Verso la conformità a NIS2: tutte le scadenze da rispettare

La direttiva NIS2 (Direttiva UE 2022/2555) è entrata in vigore a gennaio 2023 con l’obiettivo di rafforzare la sicurezza delle reti e dei sistemi informativi in tutta Europa.
In un contesto in cui le minacce cibernetiche sono in continua espansione, la nuova direttiva mira a migliorare la resilienza delle infrastrutture digitali, rispondendo alle sfide legate all'evoluzione tecnologica e ai cambiamenti nei modelli di business.
A differenza della versione precedente, la nuova normativa amplia il campo di applicazione, estendendo i suoi obblighi a nuovi settori. Se la prima NIS riguardava già ambiti come energia, trasporti, sanità e finanza, la NIS2 introduce ora nuovi settori, tra cui fornitura di servizi digitali, sistemi di distribuzione dell’acqua e sanità privata. L’obiettivo principale è assicurarsi che le organizzazioni siano in grado di proteggere i dati sensibili e ridurre i rischi legati agli attacchi informatici, promuovendo al contempo la gestione degli incidenti, la valutazione continua della sicurezza e una maggiore cooperazione tra pubblico e privato.

Oltre ai tradizionali settori, la NIS2 si estende anche a piccole e medie imprese che forniscono supporto alle aree già regolamentate, comportando un ampliamento del numero di aziende coinvolte, anche tra quelle già impattate dalla precedente normativa. La dimensione delle aziende diventa quindi un fattore determinante, poiché anche realtà di dimensioni inferiori si troveranno ora soggette a nuove regole e misure di sicurezza.

In Italia, il perimetro di applicazione è stato ulteriormente esteso per includere anche comuni con oltre 100.000 abitanti e l’intero settore culturale, un ambito che la normativa europea inizialmente non contemplava.

Con l’avvicinarsi delle scadenze, come quella del 28 febbraio 2025 per il censimento obbligatorio presso l'Agenzia per la Cybersicurezza Nazionale (ACN), le aziende devono accelerare i processi di adeguamento: sarà quindi fondamentale orientarsi con attenzione verso le misure da adottare per essere pienamente conformi.

Gli Stati membri hanno avuto tempo fino al 16 ottobre 2024 per recepire la normativa nei rispettivi ordinamenti, e ora le scadenze operative per le aziende sono imminenti. In Italia, l'attuazione della direttiva è coordinata dall'Agenzia per la Cybersicurezza Nazionale (ACN), che funge da autorità competente NIS. Il primo passo per le aziende è dunque la registrazione al portale dell'ACN. Tutte le organizzazioni pubbliche e private che operano nei settori e sottosettori inclusi nella normativa dovranno completare il censimento, per consentire all'ACN di supportarle nell'adozione delle misure di sicurezza necessarie.

Calendario 2025-2026

• Entro il 28 febbraio 2025: censimento obbligatorio dei soggetti NIS.
  Le aziende devono registrarsi sulla piattaforma digitale dell’ACN e indicare un “punto di contatto” appositamente scelto nella propria azienda per comunicare con le autorità.
  Ogni anno, a partire dal 2026, le imprese sono inoltre tenute ad aggiornare la propria iscrizione inserendo eventuali informazioni aggiuntive rilevanti ai sensi della NIS2.
• Entro il mese di marzo 2025: l’Agenzia e le Autorità di settore vaglieranno le dichiarazioni per costituire l’elenco dei soggetti NIS.
• Entro il mese di aprile 2025: l'ACN notificherà l'inclusione o meno nell'elenco dei soggetti NIS e fornirà le informazioni sugli obblighi in materia di notifica degli incidenti e misure di sicurezza.
• Gennaio 2026: notifica obbligatoria degli incidenti di sicurezza da parte dei soggetti NIS.
• Ottobre 2026: completamento dell'implementazione delle misure di sicurezza informatica di base.

L'adeguamento a NIS2? Non solo una sfida, ma anche un’occasione per rafforzare la propria sicurezza informatica e proteggersi dai rischi di attacchi cyber.
TIM Enterprise si propone come partner strategico, mettendo a disposizione una suite completa di soluzioni di cybersecurity e un personale dedicato nel supportare le aziende nel percorso di adeguamento alla nuova direttiva, che ha come prima deadline quella del 28 febbraio.

Tra le proposte di TIM Enterprise, spiccano soluzioni avanzate per la Network Security, progettate per proteggere i dati, i sistemi e le reti dagli attacchi informatici. A queste si aggiungono i servizi di Cloud Security, che coprono la protezione di siti web, identità e accessi, oltre alla rilevazione delle vulnerabilità, rispondendo ai requisiti di risk management e sicurezza dei sistemi previsti dalla direttiva. Un ulteriore punto di forza è rappresentato poi dai Managed Security Services, che offrono un SOC dedicato per prevenire, analizzare e rispondere alle minacce informatiche, assicurando la conformità con le misure di gestione degli incidenti e formazione del personale.

Inoltre, l’esperienza di Telsy, il centro di competenza cyber per TIM Enterprise, costituisce un ulteriore valore aggiunto, offrendo una expertise specifica per affrontare le sfide legate alla sicurezza informatica, consolidando così la posizione dell'azienda come riferimento per il percorso di adeguamento alla NIS2.