ACN e l’elenco NIS2: tutto quello che c’è da sapere sulla conformità alla Direttiva NIS2 entro il 31 marzo

NIS2 Elenco Soggetti

La Direttiva NIS2 ha introdotto una serie di misure stringenti per migliorare la sicurezza informatica delle infrastrutture critiche e dei servizi essenziali in tutta l’Unione Europea. In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) è l’ente preposto all’attuazione della normativa, con il compito di definire l’elenco definitivo dei soggetti che devono conformarsi.

Con il termine ultimo per la registrazione fissato al 28 febbraio 2025, molte aziende sono ora chiamate a finalizzare il processo di adeguamento. Tuttavia, è possibile completare la registrazione fino al 10 marzo 2025, a patto di aver già effettuato il censimento. Entro il 31 marzo 2025, ACN pubblicherà l’elenco NIS2 definitivo, identificando in modo ufficiale le organizzazioni obbligate a rispettare i nuovi requisiti di sicurezza.

Cosa prevede la Direttiva NIS2?

Rispetto alla precedente Direttiva NIS1, la NIS2 (Direttiva UE 2022/2555) impone obblighi più rigorosi per la gestione della sicurezza informatica, l’identificazione dei rischi e la notifica degli incidenti. Le principali novità includono:

  • Ampliamento della platea dei soggetti coinvolti, includendo non solo i fornitori di servizi essenziali, ma anche molte aziende private.
  • Maggiore attenzione alla supply chain, con obblighi di controllo sulla sicurezza dei fornitori.
  • Obblighi di segnalazione per gli incidenti di sicurezza entro precise tempistiche.
  • Sanzioni elevate per chi non si adegua, con multe fino al 2% del fatturato globale annuo.

ACN e l’elenco NIS2: le tappe dell’adeguamento

L’attuazione della Direttiva NIS2 è stata suddivisa in tre fasi principali:

  1. Fase di recepimento (febbraio 2023 – ottobre 2024): periodo necessario per l’adozione della normativa a livello nazionale.
  2. Prima fase attuativa (ottobre 2024 – aprile 2025): periodo in cui le aziende devono registrarsi e prepararsi per l’adeguamento.
  3. Seconda fase attuativa (aprile 2025 – aprile 2026): implementazione pratica delle misure di sicurezza.
  4. Terza fase attuativa (da aprile 2026 in poi): piena operatività della NIS2, con controlli periodici e verifiche di conformità.

Il censimento e la registrazione obbligatoria

Le aziende soggette alla NIS2 sono tenute a registrarsi sulla piattaforma digitale ACN entro il 28 febbraio 2025. Chi non ha ancora completato la procedura ha un’ultima opportunità fino al 10 marzo 2025. Tuttavia, per rientrare in questa proroga, è necessario aver già effettuato il censimento preliminare entro la prima scadenza.

Pubblicazione dell’elenco definitivo NIS2 il 31 marzo 2025

Uno dei momenti chiave del processo di adeguamento è rappresentato dalla pubblicazione dell’elenco definitivo dei soggetti che devono conformarsi. Questo elenco, stilato dall’ACN, verrà pubblicato il 31 marzo 2025 e includerà:

  • Le aziende e gli enti pubblici tenuti a rispettare la normativa.
  • Le categorie di operatori essenziali che rientrano nel perimetro NIS2.
  • Gli obblighi specifici per ogni categoria di soggetto.

Una volta pubblicato l’elenco, le aziende incluse avranno tempo fino ad aprile 2026 per implementare le misure di sicurezza necessarie.

Le principali misure di conformità alla NIS2

Le aziende che rientrano nell’elenco NIS2 devono adottare una serie di misure per garantire la conformità, tra cui:

  1. Gestione del rischio informatico: implementare un approccio strutturato per prevenire e mitigare gli attacchi cyber.
  2. Protezione della supply chain: verificare la sicurezza dei fornitori e adottare controlli adeguati.
  3. Notifica obbligatoria degli incidenti: segnalare tempestivamente ogni violazione o attacco informatico all’ACN e al CSIRT Italia.
  4. Audit e verifiche periodiche: sottoporsi a controlli di sicurezza regolari per evitare sanzioni.

Sanzioni per mancata conformità

Il mancato adeguamento alla Direttiva NIS2 comporta sanzioni severe. In particolare, le aziende non conformi rischiano:

  • Multe fino a 10 milioni di euro o il 2% del fatturato annuo globale.
  • Sanzioni accessorie per i dirigenti, inclusa la sospensione temporanea dai ruoli di responsabilità.
  • Obbligo di adottare misure correttive immediatamente, con potenziali controlli a sorpresa.

Conclusioni

La Direttiva NIS2 rappresenta una svolta fondamentale per la sicurezza informatica in Europa. L’ACN elenco NIS2, che verrà pubblicato entro il 31 marzo 2025, definirà in modo definitivo le aziende e gli enti tenuti a conformarsi alle nuove regole.

Le imprese che ancora non hanno avviato il percorso di adeguamento devono agire subito per evitare sanzioni e garantire la protezione delle loro infrastrutture digitali.

La conformità alla NIS2 non è solo un obbligo normativo, ma una strategia essenziale per garantire la resilienza aziendale di fronte alle minacce cyber sempre più sofisticate.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In