NIS2: il countdown per il 31 maggio 2025 è partito. Cosa devono fare le Aziende (sul serio)?

Se negli ultimi tempi avete sentito parlare spesso di NIS2, non siete soli. Dopo la pubblicazione del Decreto Legislativo 138/2024 e la prima fase di registrazione sul portale dell'Agenzia per la Cybersicurezza Nazionale (ACN), siamo ufficialmente entrati nel vivo della questione. E sì, c'è una data cerchiata in rosso sui calendari di molte aziende: il 31 maggio 2025. 

Quindi, se la vostra casella PEC ha ricevuto una comunicazione dall'ACN, è il momento di fare chiarezza su cosa comporta questa nuova fase. 

Ma facciamo un passo indietro: chi è coinvolto e chi dovrebbe comunque prestarci attenzione? 

Ricapitoliamo velocemente. Il primo step è stato capire se la vostra organizzazione rientra tra i soggetti classificati come "essenziali" o "importanti". Questa distinzione è fondamentale, perché determina l'entità degli obblighi da rispettare. 

Ma c'è un "però" importante. Anche se la vostra azienda non rientra formalmente nel perimetro della NIS2, ma operate all'interno della supply chain di soggetti che invece ci sono dentro fino al collo, un'attenta valutazione sull'adeguamento volontario è più che consigliabile. La sicurezza delle terze parti è uno dei cardini della nuova direttiva. E se fate parte di un gruppo la cui capogruppo è soggetta alla NIS2? Preparatevi: è altamente probabile che vi vengano richieste misure di sicurezza allineate a quelle del gruppo. 

Il portale ACN e la scadenza del 31 Maggio 2025: cosa significa in pratica? 

Ok, la PEC dall'ACN è arrivata, avete custodito gelosamente il codice identificativo...e ora? Ora inizia la fase operativa: entro il 31 maggio 2025 è necessario aggiornare una serie di informazioni sul portale ACN. 

Ecco i punti chiave da tenere a mente: 

1. Codice Identificativo: È la vostra chiave d'accesso al portale. Conservatelo con cura. 

2. Aggiornamento Informazioni: Questa è la scadenza tassativa. 

3. Monitoraggio PEC Aziendale: Continuate a tenerla d'occhio, è il canale ufficiale per le comunicazioni dell'Autorità. 

4. Modalità di Accesso al Portale: Al momento, non è ancora stato specificato se l'accesso avverrà combinando PEC e codice identificativo o tramite le credenziali del punto di contatto già designato. L'ACN fornirà chiarimenti a breve, quindi monitorate i canali ufficiali. 

Quali Informazioni bisogna aggiornare? 

Secondo l'articolo 7 del D.Lgs. 138/2024, le aziende "essenziali" o "importanti" devono caricare sul portale ACN, entro il 31/05/2025, le seguenti informazioni: 

• L'elenco dei vostri indirizzi IP pubblici e dei nomi di dominio utilizzati. 

• I nominativi dei componenti degli organi di amministrazione e direttivi. 

• L'indicazione degli altri  Stati membri dell'UE in cui erogate servizi che rientrano nel perimetro NIS2. 

• I dati del Legale Rappresentante o dell'Amministratore Delegato, che si assume la responsabilità dell'adeguamento. 

• I dati del sostituto del punto di contatto già nominato (ruolo, indirizzo email e numero di telefono). 

• L'elenco degli eventuali accordi di condivisione delle informazioni. 

La buona notizia è che è previsto un servizio online dedicato per semplificare l'inserimento di questi dati. 

Cosa succede se non si rispettano le scadenze? Le sanzioni. 

Sia chiaro, l'obiettivo primario non è evitare le multe, ma rafforzare la propria sicurezza. Tuttavia, è importante sapere che l'articolo 38 del D.Lgs. 138/2024 prevede diffide e sanzioni in caso di mancato aggiornamento delle informazioni entro il 31 maggio 2025. Agire con precisione e tempestività è quindi fondamentale. 

Non solo un obbligo: un reale cambio di prospettiva 

La NIS2 non è semplicemente una nuova lista di adempimenti burocratici. Rappresenta un vero e proprio cambio di paradigma per la gestione della cybersecurity: si passa da un approccio spesso reattivo a uno sistemico e proattivo. La resilienza digitale diventa un requisito imprescindibile per la continuità operativa e la competitività. 

Pensatela in questo modo: la NIS2 agisce come un catalizzatore per l'adozione di best practice che coinvolgono tecnologia, processi e, fattore cruciale, le persone. Non si tratta solo di compliance normativa, ma di una protezione strategica per la vostra organizzazione. 

Il percorso NIS2 è un viaggio (ma non siete soli!) 

L'aggiornamento delle informazioni sul portale ACN entro il 31 maggio 2025 è un passaggio importante, ma il percorso di adeguamento alla NIS2 è più articolato. Ci sono molti altri aspetti fondamentali da considerare: 

• Una governance chiara: Definire ruoli e responsabilità. 

• Policy e procedure solide: Mettere nero su bianco come gestite la sicurezza. 

• Gestione del rischio continua: Conoscere i vostri asset, le minacce e le vulnerabilità. 

• Misure Tecniche e Organizzative (TOMs) efficaci: Le difese pratiche per proteggervi. 

• Incident Response preparato: Sapere come reagire agli incidenti, inclusa la notifica all'ACN secondo le tempistiche previste (24h, 72h, 1 mese). 

• Sicurezza della Supply Chain: Valutare i rischi provenienti dai fornitori. 

• Preparazione alle ispezioni: Avere un sistema documentale NIS2 ben organizzato sarà di grande aiuto. 

Vigilia è al vostro fianco 

Comprendiamo che questo percorso possa sembrare complesso. Noi di Vigilia siamo specializzati nell'accompagnare le aziende attraverso le sfide della cybersecurity. Possiamo aiutarvi a: 

• Comprendere appieno gli obblighi specifici per la vostra realtà. 

• Prepararvi per l'aggiornamento delle informazioni sul portale ACN. 

• Sviluppare le policy e le procedure necessarie. 

• Implementare un programma di gestione del rischio efficace. 

• Formare il vostro personale, perché la consapevolezza è la prima linea di difesa. 

• Navigare l'intero processo di adeguamento alla NIS2 con maggiore sicurezza e tranquillità. 

La NIS2 non è un ostacolo insormontabile, ma un'opportunità per rendere la vostra organizzazione più forte e resiliente. E con il supporto giusto, il cammino diventa decisamente più gestibile.

Contattateci per capire come possiamo aiutarvi!