L'Agenzia per la Cybersicurezza Nazionale alza l'asticella: dal 2025 cambiano gli obblighi per migliaia di aziende e PA. Ecco cosa significa per chi deve mettersi in regola con la Direttiva NIS2.
Cos'è la NIS2 e perché riguarda la tua azienda
La Direttiva NIS2 stabilisce gli obblighi di cybersicurezza per aziende e Pubblica Amministrazione in settori critici e importanti. In Italia è attuata tramite il Decreto Legislativo 138/2024 e gestita dall'Agenzia per la Cybersicurezza Nazionale (ACN).
La cybersicurezza italiana fa un salto di qualità. Con la pubblicazione della nuova determina dell'ACN, l'Agenzia ridisegna le regole del gioco per tutti i soggetti – pubblici e privati – che rientrano nella normativa.
Non si tratta solo di burocrazia: dietro queste norme c'è un sistema che punta a rendere il Paese più resiliente agli attacchi informatici, sempre più frequenti e sofisticati. Ma cosa cambia davvero per chi deve adeguarsi?
La nuova determina ACN: un quadro più chiaro e vincolante
La determina aggiorna le disposizioni precedenti recependo il D.Lgs 138/2024. In sostanza, mette nero su bianco:
- Chi deve fare cosa
- Come si accede alla piattaforma digitale dell'ACN
- Quali informazioni vanno comunicate obbligatoriamente
- Chi sono le figure responsabili della cybersicurezza
L'obiettivo dichiarato è rendere più strutturato e trasparente il flusso di informazioni tra le organizzazioni e l'autorità nazionale. Tradotto: chi è dentro il perimetro NIS2 non può più improvvisare.
Punto di contatto NIS e referente CSIRT: chi sono e cosa fanno
La determina definisce con precisione due ruoli chiave che ogni organizzazione deve individuare e formalizzare.
Il punto di contatto NIS
Il punto di contatto NIS è la figura di riferimento per tutti i rapporti con l'ACN. È lui o lei a:
- Gestire l'accesso al portale ACN
- Compilare i moduli di registrazione
- Aggiornare le informazioni aziendali
- Coordinare eventuali altri operatori interni
Un ruolo organizzativo, insomma, che richiede conoscenza delle procedure e capacità di gestione amministrativa.
Il referente CSIRT
Il referente CSIRT, invece, è il tecnico che si interfaccia con il Computer Security Incident Response Team italiano. Quando succede qualcosa – un attacco, una violazione, un'anomalia importante – è questa persona a:
- Notificare gli incidenti significativi
- Collaborare alla gestione dell'emergenza
- Garantire che le comunicazioni siano rapide e precise
Possono essere la stessa persona?
Sì, ma solo se ha le competenze per coprire entrambi i fronti: organizzative e tecniche. Nelle piccole realtà può funzionare, ma le organizzazioni più strutturate farebbero meglio a separare i due ruoli.
Scadenze NIS2: il calendario degli adempimenti
Gli obblighi non sono solo formali: sono anche temporali. La determina fissa scadenze precise, e sforarle può costare caro.
1. Registrazione sulla piattaforma ACN Dal 1° gennaio al 28 febbraio di ogni anno
2. Nomina del referente CSIRT Dal 20 novembre al 31 dicembre
3. Aggiornamento annuale dei dati Dal 15 aprile al 31 maggio
4. Designazione rappresentanti extra-UE Dal 1° settembre al 30 novembre
5. Aggiornamento continuo Entro 14 giorni da ogni modifica rilevante (cambio referenti, sede, dati aziendali)
Per accedere al portale ACN servono SPID, CIE o credenziali autorizzate. Niente scorciatoie.
Controlli ACN e sanzioni: cosa rischi se non ti adegui
L'ACN non si limita a raccogliere informazioni: le verifica. Sono previsti:
- Controlli a campione sulle dichiarazioni
- Richieste di chiarimenti o correzioni
- Sanzioni per chi fornisce dati falsi o incompleti
Ma c'è un aspetto che vale la pena sottolineare: la responsabilità ricade sui vertici aziendali. Consiglio di amministrazione, direttore generale, amministratore delegato: sono loro a rispondere delle informazioni comunicate. Non è più solo una questione da delegare all'ufficio IT.
Il codice identificativo NIS: il tuo "passaporto" digitale
Una novità introdotta dalla determina è il codice identificativo univoco che ogni soggetto riceve dopo la registrazione. Serve a:
- Identificare ufficialmente l'organizzazione nell'elenco nazionale
- Facilitare tutte le comunicazioni con ACN
- Tracciare gli adempimenti e le notifiche
Un dettaglio che può sembrare tecnico, ma che di fatto istituzionalizza l'ingresso nel perimetro della cybersicurezza nazionale.
NIS2: cosa fare adesso per mettersi in regola
Per chi rientra nella Direttiva NIS2, è il momento di muoversi. Ecco la checklist operativa:
✓ Verifica se rientri nel perimetro NIS2 Controlla settore di attività, dimensioni aziendali e codici ATECO
✓ Designa le figure chiave Individua punto di contatto NIS e referente CSIRT, con competenze adeguate
✓ Raccogli i dati necessari Numero di dipendenti, fatturato, codici ATECO, sedi operative
✓ Segna in agenda tutte le scadenze Crea un calendario degli adempimenti NIS2
✓ Predisponi un sistema di aggiornamento Garantisci comunicazioni tempestive entro 14 giorni da ogni modifica
✓ Forma il management Assicurati che i vertici comprendano le responsabilità legali
Compliance NIS2: perché affidarsi a esperti
Non è più il tempo delle improvvisazioni. La cybersicurezza, con queste nuove regole, diventa anche una questione di organizzazione, pianificazione e responsabilità condivisa.
Chi aspetta l'ultimo giorno rischia di trovarsi in difficoltà – non solo tecniche, ma anche normative. Le sanzioni per la non conformità possono essere significative e impattare sulla reputazione aziendale.
Affidarsi a una piattaforma di compliance management o a consulenti specializzati può fare la differenza tra un adeguamento efficiente e un percorso ad ostacoli.
Ti serve aiuto?
Contattaci, possiamo aiutarti a:
- creare una check-list personalizzata;
- predisporre i modelli per le deleghe;
- impostare un piano di adempimento su misura per la tua organizzazione.