACN (articolo 7, comma 1, articolo 42, comma 1, lettera a):
    – 17 gennaio 2025: registrazione su piattaforma ACN per fornitori di servizi digitali (cloud, data center, motori di ricerca, social network)
    – 28 febbraio 2025: registrazione su piattaforma ACN per tutte le altre aziende soggette alla normativa
  • Entro metà maggio 2025, trasmissione e aggiornamento, tempestivo (comunque non oltre 14 giorni dalla modifica) delle informazioni dei soggetti NIS (articolo 7, commi 4, 5 e 7).
  • Entro gennaio 2026 (entro 9 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di notifica di incidente.
  • Entro ottobre 2026 (entro 18 mesi dalla ricezione della notifica di inserimento nell’elenco dei soggetti NIS), adempimento agli obblighi di base in materia di sicurezza informatica.

NIS 2: cosa devono fare le aziende per adeguarsi?

  1. Verificare se la vostra azienda rientra tra i soggetti regolamentati, consultando l’Allegato II del Decreto di attuazione.
  2. Condurre un assessment della cybersecurity per individuare eventuali vulnerabilità e aree di miglioramento.
  3. Adeguare le politiche aziendali alle nuove prescrizioni normative.
  4. Formare il personale e predisporre un piano di gestione degli incidenti.

Il tempo per l’adeguamento è limitato. È fondamentale agire subito per evitare sanzioni e rischi operativi.

Come lo Studio Legale Salmi può aiutare la tua azienda con la NIS 2

  • Analisi di conformità → Verifica se la tua azienda rientra tra i soggetti obbligati dalla normativa NIS 2.
  • Consulenza legale personalizzata → Supporto nell’interpretazione della normativa e nella definizione delle azioni da intraprendere.
  • Redazione e aggiornamento policy aziendali → Creazione di procedure interne per la gestione della sicurezza informatica e la protezione dei dati.
  • Supporto nella registrazione alla piattaforma ACN → Assistenza nel completamento degli adempimenti burocratici richiesti dalla normativa.
  • Gestione degli obblighi di notifica → Consulenza su come e quando segnalare incidenti di sicurezza alle autorità competenti.
  • Audit legali e verifiche di conformità → Controlli periodici per assicurare il rispetto delle disposizioni della NIS 2 e ridurre i rischi di sanzioni.
  • Formazione del personale → Corsi e workshop per sensibilizzare i dipendenti sulle best practice di cybersecurity e gestione del rischio.
  • Assistenza in caso di sanzioni o ispezioni → Difesa legale e supporto in caso di verifiche da parte delle autorità di controllo.
Affidarsi a uno studio legale specializzato è essenziale per garantire la conformità alla Direttiva NIS 2 e proteggere la tua azienda da rischi operativi e sanzioni. Contattaci per una consulenza personalizzata.