NIS2 e D.Lgs. 138 2024: sanzioni e rischi per le aziende

Il mancato adeguamento alla Direttiva NIS2 entro i termini stabiliti dall’ACN mette le aziende di fronte a conseguenze molto rilevanti dal punto di vista sanzionatorio, operativo e reputazionale.

Sanzioni previste dal D.Lgs. 138/2024

Violazione degli obblighi di notifica

Il D.Lgs. 138/2024 stabilisce un regime sanzionatorio rigoroso: l’omessa, incompleta o tardiva trasmissione delle notifiche di incidente significativo (pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese) prevista dall’art. 25 comporta sanzioni amministrative importanti.

Violazione degli obblighi di comunicazione

La mancata registrazione sul portale ACN o la mancata designazione del Referente CSIRT entro il 31 dicembre 2025 sono considerate violazioni degli obblighi di comunicazione previsti all’art. 24 e sono soggette a sanzioni economiche.

Entità delle multe

Le sanzioni possono arrivare a milioni di euro o colpire con una percentuale significativa del fatturato mondiale annuo dell’organizzazione interessata. L’entità precisa varia secondo la gravità della violazione e la tipologia del soggetto (essenziale o importante).

Rischi operativi e reputazionali

• Interruzioni operative: Senza un Referente CSIRT esperto e senza un piano di risposta, eventuali attacchi informatici causano inattività prolungate e perdite economiche dovute alla mancata erogazione dei servizi.
• Danni alla reputazione: Una gestione inadeguata degli incidenti o la ricezione di sanzioni da parte dell’ACN può minacciare la fiducia di clienti e partner, mettendo a rischio la competitività aziendale.
• Ispezioni e vigilanza: La mancata nomina del referente costituisce un segnale critico che può attivare ispezioni e vigilanza diretta da parte dell’Agenzia per la Cybersicurezza Nazionale.
• Perdita di conformità: Senza il referente, la catena di notifica si interrompe e l’organizzazione è considerata non conforme alla direttiva.

Il pericolo del single point of failure umano

• Nomina di sostituti: La Determinazione 333017/2025 consente di designare uno o più sostituti del Referente CSIRT con analoghi requisiti tecnici. Questa opzione permette di evitare che l’organizzazione resti scoperta in caso di indisponibilità del referente principale.
• Reperibilità h24: I referenti (o i loro sostituti) devono essere sempre reperibili per garantire tempestività nelle notifiche e rispettare i termini di legge.
• Paralisi decisionale: Senza procedure interne chiare e sostituti designati, anche pochi minuti di incertezza su “chi fa cosa” possono aggravare i danni in caso di attacco.

Scadenze e adempimenti

• Designazione Referente: La registrazione sul portale ACN è disponibile dal 20 novembre al 31 dicembre 2025.
• Dicembre 2025: In questo mese non si possono trasmettere dichiarazioni 2025 utili per la registrazione.
• Nuova registrazione 2026: Dal 1° gennaio al 28 febbraio 2026 le organizzazioni NIS devono inviare una nuova dichiarazione per confermare o aggiornare i dati inseriti nell’anno precedente.

Conseguenze di una gestione superficiale

Trascurare la nomina del Referente CSIRT o operare senza procedure adeguate espone l’organizzazione alle sanzioni legali e a impatti operativi che mettono seriamente a rischio la sopravvivenza aziendale nell’attuale economia digitale.

Analogia

Il sistema di difesa aziendale può essere paragonato a un impianto antincendio. Il Punto di Contatto funge da responsabile che tiene i rapporti esterni, mentre il Referente CSIRT è il capo della squadra interna d’emergenza, pronto ad agire. Non prevedere sostituti equivale ad avere gli allarmi ma nessuno che sappia intervenire, lasciando l’azienda vulnerabile nel momento del bisogno.