La Direttiva (UE) 2022/2555, meglio nota come NIS2, segna una svolta decisiva nel panorama della cybersicurezza europea, imponendo nuovi e più stringenti obblighi per un vasto numero di organizzazioni, con un focus particolare sulle grandi imprese.

Recepita in Italia attraverso il Decreto Legislativo n. 138 del 4 settembre 2024, la normativa mira a innalzare drasticamente il livello di resilienza digitale collettiva di fronte a minacce informatiche sempre più sofisticate e pervasive.

L’Italia ha designato l’Agenzia per la Cybersicurezza Nazionale (ACN) quale fulcro del sistema di vigilanza e punto di contatto primario, affiancata da specifiche competenze ministeriali per determinati settori. È imperativo per ogni azienda identificare con precisione l’autorità di riferimento per il proprio ambito operativo.

Un appuntamento cruciale attende i soggetti “essenziali” e “importanti”: entro il **31 maggio 2025**, è obbligatorio comunicare all’ACN, mediante la piattaforma digitale dedicata, una serie di informazioni aggiornate.

Tra queste, spiccano i dati identificativi dei responsabili legali e degli organi di gestione, la designazione di un sostituto del punto di contatto, l’elenco degli indirizzi IP pubblici e dei nomi di dominio utilizzati, nonché l’eventuale operatività transfrontaliera e la conferma dei dati anagrafici dell’entità, inclusi i dettagli dei componenti degli organi amministrativi.

Il mancato rispetto di tali adempimenti, o delle altre prescrizioni della NIS2, espone le imprese a un regime sanzionatorio particolarmente severo.

Per i soggetti definiti “essenziali”, le sanzioni pecuniarie possono raggiungere la cifra di 10 milioni di euro o il 2{85f3ccc5c99dc66e84f0df37a9304b4c9d12abf66fcd88725cd30da00dc37f5f} del fatturato mondiale annuo. Per i soggetti “importanti”, il limite è fissato a 7 milioni di euro o l’1,4{85f3ccc5c99dc66e84f0df37a9304b4c9d12abf66fcd88725cd30da00dc37f5f} del fatturato globale.

Le violazioni sanzionabili comprendono l’omessa adozione di adeguate misure di gestione del rischio cyber, la mancata o tardiva notifica degli incidenti di sicurezza e l’inosservanza degli obblighi di comunicazione, come la scadenza del 31 maggio.

A queste si aggiungono possibili sanzioni accessorie, quali la sospensione di certificazioni o il divieto temporaneo per le figure apicali di esercitare funzioni dirigenziali.

Navigare la complessità della Direttiva NIS2 richiede un approccio strategico e proattivo. Le imprese sono chiamate a consolidare la propria governance interna in materia di cybersicurezza, con un coinvolgimento diretto e consapevole del vertice aziendale.

È altresì fondamentale condurre valutazioni del rischio periodiche e implementare misure di sicurezza tecniche, operative e organizzative commisurate alle minacce. La sicurezza della catena di fornitura, la predisposizione di piani di incident response e la tenuta di una documentazione accurata completano il quadro delle azioni imprescindibili.

Morelli Bolzoni Studio Legale offre consulenza specialistica e assistenza qualificata alle aziende per affrontare con successo tutte le fasi di adeguamento alla Direttiva NIS2, dalla valutazione iniziale degli impatti, all’implementazione delle misure richieste, alla gestione continua della conformità.

Contattateci per un supporto mirato e per trasformare un obbligo normativo in un’opportunità di rafforzamento della vostra resilienza digitale.