La conformità NIS in Italia non è più facoltativa: con le notifiche formali inviate dall’Autorità per la sicurezza informatica nazionale (ACN) alle entità interessate, è ufficialmente iniziata la corsa per adempiere agli obblighi normativi in materia di sicurezza informatica.
In questo episodio di Diritto al Digitale, Giulio Coraggio e Giulia Zappatterra di DLA Piper spiegano cosa significa la conformità alla direttiva NIS 2 per la tua organizzazione e come prepararsi in modo efficace.
🎧 Ascolta l’episodio del podcast dedicato all’argomento qui sotto o su Apple Podcasts, Google Podcasts, Spotifye Audible.
Il conto alla rovescia per il NIS 2 è iniziato in Italia
L’Agenzia italiana per la sicurezza informatica ha iniziato a inviare comunicazioni ufficiali alle aziende che rientrano nell’ambito di applicazione del NIS 2. Se avete ricevuto la notifica nel aprile 2025, ecco la vostra tabella di marcia:
- Entro il 31 maggio 2025: le entità devono completare l’inserimento dei dati nel portale ACN, comprese le informazioni sui nomi di dominio, gli intervalli di indirizzi IP pubblici, gli Stati membri dell’UE applicabili e i responsabili della conformità designati.
- Entro gennaio 2026: dovrete essere in grado di rilevare e segnalare incidenti significativi di sicurezza informatica in linea con l’articolo 25 del decreto NIS 2.
- Entro ottobre 2026: è richiesta la piena conformità alle misure di sicurezza dell’ACN.
Il mancato rispetto di queste scadenze espone le organizzazioni a rischi reputazionali, normativi e operativi.
Quali sono i requisiti di conformità NIS 2 in Italia?
La conformità alla NIS 2 in Italia è regolata da un quadro nazionale strutturato attorno a sei aree fondamentali:
- Governance: definire ruoli e responsabilità, assegnare punti di contatto e formalizzare le politiche di sicurezza informatica in oltre 15 aree.
- Identificare: inventariare tutte le risorse, i fornitori e i sistemi ICT. Eseguire valutazioni formali dei rischi informatici ogni due anni.
- Proteggere: implementare protocolli di autenticazione a più fattori (MFA), crittografia e formazione del personale.
- Rilevare: monitorare l’attività, centralizzare la registrazione e tenere traccia delle segnalazioni di minacce da parte del CSIRT Italia.
- Rispondere: sviluppare e documentare protocolli di risposta agli incidenti e di notifica.
- Recuperare: garantire la continuità con piani di ripristino di emergenza e di gestione delle crisi.
Ogni requisito deve essere documentato, rivisto regolarmente e approvato a livello di consiglio di amministrazione sia per le entità essenziali che per quelle importanti.
La metodologia di DLA Piper per la conformità alla NIS in Italia
DLA Piper aiuta i clienti a orientarsi in questo complesso cambiamento normativo attraverso una metodologia modulare e personalizzata, progettata specificamente per la conformità alla NIS 2 in Italia:
- Mappatura dei sistemi e dei servizi ICT
- Analisi delle lacune rispetto alle aspettative dell’ACN
- Implementazione di un quadro di governance informatica
- Redazione e revisione di politiche e procedure
- Creazione di una “Bibbia NIS 2” centrale con ambito di applicazione, responsabilità e documentazione
- Formazione a livello dirigenziale e di consiglio di amministrazione
- Supporto legale continuo per le interazioni con l’ACN e l’allineamento normativo
La nostra esperienza dimostra che affrontare la conformità con una mentalità strategica e orientata al business non solo è più efficace, ma crea anche un valore duraturo che va oltre la normativa.
