La Direttiva NIS2 (2022/2555) stabilisce un nuovo standard per la cybersicurezza nell’Unione Europea. Grandi imprese e PMI che fanno parte di catene di approvvigionamento critiche devono adeguarsi a requisiti più stringenti per garantire la sicurezza dei propri sistemi informativi.

Nell’arco di tempo compreso tra il 1° dicembre 2024 e il 28 febbraio 2025, è stata prevista una fase di registrazione obbligatoria; ma questa finestra temporale si riaprirà ogni anno per permettere a nuove imprese di registrarsi, perché di nuova costituzione o perché, nel frattempo, per modifiche societarie sono rientrate nell’ambito applicativo della norma. Durante questo periodo, i soggetti che rientrano nel perimetro NIS dopo aver effettuato un processo di autovalutazione dovranno completare la procedura di iscrizione attraverso la piattaforma digitale gestita dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Entro il 15 aprile 2025, dovrà essere poi designata una figura chiave all’interno dell’organizzazione: il c.d. Punto di Contatto. Questa persona avrà il compito di supervisionare e curare la piena conformità a tutte le disposizioni contenute nel

Con la scadenza del 28 febbraio ormai prossima, è cruciale non solo completare la registrazione, ma iniziare fin da subito a pianificare i prossimi passi per garantire una piena conformità alla Direttiva NIS2.

A seguito del nostro approfondimento su cos’è la NIS2 e a chi si rivolge, questo articolo fornisce una guida dettagliata sugli adempimenti successivi alla registrazione alla direttiva NIS2, evidenziando le responsabilità, i tempi e le strategie per una piena conformità.

– Registrazione NIS2: perché non basta e quali obblighi seguono

– Punto di Contatto NIS2: ruolo chiave e responsabilità dopo la registrazione

– Data Breach e NIS2: tempi di notifica e coordinamento con il GDPR

– Compliance NIS2: i primi passi da seguire dopo la registrazione

– Fornitori NIS2: come mappare la supply chain e garantire la sicurezza

– Conclusione: cosa fare subito dopo l’iscrizione alla NIS2?

• Perché non puoi “parcheggiare” la NIS2 e rimandare la compliance.
• Il rischio di audit, rendicontazioni e richieste dell’ACN post-registrazione.
• La registrazione è solo il primo passo: cosa serve per la conformità.

La normativa NIS2, con la sua articolata struttura e i suoi molteplici requisiti, presenta un livello di complessità significativo che richiede un’attenta analisi e un approccio strategico per l’adeguamento. La mappatura della supply chain, ad esempio, è un processo lungo e complesso che richiede tempo.

Una volta effettuata la registrazione, è fondamentale essere consapevoli del rischio di audit e di rendicontazioni da parte dell’ACN, che potrà in qualsiasi momento, verificare lo stato di effettiva conformità alla normativa NIS2. Ed è proprio il portale con cui le aziende si sono registrate, che avrà un ruolo chiave in questo senso: dopo il censimento l’ACN avrà infatti un canale di comunicazione diretto con tutti i soggetti NIS. Una novità che non ha precedenti.

Insomma, una volta completata la registrazione, l’ACN non si limiterà a un ruolo passivo. Una eventuale audit implica la possibilità di un’ispezione approfondita da parte dell’ACN, delle misure di sicurezza aziendali, dei processi implementati e della documentazione a supporto. Parallelamente, la richiesta di rendicontazione comporta l’obbligo di fornire periodicamente all’ACN report e aggiornamenti sullo stato di avanzamento dell’adeguamento alla NIS2, dimostrando concretamente gli sforzi compiuti e i risultati ottenuti.

• Chi può ricoprire il ruolo e perché non può essere esterno.
• Competenze necessarie e indipendenza: perché è cruciale per la sicurezza.
• Supporto esterno e team di affiancamento: quando è necessario?

