Questa normativa è stata recepita in Italia per rafforzare la sicurezza informatica delle infrastrutture essenziali e dei servizi critici, e impone alle organizzazioni obblighi stringenti da rispettare nei prossimi anni.
Chi deve registrarsi?
Entro il 28 febbraio 2025, tutte le entità pubbliche e private identificate come “soggetti NIS” dovranno completare la registrazione. Si tratta di aziende e organizzazioni che operano in settori considerati critici o essenziali, come:
Energia
Sanità
Trasporti
Forniture idriche
Servizi digitali
L’obbligo di registrazione coinvolge anche alcune imprese di dimensioni medio-grandi, mentre le piccole e microimprese sono esentate, a meno che non siano identificabili come fornitori strategici.
Come funziona la registrazione?
La procedura prevede l’individuazione di un punto di contatto, ovvero una persona fisica delegata dall’azienda per gestire comunicazioni e adempimenti con l’Agenzia per la Cybersicurezza Nazionale (ACN). Questo referente dovrà:
Inserire i dati richiesti nella piattaforma;
Garantire la correttezza delle informazioni fornite;
Gestire le comunicazioni con ACN per conto dell’organizzazione.
Le informazioni saranno verificate per assicurare coerenza e accuratezza, con controlli mirati da parte delle strutture interne di ACN.
Le sfide organizzative
Uno degli aspetti più delicati riguarda la delega e le responsabilità del punto di contatto. Non tutte le aziende hanno già formalizzato ruoli e procedure, e in alcuni casi potrebbero esserci conflitti con policy interne come la segregation of duties (SoD). È importante che le aziende affrontino per tempo questi aspetti organizzativi, per evitare problemi durante la registrazione e nelle fasi successive.
Un percorso a tappe
La registrazione è solo il primo passo di un percorso che prevede tappe ben definite:
Obblighi di breve termine da completare entro il 2025;
Misure di medio e lungo termine, con scadenze fino al 2026.
Tra gli adempimenti principali ci sono:
Implementazione di misure di sicurezza proporzionate ai rischi;
Monitoraggio della supply chain e delle relazioni contrattuali;
Notifica tempestiva degli incidenti al CSIRT (Computer Security Incident Response Team).
Come prepararsi?
Per affrontare al meglio questi obblighi, le aziende devono:
Verificare di avere una struttura organizzativa pronta per la registrazione;
Identificare il punto di contatto e garantire che abbia tutte le deleghe necessarie;
Rivedere le policy interne per allinearsi agli standard richiesti dalla direttiva.
La scadenza per la registrazione è vicina, ma rappresenta solo l’inizio di un percorso complesso. Farsi trovare preparati è fondamentale per evitare sanzioni e garantire la conformità.
Se hai bisogno di supporto per comprendere e affrontare gli obblighi previsti dalla direttiva NIS2, contattaci:
Contattaci al nostro numero di telefono unico per l’Italia: 02 87176855 o visita il nostro sito www.10punto10.eu.