NIS2 in Italia: tutte le scadenze 2025 e come adeguarsi senza farsi travolgere

10 milioni di euro.

Questa è la multa massima che la vostra azienda rischia se non vi adeguate alla direttiva NIS2. E no, non riguarda solo le grandi corporation. Se fate parte della supply chain di un'azienda "essenziale" o "importante", riguarda anche voi.

Benvenuti nella nuova era della cybersecurity obbligatoria.

Cos'è cambiato e perché dovrebbe interessarvi

Il 4 settembre 2024, l'Italia ha recepito la direttiva europea NIS2 con il Decreto Legislativo 138. Non è stata una formalità burocratica. È stato un cambio di paradigma.

La vecchia NIS1 coinvolgeva meno di 1.000 soggetti in Italia. La NIS2? Oltre 12.000 organizzazioni. E non parliamo solo di banche e ospedali. Parliamo di:

• Fornitori di servizi digitali
• Aziende manifatturiere strategiche
• Operatori della logistica
• Fornitori di servizi IT
• E tutta la loro catena di fornitura

Se lavorate con uno di questi settori, anche come piccola azienda, la NIS2 vi tocca.

Il calendario che non potete ignorare

Ecco le date che dovete segnare in rosso sul calendario:

Gennaio - Febbraio 2025

Registrazione sul portale ACN. Se la vostra organizzazione rientra tra i soggetti "essenziali" o "importanti", dovete registrarvi online presso l'Agenzia per la Cybersicurezza Nazionale.

31 Marzo 2025

L'ACN pubblica la lista ufficiale dei soggetti a cui si applica la NIS2. Se non sapete ancora se siete coinvolti, dopo questa data non avrete più scuse.

15 Aprile 2025

Nomina del responsabile cyber. Dovete designare formalmente una figura responsabile per la cybersecurity e comunicarla all'ACN. Non può essere una nomina di facciata: questa persona sarà il vostro punto di contatto con le autorità.

15 Aprile - 31 Maggio 2025

Trasmissione delle informazioni obbligatorie. Dovete fornire all'ACN:

• Dati personali e di contatto dei rappresentanti legali
• Dettagli tecnici sulla vostra infrastruttura IT
• Lista degli Stati membri in cui operate

31 Maggio 2025

Deadline per la valutazione del rischio. Dovete completare un audit interno di cybersecurity secondo le linee guida ACN. Non è un esercizio teorico: dovrete documentare le vulnerabilità e le contromisure adottate.

31 Luglio 2025

Estensione per chi ha difficoltà. Se avete incontrato problemi tecnici o organizzativi e avete formalmente richiesto supporto all'ACN, avete 60 giorni in più per aggiornare le informazioni sul portale.

Luglio 2025 in poi

Iscrizione al Registro Nazionale CSIRT. Diventa obbligatoria per tutte le aziende "essenziali" e "importanti". Il CSIRT è il team nazionale di risposta agli incidenti: essere registrati significa essere parte della rete di difesa collettiva.

20 Novembre - 31 Dicembre 2025

Nomina del referente CSIRT. Dovete designare una persona di contatto dedicata per le comunicazioni con il CSIRT nazionale.

Cosa rischia chi non si adegua

Le sanzioni sono calibrate sulla gravità della non conformità:

Ma le multe sono solo la punta dell'iceberg. La vera novità della NIS2 è la responsabilità personale del management. Gli amministratori delegati e i dirigenti apicali possono essere ritenuti direttamente responsabili per la mancata compliance.

Tradotto: non potete più delegare la cybersecurity all'IT e dimenticarvene.

I 5 pilastri della compliance NIS2

Adeguarsi non significa installare un antivirus più potente. Richiede un approccio sistemico che tocca cinque aree fondamentali:

1. Governance della sicurezza

Dovete dimostrare che la cybersecurity è una priorità a livello di board. Servono policy documentate, ruoli definiti, budget allocati. Il top management deve essere coinvolto e informato regolarmente.

