La direttiva NIS 2 (per l’implementazione dei sistemi di cybersecurity nelle aziende a maggior rischio) si applica a una vasta gamma di aziende che operano in settori considerati critici o ad alta criticità. Questi settori sono suddivisi in due categorie principali:
Settori ad alta criticità
- Energia (elettrica, petrolio, gas)
- Trasporti (aereo, ferroviaria, via acqua, su strada)
- Settore bancario
- Infrastrutture dei mercati finanziari
- Sanità
- Acqua potabile
- Acque reflue
- Infrastrutture digitali (inclusi servizi di cloud computing, DNS, servizi di content delivery network)
- Gestione dei servizi TIC
- Spazio
Altri settori critici
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione di dispositivi medici e dispositivi medico-diagnostici in vitro
- Fabbricazione di computer e prodotti di elettronica e ottica
- Fabbricazione di apparecchiature elettriche
- Fabbricazione di macchinari e apparecchiature n.c.a.
- Fabbricazione di autoveicoli, rimorchi e semirimorchi
- Fabbricazione di altri specifici mezzi di trasporto
- Fornitori di servizi digitali
- Organizzazioni di ricerca
La Direttiva NIS2 si applica principalmente alle medie e grandi imprese, definite come quelle con più di 50 dipendenti e un fatturato o bilancio annuo superiore a 10 milioni di euro.
Tuttavia, anche le piccole imprese possono rientrare nell’ambito di applicazione se:
- Sono identificate come “critiche” ai sensi della Direttiva RCE.
- Sono fornitori unici di servizi essenziali a livello nazionale.
- Forniscono servizi che, se interrotti, potrebbero comportare un rischio sistematico significativo
- Sono critiche per la loro particolare importanza a livello nazionale
- Sono elementi sistematici nella catena di approviggionamento di soggetti essenziali o importanti
E’ importante notare che la Direttiva pone una particolare attenzione alla sicurezza lungo l’intera catena di fornitura. Di conseguenza, non solo le aziende operanti direttamente nei settori critici, ma anche i loro fornitori, soprattutto quelli che forniscono prodotti o servizi critici, devono garantire elevati standard di sicurezza informatica.
In Italia, l’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità competenze per l’attuazione e il monitoraggio della Direttiva NIS 2.
Le aziende soggette alla normativa sono tenute a registrarsi sul portale servizi dell’ACN entro le scadenze previste (e comunque entro e non oltre il 31/03/2025).
Le imprese coinvolte devono adottare misure di sicurezza cibernetica adeguate, effettuare analisi dei rischi e notificare tempestivamente eventuali incidenti alle autorità competenti. Le sanzioni per la non conformità possono essere significative.
Adempimenti obbligatori per le aziende critiche
Questi obblighi includono:
- Gestione del rischio: Le aziende devono adottare misure tecniche e organizzative adeguate per gestire i rischi legati alla sicurezza delle reti e dei sistemi informativi. Questo comprende la valutazione e l’implementazione di misure come l’autenticazione a più fattori, la crittografia e il rispetto delle pratiche di igiene informatica di base.
- Sicurezza della catena di approvigionamento: E’ fondamentale garantire la sicurezza lungo tutta la filiera produttiva, valutabdo la resilienza dei fornitori e assicurandosi che adottino pratiche di cybersicurezza adeguate. Questo obbligo si estende anche ai rapporti con i fornitori diretti o indiretti.
- Continuità operativa: Le aziende devono sviluppare piani per garantire la continuità dei servizi critici anche in caso di incidenti significativi. Questo implica la definizione di strategie di buisness continuity e disaster recovery per assicurare la resilienza operativa.
- Formazione e sensibilizzazione: E’ obbligatorio fornire formazione continua ai dipendenti sulla sicurezza informatica. Inoltre, i membri dei consigli di amministrazione sono direttamente responsabili della conformità alle normative di sicurezza e possono essere soggetti a sanzioni in caso di inadempienza.
- Obblighi di segnalazione: Le aziende devono disporre di processi per la segnalazione tempestiva di incidenti di sicurezza con impatto significativo. In particolare, è richiesto di presentare un allarme preventivo al CSIRT o all’autorità nazionale competente entro 24 ore dall’incidente e una notifica ufficiale entro 72 ore.
- Registrazione presso l’ACN: E’ prevista la registrazione obbligatoria sul portale servizi dell’Agenzia per la Cybersicurezza Nazionale (ACN) per tutte le imprese a cui si applica la normativa.
Come registrare un’organizzazione
Prima di avviare la registrazione, il soggetto deve designare il punto di contatto, di cui all’articolo 7, comma 1, lettera c) del Decreto NIS. In linea generale, il punto di contatto deve essere un dipendente delegato dal rappresentante legale del soggetto.
La registrazione è composta da tre fasi: il censimento del punto di contatto (compilazione anagrafica), la sua associazione all’azienda da cui è stato nominato (tramite indicazione del codice fiscale aziendale) e la compilazione della Dichiarazione NIS.
Per maggiori informazioni sulle modalità per procedere con la registrazione obbligatoria per le Organizzazioni rientranti nel citato elenco, si invita ad accedere sul sito dell’AGENZIA DELLA CYBERSICUREZZA NAZIONALE tramite il seguente indirizzo e seguire la procedura guidata:
https://www.acn.gov.it/portale/nis/registrazione
Accedi al portale dei servizi (accesso da parte del “punto di contatto” con SPID)
Al termine della fase di registrazione, l’Agenzia e le Autorità di settore vaglieranno le dichiarazioni per costituire l’elenco dei soggetti NIS entro fine marzo 2025.
Nel mese di aprile 2025, l’Autorità nazionale competente NIS notificherà al domicilio digitale di tutti i soggetti registrayi se rientrano, o mneo, nell’elenco.
Se vuoi maggiori informazioni o un aiuto compila il form in basso
Ti contatteremo telefonicamente il prima possibile
