News
Gestione dei rischi e conformità ai requisiti del Regolamento UE 2023/1230 sui macchinari
OT-cyber-site-assessment-nexta
TUTTE LE NOVITÀ PER AZIENDE E SERVIZI PUBBLICI
Ad aprile 2025, entra nel vivo il nuovo stato di implementazione della Direttiva NIS 2 (Network and Information Security), la normativa europea volta a rafforzare la sicurezza informatica di enti pubblici e privati operanti in settori specifici come sanità, trasporti, energia, alimentare e servizi digitali.
Dopo la fase preliminare di registrazione al portale dell'Agenzia per la Cybersicurezza Nazionale (ACN), le realtà interessate sono tenute a compiere ulteriori adempimenti per garantire la conformità normativa.
Direttiva NIS 2: quali sono i nuovi obblighi da rispettare?
Le organizzazioni classificate come essenziali o importanti devono compilare l'autovalutazione dei propri livelli di sicurezza e fornire un piano di adeguamento in base ai requisiti elencati nella determinazione 164179 pubblicata dall'Agenzia il 14 aprile scorso. Tra i punti salienti:
- L'impiego di misure tecniche e organizzative per la gestione dei rischi;
- La formazione continua del personale;
- Il potenziamento delle procedure di risposta agli incidenti;
- Il controllo delle identità e degli accessi;
- La gestione del rischio e della sicurezza informatica della catena di fornitura.
L'ACN svolge un ruolo di coordinamento nella fase di implementazione, offrendo linee guida operative, modelli di riferimento (Framework Nazionale) e supporto alle imprese attraverso il Portale NIS, essenziale per il coordinamento nazionale.
Le scadenze per le imprese soggette alla Direttiva NIS 2
Entro il 31 Maggio 2025, le aziende dovranno trasmettere una serie di informazioni tra cui:
- Punto di contatto e sostituto del Punto di contatto - PoC
Una persona, distinta dal punto di contatto, definita con le stesse modalità, che supporta quest’ultimo nell’esercizio delle proprie mansioni; - Censimento del personale di Segreteria
Altri utenti che aiutano i PoC nell’inserimento dei dati sulla piattaforma; - Spazio di indirizzamento IP e nomi di dominio
Indirizzi IP pubblici e statici che il soggetto NIS utilizza o ha a disposizione in forza di contratti o accordi con fornitori di servizi Internet (ISP), Registri Internet Regionali o altre realtà deputate alla fornitura di indirizzi IP sulla base delle normative e degli accordi nazionali, europei e internazionali vigenti; nomi di dominio che il soggetto NIS utilizza o di cui dispone in forza di contratti o accordi con fornitori di servizi di registrazione di nomi di dominio; - Censimento degli organi di amministrazione e direttivi
Secondo l’Art 38 legalmente responsabili delle sanzioni relative alla norma; - Elenco dei Servizi in UE ed Elenco delle sedi in UE e Rappresentante NIS.
- A GENNAIO 2026 entra in vigore l’obbligo di comunicazione degli incidenti, in base alla classificazione redatta dall’agenzia;
- ENTRO MAGGIO 2026 le imprese dovranno aggiornare nuovamente le informazioni nel portale dell’Agenzia;
- ENTRO OTTOBRE 2026 le aziende dovranno dotarsi di misure tecniche e organizzative adeguate ai requisiti della normativa.
Nel breve termine, il Digital Europe Programme aprirà nuovi bandi destinati a finanziare progetti per il rafforzamento della cybersecurity e della resilienza operativa, con un budget totale di 1,3 miliardi: tra le priorità, la formazione del personale e l’adeguamento tecnico alle normative NIS 2 e Cyber Resilience Act.
L’obiettivo è diffondere una cultura della sicurezza informatica, riducendo il rischio umano attraverso la sensibilizzazione alle minacce digitali e l’adozione di comportamenti sicuri. Le attività formative dovranno essere tracciabili e adatte al ruolo ricoperto e saranno oggetto di verifica da parte di ACN.