NIS2: tutte le prossime scadenze da rispettare

La NIS2 (Network and Information System) è stata presentata alle aziende europee come un’evoluzione della precedente direttiva NIS che riguardava una fetta ristretta di aziende, quelle operanti in settori critici come Energia, Trasporti e Sanità. Con l’intensificarsi degli attacchi hacker, la Comunità Europea ha deciso di emanare una seconda versione della direttiva, appunto la NIS2, che coinvolge la stragrande maggioranza delle aziende, nonché i fornitori delle stesse. La nuova direttiva si applicherà, infatti, non solo alle organizzazioni appartenenti alle nuove categorie individuate, ma anche ai subappaltatori e ai fornitori delle organizzazioni coinvolte.

Per questa ragione, e per accompagnare passo dopo passo aziende spesso impreparate sul versante cybersecurity, i governi degli Stati appartamenti all’Unione Europea hanno messo a disposizione delle imprese un riferimento preciso. Per quanto riguarda l'Italia, l'autorità competente è l'Agenzia per la Cybersicurezza Nazionale (ACN). Nella sezione del sito dedicata alla direttiva NIS2, è possibile ricevere aggiornamenti continui sui passaggi da seguire.

Le aziende avrebbero dovuto iscriversi entro il 28 febbraio. Il primo passo richiedeva la comunicazione all'ACN di una serie di informazioni, tra cui la nomina di un referente interno all'azienda, designato come punto di contatto per le autorità.

Scopri tutte le tappe per adeguare la tua organizzazione

Il processo di adattamento alla NIS2 è solo all’inizio e, nei prossimi mesi, le aziende dovranno affrontare una serie di passaggi cruciali.
Dopo la scadenza per la registrazione del 28 febbraio, poi prorogata al 10 marzo (proroga esclusiva per le imprese che avevano già preventivamente nominato e indicato il punto di contatto interno all’azienda), l’Agenzia per la Cybersicurezza Nazionale (ACN) e le autorità competenti avranno tempo fino al 31 marzo 2025 per verificare i dati e creare l’elenco ufficiale delle aziende che saranno soggette alla direttiva, suddivise tra soggetti essenziali e importanti.
Da inizio aprile, poi, l’ACN inizierà a notificare alle imprese l’inclusione nell’elenco e a fornire le modalità per l’adozione degli obblighi relativi alla sicurezza informatica. Questo sarà un momento fondamentale, che richiederà l'implementazione concreta delle misure previste dalla direttiva.
Anche dopo il mese di aprile, la compliance alla NIS2 continuerà a presentare diverse sfide, con scadenze annuali e nuovi obblighi da rispettare per l’azienda.

Di seguito un elenco completo di tutte le prossime scadenze da non sottovalutare:

• Entro il mese di marzo 2025 ACN avrà completato la verifica delle iscrizioni e costituirà l’elenco dei soggetti NIS2.
• Entro il mese di aprile 2025 ACN comunicherà alle aziende che si sono iscritte se sono effettivamente considerate soggetti NIS2 (potrebbero anche non esserlo) e se sono considerate soggetti essenziali o importanti e definirà gli obblighi che dovranno adottare. Le aziende coinvolte dovranno quindi fare un’attenta analisi e interpretare le disposizioni, implementando concretamente le misure richieste.
• Entro il mese di maggio 2025 i soggetti NIS dovranno aggiornare le loro informazioni sulla piattaforma ACN. Nello specifico, dovranno aggiornare: lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso; l’elenco degli Stati membri in cui forniscono servizi rilevanti ,e i nominativi degli apicali responsabili dell’adempimento degli obblighi previsti dalla normativa e un sostituto del punto di contatto. Con determinazione da emanare entro il 31 marzo 2025, l’ACN potrà indicare ulteriori informazioni che i soggetti NIS2 dovranno comunicare.
• Entro gennaio 2026 sarà richiesta la notifica obbligatoria degli incidenti di sicurezza.
• Entro aprile 2026 l’Agenzia ACN elaborerà il modello di categorizzazione delle attività e dei servizi, definendo tutti gli obblighi a lungo termine.
• Entro settembre le aziende coinvolte dovranno garantire la completa implementazione delle misure di sicurezza di base.

Vuoi approfondire la normativa?

La cybersecurity è una questione sempre più seria e complessa da gestire. Se prima le organizzazioni potevano occuparsene internamente, ora, vista la portata degli incidenti e degli attacchi hacker e la creazione di normative non più nazionali ma europee, come NIS2, DORA (Digital Operational Resilience Act), CRA (Cyber Resilience Act) e AI Act (Artificial Intelligence Act), la gestione della sicurezza informatica è diventata troppo articolata per essere affrontata in modo “casalingo”.
È fondamentale per le aziende coinvolte nell’adeguamento a NIS2 trovare un partner che non solo si occupi di soluzioni di cybersecurity ma abbia la capacità di fornire una consulenza adeguata taylor made e indirizzare le aziende su:

• Quali investimenti fare, integrandoli nella struttura pre-esistente.
• Quale tipo di formazione occorre per il personale. Le aziende che rientrano nel perimetro NIS2, infatti, dovranno adeguarsi alla direttiva attraverso un processo strutturato che include – tra i punti cruciali – la formazione del top management e dell’intera organizzazione.
• Una delle sfide più grandi che le organizzazioni dovranno affrontare in ottica NIS2 rispetto a prima sono i requisiti di segnalazione degli incidenti, finora non obbligatoria.
• Il tipo di monitoraggio e di aggiornamenti necessari per l’adeguamento.
• Come ridurre il peso economico degli interventi per l’adeguamento alla normativa intercettando i finanziamenti, erogati anche come sconto in fattura, erogati dal MIMIT o altri enti pubblici.

TIM Enterprise si propone come partner strategico, mettendo a disposizione non solo una suite completa di soluzioni specifiche di cybersecurity ma anche personale dedicato nel supportare le organizzazioni nell’intero percorso di adeguamento alla nuova direttiva.
L’esperienza di Telsy, inoltre, Centro di competenza cyber per TIM Enterprise, costituisce un ulteriore valore aggiunto, offrendo una expertise specifica per affrontare le sfide legate alla sicurezza informatica, consolidando così la posizione dell'azienda come riferimento per il percorso di adeguamento.

Se vuoi scaricare il whitepaper su NIS2 o capire quanto sei pronto in caso di un eventuale attacco hacker, accedi alla pagina di NIS2.
Se vuoi invece essere contattato da un consulente TIM Enterprise specializzato in NIS2, compila il form. Sarà lui ad accompagnarti in tutti i passi da intraprendere per essere in regola con la nuova direttiva.

Qual è la postura cyber del tuo business? Scoprilo con il nostro self-assessment online.