Cybersecurity e Direttiva NIS2: verso la scadenza di gennaio 2026

Con l’entrata in vigore della Direttiva NIS2, l’Unione Europea ha tracciato una nuova e più ambiziosa rotta per il rafforzamento della cybersecurity, con l'obiettivo di costruire un’Europa più resiliente, capace di prevenire e gestire in modo coordinato le minacce informatiche che mettono a rischio la continuità dei servizi essenziali e la tutela dei dati.

Rispetto alla direttiva NIS del 2016, la nuova NIS (NIS2) introduce una regolamentazione più ampia e vincolante: cresce il numero dei settori coinvolti, aumentano le responsabilità delle organizzazioni e si definiscono con maggiore precisione obblighi, tempistiche e meccanismi di notifica.

Per questa ragione, e per accompagnare passo dopo passo le aziende (ancora troppo spesso impreparate sul versante cybersecurity), i governi degli Stati UE hanno messo a disposizione delle imprese un riferimento preciso. Per quanto riguarda l'Italia, l'autorità competente è l'Agenzia per la Cybersicurezza Nazionale (ACN).

La prima fase operativa del percorso di adeguamento alla nuova direttiva ha avuto come obiettivo il censimento puntuale di tutte le organizzazioni soggette alla normativa. In particolare, questa fase ha visto migliaia di imprese e pubbliche amministrazioni coinvolte nel processo di identificazione e registrazione sulla piattaforma digitale messa a disposizione dall’ACN e una mappatura approfondita dei soggetti considerati "essenziali" o "importanti" per la sicurezza del Paese.

Le principali scadenze, come da calendario, di questa fase iniziale sono state:

• 17 gennaio 2025: termine per la registrazione delle categorie prioritarie.
• 28 febbraio 2025 (poi prorogata al 10 marzo 2025 per alcune realtà): termine per la registrazione di tutte le altre organizzazioni rientranti nei settori regolamentati dalla direttiva.
• 31 marzo 2025: l’ACN ha concluso la valutazione delle aziende registrate, notificando a ciascuna la propria classificazione ufficiale come soggetto “essenziale” o “importante” e trasmettendo il primo set di obblighi minimi per avviare il percorso di compliance.

Ora, superata la fase di mappatura, il percorso NIS2 entra nel vivo. Il prossimo passaggio riguarda uno degli obblighi più delicati e complessi: la notifica tempestiva degli incidenti significati, entro 24 ore, al CSIRT (Computer Security Incident Response Team) Italia, ossia l'organo dell'Agenzia per la Cybersicurezza Nazionale dedicato al monitoraggio preventivo e agli incidenti informatici. La notifica entro 24 ore sarà obbligatoria a partire dal 1° gennaio 2026.

Una delle principali novità riguarda l’obbligo per le organizzazioni classificate come “essenziali” o “importanti” di notificare tempestivamente a CSIRT Italia qualsiasi incidente informatico significativo, obbligo pensato per garantire una risposta più rapida e coordinata agli eventi che potrebbero compromettere la continuità operativa dei servizi critici o mettere a rischio i dati sensibili.

In pratica, le aziende dovranno dotarsi di sistemi e procedure per individuare, analizzare e comunicare ogni incidente che abbia un impatto rilevante, in termini di interruzione dei servizi, di danni economici o, semplicemente, che potrebbe generare ripercussioni significative su altre realtà coinvolte.

Secondo quanto previsto dalla Direttiva, l’organizzazione deve inviare, entro 24 ore dalla scoperta dell’incidente, una pre-notifica al CSIRT Italia, contenente le informazioni essenziali per consentire una prima valutazione, come la natura dell’incidente e un’ipotesi sulla sua possibile origine o sull’impatto che potrebbe avere oltre i confini nazionali. Questa fase preliminare è fondamentale per attivare tempestivamente i meccanismi di gestione e contenimento del problema.

Successivamente (entro 72 ore dalla notifica dell’incidente), è necessario trasmettere una notifica completa che aggiorni e approfondisca i dati iniziali, includendo una valutazione più dettagliata della gravità e dell’impatto.

Durante tutta la gestione dell’incidente, l’azienda è tenuta a fornire aggiornamenti periodici a CSIRT Italia, fino alla totale risoluzione del danno.

Rispetto alla precedente Direttiva, la NIS2 porta avanti un approccio più rigoroso e coordinato alla notifica degli incidenti: in passato, gli obblighi erano meno stringenti e coinvolgevano un numero più limitato di soggetti, con modalità di segnalazione meno definite. Ora, invece, la Direttiva amplia il perimetro delle organizzazioni coinvolte, definisce meglio i tempi e mette al centro il ruolo attivo del CSIRT, il quale non solo riceve le segnalazioni, ma fornisce un importante supporto tecnico e di consulenza. Nel caso si sospetti che l’incidente abbia natura criminale, CSIRT indirizza inoltre il soggetto verso le autorità di polizia competenti, assicurando così un efficace coordinamento tra sicurezza informatica e attività investigative.

Da non sottovalutare anche la comunicazione verso i clienti delle aziende coinvolte: se c'è il rischio che l'incidente possa influire sulla continuità del servizio, le organizzazioni saranno obbligate a informare i diretti interessati, condividendo anche eventuali azioni correttive o precauzioni da adottare. In casi particolarmente significativi, la notizia dell'incidente potrebbe essere addirittura resa pubblica dall'ACN, sempre in accordo con il CIRST.

La scadenza del 1° gennaio 2026 rappresenta quindi un momento estremamente delicato e di grande rilevanza per le aziende, le quali dovranno – nello specifico - disporre di sistemi in grado di rilevare, analizzare e comunicare entro 24 ore:

• la perdita, anche parziale, della riservatezza o integrità dei dati;
• la compromissione della disponibilità dei servizi digitali;
• gli accessi non autorizzati ai sistemi informativi (questo per i soggetti essenziali).

TIM Enterprise supporta concretamente imprese e Pubbliche Amministrazioni in ogni fase del percorso di adeguamento a NIS2, attraverso:

• un'analisi precisa dell'infrastruttura interessata, al fine di individuare gap di compliance rispetto ai requisiti della nuova direttiva;
• la progettazione e l’implementazione di soluzioni su misura, dalla protezione perimetrale al monitoraggio h24 degli eventi critici;
• un'assistenza specialistica continua, per gestire ogni incidente in linea con le tempistiche richieste dalla direttiva (pre-notifica in 24 ore e notifica completa in 72 ore e altre comunicazioni verso le autorità di Polizia Postale e Garante Privacy in caso di data breach);
• servizi di consulenza specializzata per la redazione delle policy, l’aggiornamento delle procedure interne, la formazione della dirigenza e del personale coinvolto e supporto alla gestione della crisi.
  
  In particolare, la nuova offerta TIM Guardian, permette di fornire alle aziende linee fisse e mobili protette nativamente.