Systema Srl

Ma come faranno le aziende a sapere se la Nis2 le riguarda? Ecco la GUIDA completa!

Per accedere alla piattaforma dedicata dell’ACN, sarà necessario registrarsi a partire da domenica 1 dicembre 2024. Le aziende dovranno innanzitutto designare un “punto di contatto”, ovvero una persona incaricata di gestire la registrazione e di mantenere i rapporti con l’Agenzia.

Accedendo al portale dell’Agenzia, il punto di contatto dovrà compilare i campi richiesti. Sarà necessario fornire alcune informazioni, come il titolo giuridico che autorizza l’operatore a rappresentare l’azienda (ad esempio una delega), il codice fiscale o il codice IPA dell’impresa.

Una volta inseriti i dati, l’Acn invierà un link per confermare l’iscrizione. Cliccando su di esso, si aprirà una schermata dove completare ulteriori dettagli, tra cui il contesto societario, i codici Ateco delle attività (che devono corrispondere a quelli presenti nel Registro delle Imprese) e le normative europee applicabili. Sarà inoltre necessario specificare se l’azienda appartiene alla categoria delle medie o grandi imprese.

Dopo questa fase, la piattaforma avvierà una valutazione preliminare per verificare se l’azienda rientra nell’ambito della direttiva NIS2. Per chiarimenti, sarà possibile contattare l’assistenza tramite i riferimenti presenti sul portale.

  • Entro il 17 gennaio 2025 dovranno iscriversi fornitori di servizi essenziali, come cloud computing, data center, servizi di sicurezza gestiti, piattaforme social e motori di ricerca.

L’ACN comunicherà alle aziende l’esito dell’inserimento nell’elenco dei soggetti Nis2 entro il 31 marzo 2025, specificando se sono classificate come “essenziali” o “importanti”. Successivamente, entro aprile 2025, l’Agenzia stabilirà gli obblighi specifici per ciascun soggetto. A maggio, le aziende dovranno aggiornare i propri dati sul portale per entrare ufficialmente nel sistema NIS2.

Le registrazioni saranno aperte ogni anno nei mesi di gennaio e febbraio.

Le regole della direttiva NIS2 riguardano:

  • Grandi imprese (oltre 250 dipendenti o fatturato superiore a 50 milioni di euro)
  • Medie imprese (fino a 250 dipendenti con fatturato tra 10 e 50 milioni)
  • Piccole e microimprese con rilevanza nei settori di riferimento

I settori interessati sono 18, suddivisi in due categorie:

  • Settori ad alta criticità, tra cui energia, trasporti, sanità, forniture idriche, infrastrutture digitali e servizi spaziali.
  • Altri settori critici, come servizi postali, rifiuti, alimentare, produzione chimica, piattaforme social, dispositivi medici e amministrazioni pubbliche.

La direttiva NIS2 prevede due principali ambiti di intervento:

Sicurezza informatica

  • Analisi dei rischi e sicurezza dei sistemi IT;
  • Continuità operativa e capacità di ripristino;
  • Adozione di standard di sicurezza per la catena di approvvigionamento;
  • Crittografia dei dati e controllo dell’accesso;
  • Sistemi di comunicazione sicura.

Notifica degli incidenti

A partire da gennaio 2026, sarà obbligatorio segnalare gli incidenti informatici al Csirt Italia (Computer Security Incident Response Team). Le notifiche dovranno avvenire entro:

  • 24 ore dall’identificazione dell’incidente, indicando eventuali implicazioni transfrontaliere;
  • 72 ore per un aggiornamento con la valutazione dell’impatto;
  • Un mese per un rapporto dettagliato.

Le aziende saranno responsabili dell’implementazione di queste misure entro ottobre 2026, con un periodo facoltativo per le segnalazioni fino a gennaio 2026.

Hai dubbi e vuoi parlarcene?

I nostri articoli

PARLA CON UN’ESPERTO

Prenota una consulenza con
un nostro esperto


    Dichiaro di avere preso attenta visione dell’informativa sulla privacy e presto il consenso al trattamento dei miei dati personali per richiedere informazioni sui servizi e/o prodotti, ex. art. 6, par. 1 lett. A) del Regolamento (UE) 2016/679

    Conferma presa visione

    Vi informiamo inoltre che i Vostri dati anagrafici saranno trattati solo ed esclusivamente da Systema Srl o da soggetti espressamene incaricati per l’esecuzione di alcuni dei servizi richiesti e non verranno ceduti a terzi senza un Vostro previo consenso in osservanza del Regolamento (UE) 2016/679