OMSIC S.r.l.
+39.02.660271
Email
vendite@omsic.it
24
Feb

Normativa NIS2: cos’è e come adeguarsi

24 Febbraio 2025

La crescente minaccia degli attacchi informatici ha spinto l’Unione Europea a rafforzare il quadro normativo sulla cybersicurezza. La Normativa NIS2 è il nuovo riferimento per la protezione delle reti e dei sistemi informatici. E’ entrata in vigore in Italia il 16 ottobre 2024 con il Decreto Legislativo 138/2024. Questa direttiva impone misure più stringenti per limitare i rischi informatici, garantendo alle aziende la continuità operativa. Nell’articolo spieghiamo chi è obbligato ad adeguarsi, quali sono i nuovi requisiti, quali strategie adottare per ottenere la conformità.

Cos’è la Normativa NIS2 e a cosa serve

La Normativa NIS2 introduce nuove disposizioni per rafforzare la sicurezza delle reti e dei sistemi informatici delle aziende operative in Europa. Tra le principali novità rispetto alla precedente normativa NIS vi è l’ampliamento dell’ambito di applicazione. Esso coinvolge un numero maggiore di settori e organizzazioni, e l’adozione di requisiti minimi di sicurezza più rigorosi.

L’obiettivo della normativa

La normativa punta a migliorare la cooperazione tra le autorità di supervisione a livello europeo. Promuove un’intelligence condivisa per contrastare in modo più efficace le minacce informatiche. Un aspetto fondamentale riguarda la gestione del rischio e la valutazione delle vulnerabilità lungo l’intera catena di fornitura. Essa garantisce una protezione più solida dell’ecosistema digitale. Infine, viene incentivata la condivisione delle informazioni sugli incidenti e sulle vulnerabilità informatiche, con l’obiettivo di assicurare una risposta tempestiva e coordinata ai cyber attacchi.

Guarda il video

Chi deve adeguarsi

La Normativa NIS2 coinvolge aziende che operano nell’UE e che rientrano nei criteri di medie e grandi imprese. Sono imprese con più di 50 dipendenti o un fatturato superiore ai 10 milioni di euro). Nel testo pubblicato sulla  Gazzetta Ufficiale vi è una precisazione. Le entità con meno di 50 dipendenti o fatturato inferiore possono essere classificate come essenziali o importanti:

– se operano in settori critici

-o se la loro interruzione può avere un forte impatto sulla sicurezza o sull’economia.

I settori coinvolti

Tra i settori coinvolti troviamo:

-Energia e trasporti,

-Banche e servizi finanziari,

-Sanità e prodotti farmaceutici,

-Servizi cloud e data center,

Servizi digitali e telecomunicazioni,

-Pubblica amministrazione,

-Fornitori di infrastrutture IT.
Oltre a questi elencati all’interno dell’Allegato 2 sono menzionati anche altri settori critici, come: Alimentare, Gestione dei rifiuti, Manifatturiero, Chimico, Spaziale. Inoltre, tutte le Pubbliche amministrazioni devono rispettare la Direttiva, indipendentemente dalle loro dimensioni. Salvo quelle che operano in ambiti legati alla sicurezza nazionale, difesa, ordine pubblico e contrasto alla criminalità.

Gli obblighi imposti dalla Normativa NIS2

Per rispettare la Normativa NIS2, le aziende devono adottare un approccio che si basi sulla gestione dei rischi. Devono implementare misure di sicurezza adeguate e mirate a proteggere l’infrastruttura IT. È fondamentale avviare un’analisi accurata dei rischi, identificando le potenziali minacce, anche associate ai fornitori, per evitare che vulnerabilità esterne possano compromettere la sicurezza aziendale. In parallelo, per tutelare i sistemi informatici, è fondamentale utilizzare strumenti di protezione come firewall e sistemi di rilevamento delle intrusioni. Anche l’adozione di soluzioni di crittografia avanzata e l’implementazione dell’autenticazione multifattore rappresentano pratiche indispensabili per garantire la protezione dei dati sensibili.

La gestione degli incidenti

Un altro punto chiave riguarda la gestione degli incidenti di sicurezza. Ogni azienda deve avere un piano ben definito per rispondere a potenziali attacchi, con procedure operative chiare. È obbligatorio, inoltre, segnalare tempestivamente ( entro 72 ore) eventi che possano compromettere la sicurezza delle infrastrutture tecnologiche, come gli attacchi hacker. Infine, la formazione e la sensibilizzazione sono essenziali per creare una cultura aziendale attenta alla sicurezza. Programmi di formazione specifici e simulazioni di attacchi informatici aiutano a testare e migliorare la preparazione dell’azienda in caso di minacce reali.

Sanzioni per il mancato rispetto della Normativa NIS2

Le aziende che non rispettano gli obblighi previsti dalla Normativa NIS2 sono soggette a sanzioni amministrative e pecuniarie. Le entità varia in base alla classificazione dell’azienda come “servizio essenziale”, (tra cui, ad esempio, l’energia, la salute e i trasporti) o “servizio importante”.
Le multe possono arrivare fino a:

  • 10 milioni di euro o il 2% del fatturato globale annuo per le entità essenziali.
  • 7 milioni di euro o l’1,4% del fatturato globale annuo per le entità importanti.

Sul sito dell’ACN sono disponibili le informazioni relative ai settori e sottosettori inclusi nel mondo NIS. Sono indicate anche le modalità per determinare se un’organizzazione è “essenziale” o “importante”.

Se un’azienda non rispetta i requisiti di sicurezza o non comunica le violazioni nei tempi stabiliti, può affrontare sanzioni più severe legate alla non conformità. Può incorrere anche nella sospensione temporanea dei suoi servizi. In casi specifici o qualora si ritenesse opportuno, le autorità possono decidere di rendere pubbliche le violazioni.

Le prossime scadenze

La direttiva è in vigore dal 17 ottobre 2024 ma nel 2025 vede molte scadenze importanti per le aziende.

Entro il 28 febbraio 2025
Registrazione sulla piattaforma ACN.
La registrazione è composta da tre fasi, il censimento del punto di contatto, la sua associazione al soggetto e la compilazione della dichiarazione NIS.

Entro metà aprile 2025
Creazione, da parte dell’autorità competente per il NIS, dell’elenco dei soggetti NIS. Aadozione degli obblighi di base in materia di misure di sicurezza informatica e notifica di incidenti.

Metà maggio 2025
Trasmissione e aggiornamento delle informazioni dei soggetti NIS, con aggiornamenti tempestivi (massimo 14 giorni)

Entro gennaio 2026
Adempimento degli obblighi di base in materia di notifica di incidente (entro 9 mesi dalla notifica di inclusione).
Entro ottobre 2026
Adempimento agli obblighi di base in materia di sicurezza informatica (entro 18 mesi dalla notifica di inclusione).

Ultimi articoli

18 Maggio 2026
10 anni di OilCloud Lab
17 Aprile 2026
Software di automazione per depositi di carburante: guida alla scelta
23 Marzo 2026
Logistica dei carburanti: digitalizzazione e tracciabilità con le soluzioni OMSIC
21 Gennaio 2026
Rivoluzione nel sistema doganale UE: Data Hub e EUCA ridisegnano la governance dei dati
5 Dicembre 2025
Codice Accisa: cos’è, come funziona e in cosa differisce dal Codice Ditta
17 Novembre 2025
Webinar – Dall’eDAS al Cartellino digitale: la filiera digitale del carburante