Un altro aspetto centrale riguarda il punto di contatto. Chi sarà il punto di contatto? Può essere esterno? Alcune aziende, consapevoli di non avere competenze interne in cybersecurity, si sono poste queste domande. La risposta è no: il punto di contatto può essere solo interno all’azienda o al gruppo.

È fondamentale, inoltre, che il punto di contatto abbia competenze in cybersecurity, anche se l’ACN ha mostrato una certa flessibilità iniziale, comprendendo che non tutte le aziende hanno immediatamente queste competenze. Tuttavia, è auspicabile che il punto di contatto possieda queste competenze o che venga adeguatamente formato.

Ma chi è il punto di contatto?

• Il punto di contatto può essere un legale rappresentante, un procuratore generale o un dipendente, ma in quest’ultimo caso è necessaria una delega da allegare al processo di registrazione.
• Il punto di contatto deve essere indipendente, autorevole e in grado di riferire al board.
  • Una figura simile al DPO (Data Protection Officer) se guardiamo al contesto del GDPR.

Rimane consigliabile considerare un team di supporto, anche esterno, per il punto di contatto. L’esperienza di consulenti esterni può essere preziosa per affrontare scenari di rischio diversi. Inoltre, evita possibili conflitti di interessi tra controllore e controllato.

Attenzione però: il punto di contatto non è una figura creata ad hoc per “deresponsabilizzare” l’azienda, anzi.

La responsabilità primaria della conformità NIS2 è comunque in capo agli organi amministrativi e direttivi (il board) e alle persone fisiche che agiscono in rappresentanza o esercitano controllo sul soggetto NIS, con deleghe specifiche in ambito cybersecurity. Questa è una novità importante rispetto al GDPR, perchè introduce una vera e propria responsabilità personale.

Il punto di contatto, invece, ha una responsabilità professionale, simile a quella del DPO. Deve sorvegliare e curare l’adeguamento ai controlli NIS2, rendicontare al board e, in generale, curare gli adempimenti connessi alla NIS2. In caso di omissioni o inerzia, il punto di contatto ne risponderà professionalmente, ma la responsabilità per inadempimento ai requisiti NIS2 rimane comunque in capo ai vertici aziendali.

È possibile modificare il punto di contatto?

Sì, è possibile. L’ACN prevede anche la possibilità di affiancare un team di supporto.

Inoltre, l’articolo 7 del decreto NIS prevede un aggiornamento annuale delle informazioni sul portale; quindi, eventuali modifiche al punto di contatto dovranno essere comunicate.

• Chi è competente in caso di data breach? Ruoli di ACN e Garante Privacy.
• Tempi di notifica: 24 ore (NIS2) vs. 72 ore (GDPR).
• Come prepararsi a gestire un incidente.

Un Data Breach è una violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

E la NIS2 è consapevole del fatto che, oggi, molti degli incidenti informatici compromettono dati personali e quindi sono tecnicamente da definirsi “data breach”.

Ma a quel punto chi sarà competente? L’ACN o il Garante?

In realtà entrambe, e le Autorità dovranno certamente collaborare.

In scenari simili, però, per le aziende è importante prestare attenzione ai diversi termini di notifica alle due Autorità.

Uno dei punti chiave della NI2 è il concetto di mappatura della supply chain. Con supply chain si intende l’insieme di tutte le attività, le risorse e le tecnologie coinvolte nella creazione e distribuzione di un prodotto o servizio, dal fornitore iniziale al cliente finale. Per ognuna di queste attività è richiesta l’analisi dei livelli di rischio cyber e l’impatto potenziale sulla sicurezza in caso di incidente.

Il tema della supply chain è più o meno centrale in tutte le normative europee degli ultimi anni in ambito digital, dal DORA (per il settore finanziario) al regolamento europeo sull’Intelligenza Artificiale, passando per le prossime normative come il Cyber Resiliance Act.
Il concetto di responsabilizzazione che attraversa tutta la filiera è un concetto già noto grazie al GDPR, che ha introdotto la distinzione tra Titolare e Responsabile, con il primo che deve sorvegliare sulla legittimità dei trattamenti del secondo.

