L’attuazione della direttiva europea NIS2 entra nel vivo: a partire dal 12 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato l’invio delle PEC ufficiali alle imprese e agli enti pubblici che rientrano nel nuovo perimetro nazionale di sicurezza informatica previsto dal Decreto Legislativo 123/2023.
Le comunicazioni, recapitate digitalmente, notificano l’inserimento formale dei destinatari nel registro degli operatori di servizi essenziali e importanti, cioè le aziende obbligate a garantire elevati standard di sicurezza informatica per proteggere dati, reti e infrastrutture critiche.
Chi riceverà la PEC?
Le notifiche sono indirizzate a soggetti pubblici e privati attivi nei settori strategici indicati dalla direttiva, tra cui:
- energia, trasporti, sanità, bancario e finanziario,
- infrastrutture digitali, pubblica amministrazione,
- fornitori di servizi cloud, data center e telecomunicazioni.
Cosa bisogna fare subito
Per le aziende coinvolte, la notifica avvia ufficialmente una serie di adempimenti. Non si tratta di una semplice comunicazione informativa: l’inclusione comporta l’obbligo di adeguarsi a un sistema rigoroso di prevenzione e risposta agli incidenti informatici. Tra gli obblighi immediati:
Designazione del referente per la sicurezza ICT
L’azienda deve nominare un punto di contatto interno responsabile della comunicazione con l’ACN e del coordinamento delle misure di cybersecurity.
Valutazione del rischio
Entro tempi brevi, le organizzazioni devono condurre una mappatura dei rischi e definire un piano di gestione, monitoraggio e mitigazione degli stessi.
Comunicazione obbligatoria degli incidenti
Eventuali violazioni o attacchi significativi devono essere segnalati tempestivamente all’ACN entro 24 ore dalla rilevazione.
Adozione di misure tecniche e organizzative adeguate
Le imprese dovranno dimostrare di adottare sistemi di sicurezza informatica aggiornati, formazione del personale e procedure di controllo periodico.
Cosa si rischia
Chi non si adegua rischia sanzioni molto severe, che possono arrivare fino al 2% del fatturato annuo globale, a seconda della gravità della violazione. L’ACN, insieme ad altri enti ispettivi, potrà disporre controlli e richiedere la documentazione necessaria a verificare la conformità alle norme.
Una normativa che cambia il paradigma
La direttiva NIS2 – recepita in Italia con il D.lgs. 123/2023 – potenzia il quadro normativo europeo in materia di sicurezza informatica, estendendo l’ambito soggettivo rispetto alla precedente NIS1 e introducendo obblighi stringenti anche per imprese private non precedentemente incluse.
L’obiettivo è aumentare la resilienza dell’intero sistema-Paese, rafforzando la protezione contro minacce sempre più sofisticate e diffuse.
Le imprese interessate devono dunque attivarsi immediatamente, anche rivolgendosi a consulenti specializzati o certificatori accreditati, per non farsi trovare impreparate davanti a una rivoluzione normativa che è già operativa.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
GDPR: ripassiamo le sanzioni previste
Il GDPR è entrato in vigore il 25 maggio 2018 e, tutto sommato, le aziende italiane non se la stanno poi cavando così male nell’adeguarsi…
Riforma delle intercettazioni: siamo pronti? Forse no…
Domani, 1 settembre 2020, dopo una lunga incubazione iniziata a maggio 2017, entra in vigore la riforma delle intercettazioni. Si applicherà a tutti i procedimenti…
Attenzione alla truffa del QR Code: ecco come riconoscerla
È stata recentemente segnalata una truffa riguardo ad alcune multe false per il parcheggio. Si tratta di multe che vengono lasciate sul parabrezza delle auto,…
