Mentre continuano gli attacchi informatici in Italia – ultimo quello alla Biennale di Venezia – si avvicina la scadenza del 31 luglio, data limite per l’adempimento degli obblighi di comunicazione all’ACN previsti dalla normativa NIS2 (Network and Information Security) per tutte quelle realtà che si sono registrate sulla piattaforma digitale di ACN, Agenzia per la Cybersicurezza Nazionale, e che “hanno ricevuto dalla stessa, entro la metà del mese di aprile, formale conferma via PEC del loro inserimento nella lista dei cosiddetti soggetti ‘essenziali’ o ‘importanti’ (20mila organizzazioni individuate e 5mila essenziali)”, specifica l’avv. Nadia Martini, partner dello studio internazionale multidisciplinare Rödl & Partner, “cosa che comporta l’effettiva applicabilità degli obblighi discendenti dalla NIS2 e con sanzioni che in caso di mancati adempimenti possono arrivare fino allo 0,1% del fatturato annuo aziendale per i soggetti essenziali, o per i soggetti importanti, fino allo 0,07% del fatturato annuo”.
Gli obiettivi della NIS2
In Italia, secondo il recente rapporto Clusit, Associazione italiana per la cybersicurezza, avviene il 10% dei cyber attacchi globali, i dati evidenziano anche come l’82% delle aziende italiane abbia subito almeno un incidente di sicurezza dovuto all’uso dell’intelligenza artificiale (dati Cybersecurity Readiness Index 2025 Cisco), mentre il 56% delle PMI italiane risulta poco consapevole o totalmente impreparato, con una quota del 44% che riconosce il rischio cyber ma senza intervenire in maniera efficace (rapporto Cyber Index PMI).
La NIS2, si inserisce proprio in questo panorama, con l’obiettivo di rafforzare la cybersecurity nell’Unione Europea (recepita col Decreto Legislativo n. 138/2024), elevando il livello di sicurezza informatica, riducendo le vulnerabilità e aumentando la resilienza delle infrastrutture critiche, sia pubbliche che private e si applica alle organizzazioni di medie e grandi dimensioni che operano in 18 settori considerati essenziali per il funzionamento della società e dell’economia per oltre 80 tipologie di soggetti (come energia, trasporti, sanità, spazio, digitale, cloud, data center, produzione e tanti altri ancora).
Gli adempimenti entro il 31 luglio e le sanzioni per gli irregolari
“Le entità che hanno ricevuto la notifica di inclusione nell’elenco dei soggetti essenziali o importanti”, spiega Nadia Martini, avvocato e Responsabile del dipartimento di Data protection, Cybersecurity e Innovation dello studio multidisciplinare Rödl & Partner Italia, “sono tenute, attraverso la piattaforma digitale, a fornire o aggiornare entro il 31 luglio pv alcune informazioni riguardanti l’impresa come lo spazio pubblico di indirizzi IP e i nomi di dominio in uso, l’elenco degli Stati membri in cui forniscono servizi rilevanti ai sensi del decreto e i nomi dei massimi dirigenti responsabili dell’adempimento degli obblighi previsti dal decreto. Inoltre, dovranno adempiere agli obblighi di notifica degli incidenti “significativi”, entro il termine di 9 mesi dalla ricezione della comunicazione (ossia gennaio 2026) adottando un’adeguata Cybersecurity Governance e implementando idonee policy e procedure ai fini della notifica degli incidenti”.
In caso di mancata registrazione o di tardiva registrazione sulla piattaforma digitale ovvero di mancata comunicazione entro i termini stabiliti si applicano le sanzioni amministrative pecuniarie previste dall’art. 38: “Le violazioni relative alla mancata comunicazione delle informazioni sono punite con sanzioni che, per i soggetti essenziali, possono arrivare fino allo 0,1% del fatturato annuo o per i soggetti importanti, lo 0,07% del fatturato annuo” ammonisce l’esperta di Rödl & Partner Italia, che aggiunge “L’obbligo di comunicare l’elenco delle attività e dei servizi, compresa la loro caratterizzazione e categorizzazione, andrà adempiuto entro il 31 luglio 2025”.
Da questa data, le entità dovranno fornire queste informazioni annualmente. Non è tutto, entro 18 mesi dalla ricezione dell’avviso, quindi entro ottobre 2026, le entità essenziali e importanti dovranno adempiere ai loro obblighi di gestione del rischio e delle misure di sicurezza, inclusa l’approvazione di politiche di gestione del rischio informatico e l’implementazione di misure di sicurezza adeguate, dovendo a tal fine porre in essere un assessment delle misure tecniche ed organizzative di base.