2. Gestione del rischio

Dovete identificare, valutare e mitigare i rischi cyber in modo continuativo. Non basta un assessment una tantum: serve un processo ciclico che si adatta alle nuove minacce.

3. Protezione tecnica

Le misure di sicurezza devono essere proporzionate ai rischi identificati. Questo include:

• Controllo degli accessi
• Crittografia dei dati sensibili
• Segmentazione delle reti
• Backup e disaster recovery
• Monitoraggio continuo

4. Gestione degli incidenti

Dovete avere procedure chiare per rilevare, gestire e notificare gli incidenti di sicurezza. La NIS2 introduce obblighi stringenti di notifica: avete 24 ore per un'allerta preliminare e 72 ore per una notifica completa.

5. Supply chain security

Dovete estendere i requisiti di sicurezza ai vostri fornitori critici. Questo è il punto che colpisce anche le PMI: se siete fornitori di un soggetto NIS2, dovete dimostrare la vostra affidabilità.

Una roadmap pratica per le PMI

Se siete una piccola o media impresa e vi sentite sopraffatti, ecco un piano d'azione concreto:

Mese 1-2: Assessment

• Verificate se rientrate tra i soggetti obbligati (direttamente o come fornitori)
• Mappate la vostra infrastruttura IT attuale
• Identificate i dati critici che gestite

Mese 3-4: Gap analysis

• Confrontate la vostra situazione con i requisiti NIS2
• Identificate le lacune prioritarie
• Stimate i costi di adeguamento

Mese 5-6: Piano di rimedio

• Definite le azioni correttive con tempistiche realistiche
• Allocate budget e risorse
• Iniziate dalle misure più urgenti

Mese 7-12: Implementazione

• Eseguite il piano di rimedio
• Documentate ogni azione
• Formate il personale
• Testate le procedure

Il supporto che potete ottenere

Non siete soli in questo percorso. Esistono risorse e supporti disponibili:

ACN (Agenzia per la Cybersicurezza Nazionale): offre linee guida, FAQ e supporto tecnico attraverso il portale dedicato.

Associazioni di categoria: Confindustria, CNA e altre organizzazioni stanno organizzando webinar e percorsi di formazione.

Incentivi fiscali: il credito d'imposta per investimenti in cybersecurity può coprire parte dei costi di adeguamento.

Consulenti specializzati: se non avete competenze interne, affidarvi a professionisti può accelerare il percorso e ridurre i rischi.

La cybersecurity come vantaggio competitivo

Concludo con una riflessione che spesso viene trascurata.

Sì, la NIS2 è un obbligo. Sì, richiede investimenti. Sì, è complessa. Ma se cambiate prospettiva, diventa un'opportunità.

Le aziende che dimostrano solide pratiche di cybersecurity:

• Vincono gare d'appalto che richiedono certificazioni
• Conquistano la fiducia di clienti sempre più attenti
• Riducono i costi degli incidenti (che in media superano i 4 milioni di euro)
• Ottengono condizioni migliori dalle assicurazioni cyber

La NIS2 vi costringe a fare quello che avreste dovuto fare comunque. La differenza è che ora avete una scadenza.

Cosa fare lunedì mattina

Se state leggendo questo articolo nel 2025, il tempo stringe. Ecco tre azioni immediate:

1. Verificate il vostro status. Siete soggetti essenziali, importanti, o fornitori di uno di questi? Se non lo sapete, scopritelo subito.

2. Nominate un responsabile. Anche se informale, identificate chi nella vostra organizzazione seguirà questo tema.

3. Prenotate un assessment. Che sia interno o con un consulente, dovete sapere a che punto siete.

La cybersecurity non è più un costo. È una licenza per operare. E la NIS2 è il promemoria che non potete più rimandare.

---

Hai bisogno di supporto per l'adeguamento NIS2? Contattaci per una valutazione preliminare gratuita. ```