1. NIS2: quali sono i prossimi adempimenti e scadenze
Torniamo a parlare di NIS2, concentrandoci questa volta sulle prossime scadenze e sui passaggi necessari per essere in regola con la normativa sulla cybersicurezza. Con il rientro dalla pausa estiva, molte societĆ stanno riprendendo in mano la pratica NIS2 e si domandano cosa occorra fare per rispettare i nuovi obblighi previsti dal d.lgs. 138/2024 e quali siano i termini entro i quali adempiere.
Su questo blog abbiamo giĆ analizzato la normativa NIS2 in diversi articoli, letti da 5.000+ utenti, molti dei quali ci hanno contattato per essere assistiti nei prossimi adempimenti. Proseguiamo quindi il nostro percorso di approfondimento, con lāobiettivo di fornire indicazioni pratiche a chi deve conformarsi al decreto NIS2 e vuole evitare il rischio di sanzioni per inadempimento agli obblighi previsti dal decreto di recepimento.
2. NIS2: perchĆ© la qualificazione ĆØ importante per gli adempimenti
Prima di entrare nel dettaglio delle prossime scadenze, ĆØ utile ricordare che gli adempimenti NIS2 variano in base alla qualificazione ricevuta dalla societĆ . Al termine della procedura di iscrizione sul portale ACN, ogni societĆ ha infatti ricevuto dallāAutoritĆ sulla Cybersicurezza Ā una comunicazione di inserimento nellāelenco NIS2, nella quale ĆØ indicata espressamente la classificazione come āsoggetto importanteā oppure āsoggetto essenzialeā.
Questa qualificazione non ĆØ un semplice dato formale, ma ha un rilievo concreto. Il decreto NIS2 prevede infatti obblighi differenti a seconda della categoria di appartenenza: i soggetti essenziali devono rispettare un numero maggiore di adempimenti, mentre per i soggetti importanti il quadro ĆØ parzialmente meno oneroso.
NIS2: differenza tra soggetto importante ed essenziale
Scopri la distinzione tra soggetti essenziali e importanti nella NIS2 e perchĆ© ĆØ rilevante ai fini degli obblighi di cybersicurezza.
3. NIS2: gli adempimenti obbligatori entro il 31 dicembre 2025
La prima scadenza fissata dalla normativa sulla cybersicurezza ĆØ ormai alle porte.
Entro il 31 dicembre 2025, tutte le societĆ soggette alla NIS2 ā sia classificate come āimportantiā sia come āessenzialiā ā dovranno adottare e formalizzare una procedura interna per la gestione degli incidenti di sicurezza.Tale procedura deve essere idonea a dimostrare allāAutoritĆ nazionale per la cybersicurezza (ACN) che lāorganizzazione ĆØ in grado di rilevare e fronteggiare eventi critici, nonchĆ© di applicare tempestivamente le misure necessarie per contenerne i rischi.
Il documento dovrĆ indicare in modo chiaro:
- le fasi operative da seguire in caso di incidente di sicurezza
- i criteri per valutarne la gravitĆ e stabilire se rientra tra quelli soggetti a notifica
- le modalitĆ e i tempi di comunicazione allāACN, secondo le indicazioni ufficiali
La procedura dovrĆ essere comunicata ai responsabili interni, testata con esercitazioni pratiche e aggiornata in base alle eventuali nuove linee guida dellāACN, cosƬ da assicurare una gestione immediata ed efficace di ogni evento rilevante.
4. NIS2: gli adempimenti obbligatori entro aprile 2026
Se la scadenza del 31 dicembre 2025 puĆ² essere considerata relativamente semplice da rispettare ā in quanto si esaurisce nella redazione e approvazione di un solo, per quanto articolato, documento procedurale ā Ā diverso ĆØ il caso degli adempimenti previsti per il mese di aprile 2026.
Entro tale termine, infatti, le societĆ NIS2 devono dimostrare di aver recepito e formalmente approvato una serie molto ampia e strutturata di documenti. Si tratta di attivitĆ che richiedono un lavoro preparatorio consistente, e che possono comprendere:
- elenchi: personale dellāorganizzazione di sicurezza informatica; configurazioni di riferimento (solo per soggetti essenziali); sistemi con accesso remoto.
- inventari: apparati fisici; servizi, sistemi e applicazioni software; flussi di rete (solo per soggetti essenziali); servizi erogati dai fornitori; fornitori.
- piani: piano di gestione del rischio; piani di business continuity e disaster recovery; piano di trattamento del rischio; piano di gestione delle vulnerabilitĆ ; piano di adeguamento; piano per la valutazione dell’efficacia delle misure di gestione del rischio (solo per soggetti essenziali); piano di formazione in materia di sicurezza informatica; piano di risposta agli incidenti.
