NIS 2: un webinar gratuito con Avv. Chiara Ciccia Romito per riepilogare misure e scadenze

Quali sono le misure di sicurezza di base da adottare? E quali protocolli bisognerà seguire in caso di incidenti informatici significativi? Con la determinazione 164179 dell’Agenzia per la Cybersicurezza Nazionale (ACN) la NIS 2 avanza di un’ulteriore casella nel cronoprogramma di adozione.

Ma facciamo un passo indietro, soffermandoci sugli aspetti informatici, legali e contrattuali in gioco, anche per le aziende non direttamente coinvolte dalla direttiva. Approfondiamo l’argomento con l’Avv. Chiara Ciccia Romito, specializzata in Criminalità Informatica ed esperta di cybersecurity.  

L’Avv. Chiara Ciccia Romito sarà protagonista del webinar gratuito del 13 maggio 2025 “I prossimi passi della NIS 2”: compila il modulo in questa pagina per partecipare.

“Il punto di partenza per le aziende consisteva in un assessment con parere legale. Questo permetteva di stabilire se rientrassero come soggetto essenziale o soggetto importante. Nella prima fase, era obbligatorio registrarsi all’ACN entro il 17 gennaio o il 28 febbraio. In caso di mancata registrazione si rischiava una sanzione pari allo 0,1% del fatturato mondiale.”

Entro queste date, i soggetti NIS avrebbero dovuto fornire ragione sociale, indirizzo e recapiti aziendali, inclusi quelli del “punto di contatto (ruolo e contatti)” e settori pertinenti.

La seconda fase entra nel vivo tra aprile e maggio: in questo periodo l’Autorità nazionale competente invita i soggetti essenziali e importanti ad aggiornare le informazioni sulla piattaforma, dopo averne redatto l’elenco. Le realtà coinvolte dovranno includere indirizzi IP pubblici e nomi di domini, elenco degli Stati membri dove operano, responsabili e loro contatti e il sostituto del punto di contatto.

Il primo gennaio 2026 entrerà in vigore l’obbligo di notifica in caso di incidente, mentre entro ottobre 2026 dovranno essere implementate le vere e proprie misure di sicurezza. Per rendere operativo tutto ciò, sarà fondamentale che le aziende, e in particolar modo gli organi al vertice, prendano consapevolezza sul tema. Gli art. 23 e 24 del decreto NIS 2 prevedono attività di formazione generale alla dirigenza, che dovrà a sua volta attuare un piano di formazione specifica anche per la popolazione aziendale.

La principale responsabilità resta in carico agli organi direttivi e di amministrazione degli enti obbligati. La normativa prevede una forte responsabilizzazione dei soggetti apicali. Dal punto di vista tecnico, i reparti coinvolti saranno quelli IT e di gestione fornitori e supply-chain. 

È importante chiarire che il punto di contatto deve essere interno: la normativa prevede che siano soggetti apicali o un soggetto interno individuato con specifica delega. In quest’ultimo caso l’ideale è una persona nella quale la dirigenza ripone un alto livello di fiducia. 
Qualora di assenza di un servizio CED, l’azienda non può esternalizzare il punto di contatto. Viene ammessa la possibilità di esternalizzare i servizi, ma mai la responsabilità. Va da sé che in questo caso i controlli da parte del titolare dovranno essere molto forti sui servizi di supporto. 

Una di queste è la reperibilità. I soggetti NIS importanti ed essenziali, in caso di incidenti, dovranno fornire notifiche di preallarme entro 24 ore e relazioni entro 72 ore. Ciò significa che a livello organizzativo sarà necessario rivedere i termini contrattuali prevedendo obblighi di reperibilità e garanzie opportune da parte dei fornitori. 

Occorre ricordarsi che la finalità della NIS 2 è di natura solidaristica, essere ricompresi nei soggetti importanti o essenziali significa partecipare, in via diretta o indiretta, al concetto di security nazionale. In ogni caso, gli studi dimostrano che un’azienda che non investe oggi in cybersecurity e che non adotta misure strumenti e tecnologie abilitanti come l’AI mette un freno al proprio sviluppo.

Non solo, ma occorre pensare, inoltre, che la NIS 2 non sarà l’unica direttiva con la quale le imprese europee saranno tenute a misurarsi a livello informatico e organizzativo. L’entrata in vigore, ad esempio, dell’AI Act, Data Act, il Cybersecurity Act, richiederà ugualmente una reimpostazione delle procedure e dei processi interni. 

Per le stesse aziende, magari, ciò non sarà immediatamente percepibile. Proteggendo la propria reputazione e generando fiducia in stakeholders, shareholders e clienti, le aziende possono aumentare la propria competitività.

Rimarrà fondamentale, tuttavia, non perdere di vista il vero obiettivo della direttiva: accrescere il livello della cybersicurezza italiana in generale. Avendo, come azienda, un ruolo attivo all’interno del processo. Per concludere, lo dimostra proprio il fatto che nell’ambito di applicazione, anche il piccolo fornitore qualora classificato come soggetto critico rientra nell’ambito di applicazione della normativa senza distinzioni di oneri, non conta la grandezza dell’azienda, ma il grado di rischio.    

Compila i campi del modulo e iscriviti al webinar.