Ed è proprio questa attenzione sui fornitori che differenzia la NIS2 dal framework ISO/IEC 27001. Non che quest’ultimo non preveda controlli al riguardo, ma la NIS2 chiede qualcosa in più. Una due diligence davvero profonda sui nostri fornitori, per individuare quelli critici sulla base delle interdipendenze con i sistemi, le reti e le attività dei soggetti NIS2.

Quindi, quello che consigliamo, nel processo di adeguamento alla NIS2 è proprio di partire da una valutazione del rischio delle terze parti, per categorizzare i nostri fornitori e scegliere per ognuna di essi una strategia di mitigazione adeguata.

Come anticipato, la registrazione sul portale è il primo passo di un lungo processo di adeguamento. Il primo step è certamente quello di effettuare una gap analysis, per individuare le lacune nelle attuali misure di sicurezza informatica di un’azienda rispetto ai requisiti NIS2.

È una attività necessaria e preliminare perché solo così si potrà realmente comprendere quali misure dovrà attuare il soggetto NIS ma, soprattutto, quali sono le priorità da cui si dovrà iniziare, parametrandole in relazione alla criticità riscontrata.

Il processo prevede una serie di audit (in un range di 4-8 ore, a seconda della complessità dell’azienda) cui seguirà un report dettagliato con le evidenze e le azioni di remediation elencate, appunto, per priorità.

Il report verrà poi discusso con gli organi direttivi del soggetto NIS che avranno un ruolo normativo importantissimo nel validare le politiche cyber dell’azienda. A quel punto si fornirà un supporto non solo procedurale, ma grazie ai nostri partner, BSD Legal è in grado di fornire un programma di compliance che comprende anche l’implementazione di misure tecnologiche e controlli di sicurezza adeguati al rischio evidenziato in fase di gap analysis.

Come svolgiamo una Gap Analysis?

La direttiva NIS2 rappresenta molto più di un semplice obbligo normativo o un esercizio di registrazione documentale. Essa incarna un autentico cambio di paradigma nella concezione della sicurezza aziendale moderna. Attraverso i suoi requisiti integrati e l’approccio basato sul rischio, la NIS2 trasforma la cybersecurity da compartimento isolato a elemento strutturale dell’organizzazione, coinvolgendo attivamente governance, processi decisionali, cultura aziendale e compliance normativa.

Le organizzazioni che comprenderanno questa transizione fondamentale potranno non solo raggiungere la conformità, ma ottenere un reale vantaggio competitivo. Nell’era digitale attuale, caratterizzata da minacce sempre più sofisticate, adottare il paradigma NIS2 significa abbracciare una visione strategica della sicurezza in cui resilienza, responsabilità condivisa e miglioramento continuo diventano pilastri portanti di un’azienda realmente protetta e preparata ad affrontare le sfide future.

Perché scegliere BSD Legal?

• Esperienza Specialistica in Data Protection e Cybersecurity: Abbiamo sviluppato un’esperienza concreta e quotidiana nelle attività di conformità incentrate sulla protezione dei dati e la sicurezza informatica, a partire dal GDPR e dal framework ISO 27001. La NIS2 si integra perfettamente nelle consulenze che già offriamo, rappresentando un’evoluzione naturale dei nostri servizi.

• Collaborazione Multidisciplinare al Vostro Servizio: La direttiva NIS2 richiede più delle sole competenze legali e di cybersecurity. È necessaria anche una solida esperienza come system integrator e, grazie alla nostra rete di partner, possiamo soddisfare ogni esigenza aziendale.

• Valutazione Iniziale Strategica: Questo primo passo verso la conformità vi permetterà di conoscerci e comprendere il nostro approccio. La nostra Gap Analysis, basata sui più recenti atti di esecuzione dell’UE, linee guide e codici di implementazione, fornisce una panoramica chiara e dettagliata del vostro attuale livello di conformità.