- politiche: predisposte in coerenza con i requisiti minimi previsti dalla normativa e adeguate alla categoria di appartenenza dellāorganizzazione.
- registri: esiti del riesame delle politiche; attivitĆ di formazione dei dipendenti; manutenzioni effettuate.
Questa fase rappresenta il vero banco di prova per le organizzazioni, poichĆ© richiede un approccio strutturato, una chiara ripartizione delle responsabilitĆ interne e tempi di lavorazione adeguati per garantire che tutti i documenti siano pronti e coerenti con le prescrizioni NIS2.
5. NIS2: quali sono gli adempimenti obbligatori entro aprile 2026
Come anticipato, i documenti da produrre e approvare entro questa data variano in base alla qualificazione ricevuta. Lāelenco completo ĆØ riportato negli allegati alla Determinazione ACN n. 164179 del 14 aprile 2025, che suddividono gli obblighi tra soggetti importanti e soggetti essenziali.
Molti adempimenti sono comuni a entrambe le categorie, ma vi sono differenze significative. I soggetti importanti devono implementare 37 misure, articolate in 87 requisiti. I soggetti essenziali, oltre a rispettare gli stessi obblighi previsti per i soggetti importanti, devono adottare ulteriori 6 misure e 29 requisiti, per un totale di 43 misure e 116 requisiti complessivi.
Le societĆ devono quindi attivarsi con largo anticipo per recepire e produrre tutta la documentazione richiesta, garantendo al contempo un coordinamento coerente tra i vari atti. Una volta approvati, tali documenti dovranno essere formalmente diffusi allāinterno dellāorganizzazione, assicurandone la conoscenza sia a livello aziendale che tra tutti i dipendenti coinvolti, cosƬ da renderne effettiva lāapplicazione.
6. Adempimenti NIS2 per i soggetti importanti
Per i soggetti importanti, lāACN ha fornito indicazioni dettagliate sui documenti da predisporre, specificando per ciascuno di essi le finalitĆ e i contenuti essenziali. Queste precisazioni permettono alle societĆ di comprendere in modo chiaro quali informazioni inserire e come strutturare la documentazione, evitando incertezze o interpretazioni discordanti.
Lāelenco completo e aggiornato ĆØ disponibile nel PDF ufficiale pubblicato dallāACN, consultabile di seguito. Tale documento costituisce il riferimento pratico per verificare di essere in regola con gli obblighi previsti dalla NIS2 e organizzare correttamente le attivitĆ interne.
7. Adempimenti NIS2 per i soggetti essenziali
Per i soggetti essenziali, lāACN ha definito in maniera ancora piĆ¹ puntuale i documenti obbligatori, indicando non solo le finalitĆ e il contenuto minimo di ciascun atto, ma anche le modalitĆ operative per la loro redazione e gestione.
Queste indicazioni mirano a garantire un livello di sicurezza informatica elevato e uniforme, commisurato al ruolo strategico di tali operatori nel garantire la continuitĆ di servizi critici.
Il dettaglio completo degli adempimenti ĆØ riportato nel PDF ufficiale pubblicato dallāACN, liberamente consultabile. Si tratta di uno strumento essenziale per assicurarsi di rispettare tutte le prescrizioni della NIS2 e mantenere la piena conformitĆ normativa.
8. PerchƩ rivolgersi a un avvocato per gli adempimenti NIS2
Un avvocato NIS2 puĆ² svolgere un ruolo centrale nella gestione degli adempimenti previsti dalla normativa, in particolare nella redazione dei documenti richiesti. Gran parte delle evidenze documentali da produrre riguarda infatti procedure interne e politiche aziendali che devono rispettare i requisiti stabiliti dallāAutoritĆ per la cybersicurezza nazionale.
La consulenza NIS2 fornita da un avvocato non si limita alla stesura dei documenti: include anche la verifica di conformitĆ rispetto ai requisiti dellāACN, il coordinamento delle attivitĆ e il ruolo di guida tra i diversi professionisti coinvolti, cosƬ da garantire coerenza, completezza e rispetto delle scadenze.
Ć evidente che alcuni documenti ā come gli inventari di hardware, software e servizi ā debbano necessariamente essere predisposti dai responsabili IT o da altre figure tecniche. Proprio per questo, lāassistenza NIS2 di un avvocato consente di integrare le competenze tecniche con quelle giuridiche, assicurando che il risultato finale sia non solo tecnicamente adeguato, ma anche pienamente conforme alla normativa.
Compila il modulo: ti ricontattiamo entro 24 ore.
Ā
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa ĆØ possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilitĆ per errori od omissioni, nonchĆ© per un utilizzo improprio o non aggiornato delle presenti informazioni.
Ā