L’attuazione della direttiva europea NIS2 entra nel vivo: a partire dal 12 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato l’invio delle PEC ufficiali alle imprese e agli enti pubblici che rientrano nel nuovo perimetro nazionale di sicurezza informatica previsto dal Decreto Legislativo 123/2023.
Le comunicazioni, recapitate digitalmente, notificano l’inserimento formale dei destinatari nel registro degli operatori di servizi essenziali e importanti, cioè le aziende obbligate a garantire elevati standard di sicurezza informatica per proteggere dati, reti e infrastrutture critiche.
Chi riceverà la PEC?
Le notifiche sono indirizzate a soggetti pubblici e privati attivi nei settori strategici indicati dalla direttiva, tra cui:
- energia, trasporti, sanità, bancario e finanziario,
- infrastrutture digitali, pubblica amministrazione,
- fornitori di servizi cloud, data center e telecomunicazioni.
Cosa bisogna fare subito
Per le aziende coinvolte, la notifica avvia ufficialmente una serie di adempimenti. Non si tratta di una semplice comunicazione informativa: l’inclusione comporta l’obbligo di adeguarsi a un sistema rigoroso di prevenzione e risposta agli incidenti informatici. Tra gli obblighi immediati:
Designazione del referente per la sicurezza ICT
L’azienda deve nominare un punto di contatto interno responsabile della comunicazione con l’ACN e del coordinamento delle misure di cybersecurity.
Valutazione del rischio
Entro tempi brevi, le organizzazioni devono condurre una mappatura dei rischi e definire un piano di gestione, monitoraggio e mitigazione degli stessi.
Comunicazione obbligatoria degli incidenti
Eventuali violazioni o attacchi significativi devono essere segnalati tempestivamente all’ACN entro 24 ore dalla rilevazione.
Adozione di misure tecniche e organizzative adeguate
Le imprese dovranno dimostrare di adottare sistemi di sicurezza informatica aggiornati, formazione del personale e procedure di controllo periodico.
Cosa si rischia
Chi non si adegua rischia sanzioni molto severe, che possono arrivare fino al 2% del fatturato annuo globale, a seconda della gravità della violazione. L’ACN, insieme ad altri enti ispettivi, potrà disporre controlli e richiedere la documentazione necessaria a verificare la conformità alle norme.
Una normativa che cambia il paradigma
La direttiva NIS2 – recepita in Italia con il D.lgs. 123/2023 – potenzia il quadro normativo europeo in materia di sicurezza informatica, estendendo l’ambito soggettivo rispetto alla precedente NIS1 e introducendo obblighi stringenti anche per imprese private non precedentemente incluse.
L’obiettivo è aumentare la resilienza dell’intero sistema-Paese, rafforzando la protezione contro minacce sempre più sofisticate e diffuse.
Le imprese interessate devono dunque attivarsi immediatamente, anche rivolgendosi a consulenti specializzati o certificatori accreditati, per non farsi trovare impreparate davanti a una rivoluzione normativa che è già operativa.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
LEGGI ANCHE
Milleproroghe caos all’esame delle modifiche
Governo sotto quattro volte durante la valutazione delle modifiche al decreto Milleproroghe Nella giornata di ieri, si tenevano le votazioni in commissione alla Camera rispetto alle modifiche del decreto Milleproroghe. Nella notte, il governo va sotto quattro…
Mancata consegna della notifica via PEC: l’imputabilità del destinatario non è certa
Cosa succede in caso di mancata consegna della notifica via PEC? Una parziale risposta ce la offre la Cassazione con la sentenza n.19283/2020. ACCETTAZIONE E…
Avvocati UNAEP: il 16 aprile a Roma convegno su intelligenza artificiale nella giustizia
Trentini (Presidente Unaep): "fondamentale interrogarsi sull’impatto della legalità algoritmica nel sistema giuridico italiano”
