1. NIS2: quali sono i prossimi adempimenti e scadenze
Dopo l’iscrizione nel Registro NIS tenuto dall’Agenzia per la cybersicurezza nazionale, le società sono tenute a dimostrare di aver recepito correttamente la normativa dettata dal d.lgs. 138/2024. Ciò richiede l’approvazione, da parte degli organi amministrativi e direttivi, di specifici atti interni che attestino l’esistenza di adeguati processi per prevenire, rilevare e gestire incidenti di sicurezza, nonché ripristinare la piena operatività dei sistemi informativi.
Gli adempimenti previsti dalla normativa NIS sulla cybersicurezza non devono essere recepiti tutti contestualmente. Il legislatore ha infatti fissato due distinte scadenze temporali: la prima al 31 dicembre 2025 e la seconda ad aprile 2026, in modo da consentire alle imprese di organizzare il proprio percorso di adeguamento in maniera progressiva e ordinata.
2. Gli adempimenti NIS2 variano in base alla classificazione
Sebbene le scadenze introdotte dal d.lgs. 138/2024 siano identiche per tutte le imprese, è opportuno ricordare che gli adempimenti effettivamente richiesti variano in base alla qualificazione ricevuta. Al termine della procedura di iscrizione nell’elenco NIS, ogni società è stata infatti classificata come soggetto importante oppure soggetto essenziale, e tale qualificazione rappresenta il punto di partenza per individuare correttamente gli obblighi da attuare.
Molti adempimenti sono comuni a entrambe le categorie, ma esistono differenze significative. I soggetti importanti devono implementare 37 misure, articolate in 87 requisiti. I soggetti essenziali, oltre a rispettare integralmente gli obblighi previsti per i soggetti importanti, devono adottare ulteriori 6 misure e 29 requisiti aggiuntivi, raggiungendo un totale di 43 misure e 116 requisiti complessivi. Si tratta di un divario che incide concretamente sulla pianificazione delle attività interne e sulla documentazione necessaria per dimostrare la piena conformità.
NIS2: differenza tra soggetto importante ed essenziale
Scopri la distinzione tra soggetti essenziali e importanti nella NIS2 e perché è rilevante ai fini degli obblighi di cybersicurezza.
3. Quali adempimenti NIS2 entro il 31 dicembre 2025
Entro il 31 dicembre 2025 le imprese NIS2 classificate come soggetti essenziali o importanti devono dimostrare documentalmente di aver adottato un Piano per la gestione degli incidenti di sicurezza informatica e per la notifica al CSIRT Italia. Si tratta del primo atto formale richiesto dal d.lgs. 138/2024, necessario per attestare l’avvio del percorso di adeguamento alla NIS2 e l’esistenza di procedure interne idonee a prevenire e gestire gli incidenti.
L’approvazione del Piano spetta obbligatoriamente agli organi di amministrazione e direzione della società, cui la normativa NIS2 attribuisce un ruolo diretto nella gestione del rischio informatico. A tali organi compete anche il riesame periodico del documento, da effettuarsi almeno ogni due anni o, comunque, ogniqualvolta si verifichino incidenti rilevanti o mutamenti significativi nell’esposizione alle minacce, così da integrare le lezioni apprese e assicurare l’aggiornamento continuo delle procedure interne.
4. Cosa deve contenere il Piano di Gestione degli incidenti di sicurezza
Il Piano di gestione degli incidenti di sicurezza deve descrivere in modo chiaro e strutturato come l’impresa intende gestire gli incidenti di sicurezza e comunicare le relative informazioni al CSIRT Italia, ai destinatari dei servizi e, nei casi previsti, al pubblico. Il documento deve garantire coerenza tra procedure operative, responsabilità interne e flussi di comunicazione, ed è soggetto a riesame almeno ogni due anni o in occasione di incidenti rilevanti.
In particolare, il Piano deve contenere almeno:
- le fasi e le procedure di gestione e notifica degli incidenti, con ruoli, responsabilità e tempi di attivazione;
- le procedure per predisporre e trasmettere le relazioni previste dall’art. 25, comma 5, lett. c), d) ed e) del decreto NIS;
- le informazioni di contatto per la segnalazione degli incidenti;
- le modalità di comunicazione interna ed esterna, incluse quelle verso gli organi di amministrazione e direzione;
- la reportistica da utilizzare per documentare ogni incidente e le attività conseguenti;
- le procedure per comunicare agli utenti gli incidenti significativi o le minacce rilevanti, sentito il CSIRT Italia o su indicazione dell’ACN;
-
le procedure per informare il pubblico, nei casi in cui ciò sia richiesto dall’Agenzia per la cybersicurezza nazionale.
