Il 2025 segna un passaggio cruciale per le imprese coinvolte nella Direttiva NIS2. Con la Determinazione ACN n. 136117 del 10 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale ha attivato il processo di aggiornamento annuale delle informazioni da completare entro il 31 maggio 2025.

Tutte le organizzazioni classificate come soggetti NIS devono accedere alla piattaforma ACN tramite il servizio “NIS/Aggiornamento annuale” e verificare:

• I dati anagrafici e di contatto del soggetto e dei referenti designati;
• I componenti degli organi di amministrazione e direzione;
• I servizi coperti dalla Direttiva NIS2 e i relativi Paesi UE;
• L’elenco di IP pubblici, domini utilizzati e articolazioni organizzative;
• Gli accordi attivi di condivisione delle informazioni.

La verifica e l’aggiornamento riguardano anche il punto di contatto NIS (e il suo sostituto), che devono assicurarsi della correttezza delle informazioni. La mancata conformità può comportare sanzioni rilevanti e l’esclusione dagli elenchi ufficiali.

Direttiva NIS 2: cosa devono sapere le imprese

Con il recepimento in Italia della Direttiva (UE) 2022/2555 tramite il Decreto Legislativo 138/2024, la gestione della cybersecurity entra in una nuova fase. La Direttiva NIS 2 impone adempimenti più stringenti a migliaia di organizzazioni nei settori critici, tra cui:

• Energia
• Sanità
• Trasporti
• Finanza
• Servizi digitali
• Manifattura
• Produzione alimentare
• Ricerca

Anche le pubbliche amministrazioni e i fornitori nella supply chain sono coinvolti, così come le aziende che possono influenzare il rischio informatico di soggetti essenziali o importanti.

Entro il 28 febbraio 2025, le imprese dovevano registrarsi presso la piattaforma dell’ACN. Già oltre 20.000 organizzazioni sono state classificate.

Obblighi principali previsti dal Decreto NIS2

Gestione del rischio: Valutazioni periodiche, strumenti di protezione (firewall, crittografia, SOC).

Notifica incidenti: Segnalazione obbligatoria al CSIRT Italia entro:

• 24 ore (preliminare)
• 72 ore (dettagliata)
• 30 giorni (finale)

Supply chain: Controlli su fornitori e terze parti con audit e contratti dedicati.

Formazione: Programmi obbligatori di awareness e simulazioni pratiche.

Audit e tracciabilità: Controlli ACN e obbligo di documentare ogni misura adottata.

Misure tecniche minime: le indicazioni ufficiali ACN

Con la Determinazione ACN n. 164179 del 10 aprile 2025, sono state pubblicate le misure minime per soggetti essenziali e importanti, distinte per categoria:

Allegato 1: misure per soggetti importanti

Allegato 2: misure per soggetti essenziali

Allegato 3: incidenti significativi per soggetti importanti

Allegato 4: incidenti significativi per soggetti essenziali

I documenti ufficiali dell’ACN devono essere utilizzati come riferimento tecnico per la messa in conformità.

Sanzioni

Il nuovo quadro sanzionatorio prevede:

• Fino a 10 milioni di euro o il 2% del fatturato per soggetti essenziali
• Fino a 7 milioni o l’1,4% per soggetti importanti
• Sanzioni personali per dirigenti, inclusa l’interdizione

Come agire ora: il supporto di Miller Group

La fase operativa è iniziata. Le imprese devono muoversi con urgenza per:

• Verificare la propria classificazione NIS2;
• Eseguire il primo assessment di rischio e definire le priorità;
• Pianificare le misure tecniche, la formazione e gli adempimenti documentali;
• Aggiornare le informazioni obbligatorie entro la scadenza del 31 maggio.

Miller Group supporta le imprese con consulenza tecnica e normativa, formazione dedicata e accompagnamento operativo per ogni fase della conformità alla Direttiva NIS 2.

Per una valutazione preliminare o per maggiori informazioni, contatta il nostro team specializzato:

• scrivendo una mail a cyberdesk@millergroup.it
• chiamando il 02.367.624.90 (ci trovi anche su Whatsapp Business)