HomeIco

Home

 InternalIco

Internal

 GlobalIco

Global

 ContattoIco

Contatto
it

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.
Temi I maggiori impatti della legislazione europea nei settore cyber: cosa cambia per le aziende? La NIS2

I maggiori impatti della legislazione europea nei settore cyber: cosa cambia per le aziende? La NIS2

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​​​Ultimo aggiornamento del 10.02.2025 | T​empo di lettura ca. 5 minuti


​L’evoluzione del quadro normativo europeo in ambito cyber è ampia e articolata, con l’ingresso nel 2025 di numerose regole che incidono su diversi aspetti delle tecnologie e dei dati. In questo contesto, analizzeremo in particolare gli impatti sulla governance aziendale derivanti dalla normativa NIS2. 

Il Decreto Legislativo n. 138/2024 (“Decreto NIS2”), che recepisce la Direttiva NIS2, impone di adottare misure stringenti di risk governance e sicurezza informatica a organizzazioni pubbliche e private operanti in settori critici (come produzione, fabbricazione e distribuzione di prodotti, pc, software, apparecchi, macchinari, autoveicoli, trasporti, energy, servizi ICT, infrastrutture digitali, salute, acque, spazio, comunicazioni elettronica, fornitori servizi digitali, ricerca, rifiuti, servizi postali, registrazione nomi dominio, cloud e così via) e ai fornitori sistemici parte della catena di fornitura, inclusa la catena di fornitura digitale, di uno o più soggetti a cui si applica la normativa NIS2. 

In particolare, per raggiungere l’adeguata compliance, il Decreto indica alle organizzazioni le attività da svolgere, oltre alle tempistiche. In particolare:
  • Registrazione e screening
Entro il 17 gennaio 2025, i soggetti come i cloud provider, i data center, i fornitori di nomi a dominio o mercati online ed entro il 28 febbraio 2025 le altre organizzazioni target della normativa, devono registrarsi in Agenzia per la cybersicurezza nazionale (ACN), dopo aver completato con esito positivo uno screening di applicabilità della normativa. A seguire, da aprile 2025, l’ACN confermerà o meno l’applicabilità della NIS2 alle organizzazioni iscritte, che potranno quindi avviare le necessarie attività verso la compliance. 
  • Misure
Entro il 2025, le organizzazioni debbono effettuare un assessment delle proprie misure tecniche ed organizzative, avviando anche programmi di formazione ai dipendenti sulla sicurezza informatica e, dal 2026, aggiornare le proprie misure risultate non perfettamente conformi alla normativa, in particolare con riguardo a:
  1. ICT Governance: implementando piani interni per la gestione dei rischi ICT e di un framework basato su approcci risk-based;
  2. Continuità operativa: definendo strategie per garantire operatività anche in situazioni di crisi e per notificare gli incidenti aventi alto impatto;
  3. Gestione fornitori ICT: classificando i fornitori e prevedendo obblighi contrattuali specifici.

In caso di mancata registrazione o di tardiva registrazione sulla piattaforma digitale entro i termini stabiliti dall’art. 7 del D. Lgs. 138/2024 NIS 2, si applicano le sanzioni amministrative pecuniarie previste dall’art. 38. Le violazioni relative alla mancata registrazione sono punite con sanzioni che, per i soggetti essenziali, possono arrivare fino allo 0,1 per cento del fatturato annuo su scala mondiale (o per i soggetti importanti, lo 0,07 per cento del fatturato annuo). Inoltre, in caso di mancata registrazione, potranno essere comunque contestate, ricorrendone i presupposti, anche le altre violazioni (si applica, in tal caso, la sanzione prevista per la violazione più grave aumentata fino al triplo).

Calendario delle scadenze  

Riassumendo quindi le prossime scadenze, che potrebbero mutare a seconda delle determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN):
  • 17 gennaio 2025
Entro questa data, alcune categorie specifiche di soggetti, come fornitori di servizi di sistema dei nomi di dominio, gestori di registri di nomi di dominio, fornitori di cloud computing e data center, dovranno completare la registrazione sulla piattaforma digitale;
  • 28 febbraio 2025
Entro il 28 febbraio 2025, tutti gli altri soggetti essenziali e importanti identificati dal decreto dovranno completare la registrazione o l’aggiornamento delle informazioni richieste sulla piattaforma digitale; 
  • 31 marzo 2025
L’Autorità nazionale competente NIS redigerà, entro il 31 marzo di ogni anno, l’elenco dei soggetti essenziali e importanti sulla base delle registrazioni effettuate. Anche il rispetto di tale scadenza dipenderà, verosimilmente, dall’attivazione effettiva della piattaforma;
  • ​31 maggio 2025
I soggetti che hanno ricevuto la comunicazione di inserimento nell’elenco dei soggetti essenziali o importanti (prevista entro il 31 marzo 2025), sono tenuti, tramite la piattaforma digitale, a fornire o aggiornare le seguenti informazioni: lo spazio di indirizzamento IP pubblico e i nomi di dominio in uso, l’elenco degli Stati membri in cui forniscono servizi rilevanti ai sensi del decreto, e i nominativi degli apicali responsabili dell’adempimento degli obblighi previsti dal decreto; 
  • Entro 9 mesi dalla comunicazione di inserimento nell’elenco
A partire dalla data della comunicazione di inserimento nell’elenco, i soggetti avranno un termine di nove mesi per iniziare ad adempiere agli obblighi di notifica degli incidenti previsti dall’art. 25;
  • ​1° gennaio 2026
L’obbligo di comunicare l’elenco delle attività e dei servizi, comprensivo della loro caratterizzazione e categorizzazione, entrerà in vigore a partire dal 1° gennaio 2026. Da tale data, i soggetti dovranno fornire annualmente tali informazioni;
  • ​Entro 18 mesi dalla comunicazione di inserimento nell’elenco​
Entro 18 mesi dalla ricezione della comunicazione, probabilmente a partire dal mese di ottobre 2026, i soggetti essenziali e importanti dovranno adempiere agli obblighi di gestione del rischio e delle misure di sicurezza. Questo include l’approvazione delle politiche di gestione del rischio informatico e l’implementazione delle misure di sicurezza adeguate.

Concludendo, la normativa NIS2 segna una nuova era per la governance aziendale in Europa, caratterizzata da una crescente attenzione a sicurezza, etica e gestione responsabile dei dati. Le organizzazioni devono quindi adottare una visione strategica, investendo in tecnologie e competenze per garantire conformità e competitività. Devono inoltre adottare misure tecniche ed organizzative idonee ad assicura la tempestiva notifica degli incidenti e la protezione di reti e sistemi. La formazione, su tutte le misure elencate, costituisce poi un ruolo chiave sia nel percorso di governance che in quello di compliance. Adattarsi a queste normative, dunque, non è solo un obbligo, ma un’opportunità per costruire un vantaggio competitivo basato su sicurezza, trasparenza e innovazione.​​​

dalla newsletter
Legal Newsletter​​​​​​​

autore

Contact Person Picture

Nadia Martini

Avvocato

Partner

+39 02 6328 841

Invia richiesta

Profilo

i nostri servizi

Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu