Obblighi NIS2: Cosa Aspettarsi Dopo la Registrazione

27/02/2025

La Direttiva NIS2 impone nuovi requisiti di sicurezza informatica per le aziende di settori critici e importanti. Le imprese coinvolte sono definite in base alla dimensione e al settore di appartenenza:

Limiti dimensionali [NIS2 si appoggia ai parametri dimensionali “la Raccomandazione 2003/361/CE]

Grande impresa: occupa almeno 250 dipendenti e realizza un fatturato annuo che supera i 50 milioni di euro oppure il totale di bilancio annuo supera i 43 milioni di euro;
media impresa: occupa meno di 250 persone, e realizza un fatturato annuo che non supera i 50 milioni di euro oppure il totale di bilancio annuo non supera i 43 milioni di euro;
piccola impresa: occupa meno di 50 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiori a 10 milioni di euro;
microimpresa: occupa meno di 10 persone e realizza un fatturato annuo oppure un totale di bilancio annuo non superiori a 2 milioni di euro.

Settori obbligati:

Energia
Trasporti
Sanità
Servizi digitali
Manifattura
Banche e infrastrutture finanziarie
Acqua potabile e acque reflue
Pubblica amministrazione

I soggetti importanti: la direttiva identifica inoltre soggetti obbligati in funzione della appartenenza a specifici codici NACE/ATECO nel settore manifatturiero, sanitario e alimentare.

La registrazione delle aziende coinvolte deve essere completata entro il 28 febbraio 2025. Tuttavia, gli obblighi principali scatteranno successivamente, con due scadenze fondamentali: gennaio 2026 e ottobre 2026.

Gli Obblighi Dopo la Registrazione

Una volta completata la registrazione, le aziende dovranno progressivamente adeguarsi agli obblighi della NIS2, che mirano a garantire una maggiore resilienza informatica. Le principali scadenze da considerare sono:
Gennaio 2026: entro questa data, le imprese dovranno aver implementato un modello di gestione del rischio e adottato misure di sicurezza adeguate. Questo include:

Identificazione e valutazione dei rischi legati alla sicurezza informatica;
Adozione di policy di gestione della sicurezza delle informazioni;
Controllo degli accessi e protezione delle infrastrutture critiche;
Monitoraggio continuo delle minacce e risposta agli incidenti.

Ottobre 2026: le aziende dovranno dimostrare la piena conformità alla direttiva, integrando processi di sicurezza più strutturati e documentati. Questo prevede:

Audit e verifiche periodiche sulla sicurezza;
Formazione continua per il personale;
Gestione della supply chain per garantire la sicurezza di fornitori e partner;
Piani di continuità operativa e disaster recovery.

ISO 27001: Il Modello di Riferimento

Per essere conformi alla NIS2, le aziende dovranno adottare un framework di sicurezza basato sugli standard internazionali. Il riferimento principale è la norma ISO 27001, che fornisce linee guida per un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Pur non essendo obbligatorio ottenere la certificazione, l’adozione dei principi della ISO 27001 sarà fondamentale per dimostrare il rispetto dei requisiti della direttiva.

Progesa S.p.A., dopo l’effettuazione della registrazione, è in grado di predisporre il sistema di gestione per la sicurezza digitale, ispirandosi al sistema di gestione ISO/IEC 27001 “Sicurezza delle informazioni” per una corretta compliance alla Direttiva.

Contattaci per richiedere la tua assistenza

News Sostenibilità Scopri tutte le news relative al topic Sostenibilità

Contatti Vuoi metterti in contatto con un nostro consulente? Scrivici, saremo lieti di dare tutto il nostro supporto alle tue esigenze.