5. NIS2: gli adempimenti obbligatori entro aprile 2026
La scadenza di aprile 2026 rappresenta il passaggio più impegnativo del percorso NIS2. Entro tale termine, infatti, le società classificate come soggetti essenziali o importanti devono dimostrare di aver recepito e formalmente approvato un insieme molto ampio e articolato di documenti, destinati a descrivere in modo completo l’assetto organizzativo, tecnico e procedurale adottato per garantire la sicurezza informatica.
In concreto, le imprese NIS2 devono predisporre e approvare documentazione che può comprendere:
- elenchi: personale dell’organizzazione di sicurezza informatica; configurazioni di riferimento (solo per soggetti essenziali); sistemi con accesso remoto.
- inventari: apparati fisici; servizi, sistemi e applicazioni software; flussi di rete (solo per soggetti essenziali); servizi erogati dai fornitori; fornitori.
- piani: piano di gestione del rischio; piani di business continuity e disaster recovery; piano di trattamento del rischio; piano di gestione delle vulnerabilità; piano di adeguamento; piano per la valutazione dell’efficacia delle misure di gestione del rischio (solo per soggetti essenziali); piano di formazione in materia di sicurezza informatica; piano di risposta agli incidenti.
- politiche: predisposte in coerenza con i requisiti minimi previsti dalla normativa e adeguate alla categoria di appartenenza dell’organizzazione.
- registri: esiti del riesame delle politiche; attività di formazione dei dipendenti; manutenzioni effettuate.
Questa fase rappresenta il vero banco di prova per le organizzazioni, poiché richiede un approccio strutturato, una chiara ripartizione delle responsabilità interne e tempi di lavorazione adeguati per garantire che tutti i documenti siano pronti e coerenti con le prescrizioni NIS2.
6. Il dettaglio degli adempimenti NIS2 per i soggetti importanti
Per un approfondimento puntuale sugli adempimenti che i soggetti importanti sono tenuti a recepire entro le scadenze NIS2, è possibile fare riferimento all’Allegato n. 1 approvato dall’Autorità competente. Tale documento elenca in modo dettagliato le misure da adottare e i relativi requisiti, distinguendo chiaramente tra obblighi comuni e obblighi aggiuntivi previsti per le diverse categorie di organizzazioni.
L’Allegato n. 1 rappresenta quindi la base normativa da consultare per comprendere nel dettaglio la portata degli adempimenti richiesti, la loro articolazione e le modalità con cui ciascuna misura deve essere effettivamente implementata. È lo strumento che consente alle imprese di verificare la piena coerenza tra la documentazione approvata e le prescrizioni introdotte dal d.lgs. 138/2024.
7. Adempimenti NIS2 per i soggetti essenziali
Per conoscere in modo completo gli adempimenti aggiuntivi previsti per i soggetti essenziali, è possibile fare riferimento all’Allegato n. 2 approvato dall’Autorità competente. Questo documento integra le misure previste per i soggetti importanti e individua in maniera precisa le ulteriori prescrizioni che caratterizzano le organizzazioni con un ruolo strategico o particolarmente critico nell’ecosistema digitale nazionale.
L’Allegato n. 2 consente quindi di verificare nel dettaglio quali misure ulteriori devono essere implementate dai soggetti essenziali, quali requisiti aggiuntivi devono essere soddisfatti e come tali obblighi si integrano con quelli comuni. È lo strumento indispensabile per assicurare che l’assetto organizzativo e documentale della società sia pienamente allineato agli standard più elevati di sicurezza richiesti dalla NIS2.
Il dettaglio completo degli adempimenti è riportato nel PDF ufficiale pubblicato dall’ACN, liberamente consultabile. Si tratta di uno strumento essenziale per assicurarsi di rispettare tutte le prescrizioni della NIS2 e mantenere la piena conformità normativa.
8. Conclusioni
Gli adempimenti richiesti dalla NIS2 non possono essere affrontati da un’unica funzione aziendale, perché coinvolgono simultaneamente procedure interne, assetti organizzativi e aspetti tecnici di natura informatica. È un percorso che richiede coordinamento, continuità e una visione complessiva della sicurezza digitale, così da assicurare coerenza tra documentazione, processi e misure tecnologiche adottate.
Il nostro studio assiste le società nella gestione degli adempimenti che riguardano la predisposizione delle procedure, l’organizzazione interna e il supporto agli organi di amministrazione e direzione. Allo stesso tempo, affianchiamo i referenti tecnici e informatici nel rispondere correttamente alle richieste previste dalla normativa, garantendo un approccio integrato e conforme alle prescrizioni dell’Autorità. Un accompagnamento strutturato consente di rispettare le scadenze e di costruire un sistema realmente efficace di gestione del rischio informatico.
Compila il modulo: ti ricontattiamo entro 24 ore.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.