L’attuazione della direttiva europea NIS2 entra nel vivo: a partire dal 12 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato l’invio delle PEC ufficiali alle imprese e agli enti pubblici che rientrano nel nuovo perimetro nazionale di sicurezza informatica previsto dal Decreto Legislativo 123/2023.
Le comunicazioni, recapitate digitalmente, notificano l’inserimento formale dei destinatari nel registro degli operatori di servizi essenziali e importanti, cioè le aziende obbligate a garantire elevati standard di sicurezza informatica per proteggere dati, reti e infrastrutture critiche.
Chi riceverà la PEC?
Le notifiche sono indirizzate a soggetti pubblici e privati attivi nei settori strategici indicati dalla direttiva, tra cui:
- energia, trasporti, sanità, bancario e finanziario,
- infrastrutture digitali, pubblica amministrazione,
- fornitori di servizi cloud, data center e telecomunicazioni.
Cosa bisogna fare subito
Per le aziende coinvolte, la notifica avvia ufficialmente una serie di adempimenti. Non si tratta di una semplice comunicazione informativa: l’inclusione comporta l’obbligo di adeguarsi a un sistema rigoroso di prevenzione e risposta agli incidenti informatici. Tra gli obblighi immediati:
Designazione del referente per la sicurezza ICT
L’azienda deve nominare un punto di contatto interno responsabile della comunicazione con l’ACN e del coordinamento delle misure di cybersecurity.
Valutazione del rischio
Entro tempi brevi, le organizzazioni devono condurre una mappatura dei rischi e definire un piano di gestione, monitoraggio e mitigazione degli stessi.
Comunicazione obbligatoria degli incidenti
Eventuali violazioni o attacchi significativi devono essere segnalati tempestivamente all’ACN entro 24 ore dalla rilevazione.
Adozione di misure tecniche e organizzative adeguate
Le imprese dovranno dimostrare di adottare sistemi di sicurezza informatica aggiornati, formazione del personale e procedure di controllo periodico.
Cosa si rischia
Chi non si adegua rischia sanzioni molto severe, che possono arrivare fino al 2% del fatturato annuo globale, a seconda della gravità della violazione. L’ACN, insieme ad altri enti ispettivi, potrà disporre controlli e richiedere la documentazione necessaria a verificare la conformità alle norme.
Una normativa che cambia il paradigma
La direttiva NIS2 – recepita in Italia con il D.lgs. 123/2023 – potenzia il quadro normativo europeo in materia di sicurezza informatica, estendendo l’ambito soggettivo rispetto alla precedente NIS1 e introducendo obblighi stringenti anche per imprese private non precedentemente incluse.
L’obiettivo è aumentare la resilienza dell’intero sistema-Paese, rafforzando la protezione contro minacce sempre più sofisticate e diffuse.
Le imprese interessate devono dunque attivarsi immediatamente, anche rivolgendosi a consulenti specializzati o certificatori accreditati, per non farsi trovare impreparate davanti a una rivoluzione normativa che è già operativa.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Il prossimo 25 novembre il personale del Dipartimento dell’Organizzazione Giudiziaria si fermerà per uno sciopero nazionale. La protesta culminerà in un presidio dalle ore 12.00…
Fattura elettronica, l’elenco di tutti i codici errore
La fattura elettronica ha rivoluzionato l’emissione, l’invio, la gestione e la conservazione digitale dei documenti di fatturazione. Il passaggio dalla versione cartacea a quella digitale non è però…
Fallimento: qual è il tribunale competente?
Quando si parla di fallimento, qual è il tribunale competente? Va considerata la sede effettiva dell’impresa o la sede legale? Con l’ordinanza 22270/2020 del 15…
