NIS 2 e Regolamento 2024/2690: chi si deve adeguare e cosa cambia per imprese e PA

Dal 16 ottobre 2024 è in vigore anche in Italia il d.lgs. 4 settembre 2024, n. 138, che recepisce la Direttiva (UE) 2022/2555, conosciuta come NIS 2. Si tratta di una riforma di rilievo, che rafforza gli obblighi per le organizzazioni pubbliche e private in materia di gestione della cybersicurezza. Rispetto alla prima direttiva NIS del 2016, il nuovo impianto normativo segna un evidente passo avanti: vengono ampliati i soggetti interessati, introdotti obblighi più stringenti e definito un sistema sanzionatorio più rigoroso. Il Regolamento (UE) 2024/2690, pubblicato a luglio 2024, dettaglia l’applicazione di questi obblighi, specificando quando un incidente può essere considerato “significativo” e quali buone pratiche tecniche devono essere adottate.

Cosa cambia rispetto alla NIS 1

Ampliamento dei soggetti coinvolti. La NIS 2 estende il campo di applicazione a un numero maggiore di settori e aziende, rispetto alla precedente direttiva del 2016.
Obblighi più precisi. Vengono introdotti requisiti tecnici e organizzativi più dettagliati, nonché un sistema sanzionatorio più severo.
Responsabilità dei dirigenti. Maggiore responsabilità diretta per il management aziendale in caso di mancata conformità.
Supply chain. Estensione degli obblighi anche alla catena di fornitura, imponendo controlli sui fornitori.
Incidenti significativi. Il Regolamento 2024/2690 stabilisce criteri oggettivi per la classificazione e la notifica degli incidenti significativi.

Chi deve adeguarsi

La normativa distingue tra due categorie principali:
Soggetti essenziali (Energia, trasporti, sanità, banche, infrastrutture digitali, acqua e rifiuti, enti pubblici strategici) con più di 50 dipendenti o più di 10 mln di euro di fatturato.
Soggetti importanti (Cloud provider, data center, fornitori di servizi digitali, produttori hardware/software, logistica, settore spaziale, ecc.) con più di 50 dipendenti o più di 10 mln di euro di fatturato.
Sono tenute a conformarsi tutte le aziende con almeno 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro. Tuttavia, anche aziende più piccole possono essere coinvolte se operano in settori critici o forniscono servizi essenziali a soggetti obbligati.
La normativa si applica anche a pubbliche amministrazioni fino al livello locale.

Cosa cambia per la Pubblica Amministrazione con NIS 2 e Regolamento 2024/2690

Ampliamento del perimetro e nuovi obblighi. La NIS 2 estende in modo significativo il campo di applicazione rispetto alla precedente direttiva: tutte le Pubbliche Amministrazioni centrali (e molte locali) sono ora soggette agli obblighi, indipendentemente dalle dimensioni. L’obiettivo è rendere i sistemi informativi pubblici più resilienti, garantendo la continuità dei servizi essenziali e la protezione dei dati dei cittadini.

Principali novità e adempimenti per le PA

Identificazione dei servizi critici. Le PA devono individuare con precisione quali servizi digitali sono essenziali per il funzionamento dell’ente e della società.
Valutazione e gestione dei rischi. È obbligatoria una valutazione approfondita dei rischi informatici che minacciano i servizi essenziali, con conseguente adozione di misure tecniche e organizzative adeguate (es. crittografia, gestione degli accessi, backup, formazione del personale).
Notifica degli incidenti. Gli obblighi di segnalazione degli incidenti informatici sono rafforzati. Gli incidenti “significativi” devono essere notificati tempestivamente all’Agenzia per la Cybersicurezza Nazionale (ACN), con tempistiche stringenti (entro 24 o 72 ore a seconda della gravità), seguendo una procedura in due fasi: allerta rapida ed eventuale report dettagliato.
Responsabilità e governance. Il rischio cyber non è più solo una questione tecnica: il management e i vertici delle PA sono direttamente responsabili della supervisione e del controllo delle misure adottate, con obblighi precisi di governance.
Registrazione presso ACN. Entro il 28 febbraio 2025, tutte le PA dovranno registrarsi sulla piattaforma digitale dell’ACN, dichiarando i servizi essenziali e le misure adottate.
Collaborazione con ACN. Le PA devono collaborare attivamente con l’ACN per la gestione degli incidenti e per le attività di analisi e risposta.
Nomina di un responsabile della sicurezza. È raccomandata la nomina di un referente interno per la sicurezza (es. CISO), responsabile del coordinamento delle attività di cybersecurity.

Impatto operativo

Revisione dei processi interni. Le PA devono aggiornare processi, piani di risposta agli incidenti e protocolli di gestione del rischio, assicurando la continuità operativa anche in caso di attacchi.
Gestione della supply chain. Cresce l’attenzione sulla sicurezza dei fornitori e dei subappaltatori; le PA devono verificare che anche la catena di fornitura rispetti standard adeguati.
Formazione e consapevolezza. La direttiva promuove una cultura diffusa della cybersicurezza, con formazione continua e simulazioni di incidenti per tutto il personale.
Aggiornamento tecnologico. Molte PA dovranno investire nell’aggiornamento delle infrastrutture, adottando tecnologie di monitoraggio avanzate e sistemi di autenticazione forte.
Sanzioni per mancato adeguamento. Fino al 2% del fatturato per le entità essenziali, con possibilità di sospensione dei servizi e obblighi correttivi imposti dalle autorità. L’ACN effettuerà ispezioni e controlli per verificare il rispetto degli obblighi.

In sintesi

La NIS 2 e il Regolamento 2024/2690 impongono alle Pubbliche Amministrazioni un salto di qualità nella gestione della cybersicurezza, con obblighi più stringenti, responsabilità dirette per i vertici, maggiore attenzione alla gestione dei rischi e alla continuità dei servizi, e un approccio strutturato alla formazione e alla collaborazione con le autorità di settore.