L’Italia ha recepito la NIS2 con il D.lsg 138/2024. Entrerà in vigore il 16 Ottobre 2024. Quali sono le tempistiche di adeguamento per enti e aziende?

La Direttiva NIS 2 in breve

Il Consiglio dell’UE e il Parlamento europeo hanno adottato, nel Dicembre 2022, la direttiva sulla sicurezza delle reti e dei sistemi informativi 2.0, la NIS2 appunto. La Direttiva prevede una serie di requisiti di sicurezza informatica che sono vincolanti per tutti gli stati membri dell’Unione Europea.

Ricordiamo che, al contrario dei Regolamenti che sono di diretta applicazione, le Direttive devono essere prima recepite dagli stati membri, che devono integrarne i principi nella propria legislazione. L’Italia ha già recepito la NIS. Sotto la timeline:

  • 2016: direttiva NIS1
  • 2018: l’Italia recepisce la NIS1
  • 2022: adozione della NIS2, la NIS1 è abrogata
  • 4 Settembre 2024: approvato in Italia il decreto legislativo che recepis ce la NIS2 (D.lsg 138/2024)
  • 16 Ottobre 2024: entrata in vigore del D.lsg 138/2024.
  • 17 Ottobre: termine massimo per la ricezione della NIS2 da parte degli Stati membri.

Per approfondire, ti consigliamo di leggere questa panoramica che abbiamo già scritto riguardo alla NIS2.

La conformità alla NIS2 sarà obbligatoria

Facciamo chiarezza (e comunicazione corretta): la conformità alla NIS2 sarà obbligatoria. Non dal 16 Ottobre però, sia chiaro. Chi afferma questo lo fa in cattiva fede. Il primo passo che infatti dovrà essere fatto è quello di identificare in maniera precisa gli operatori che rientrano nell’applicazione di questa normativa.

Il Decreto 138/2024 (pubblicato in Gazzetta Ufficiale) specifica già che vi saranno soggetti sia privati che pubblici. Rispetto al testo europeo, il decreto reca una specifica aggiuntiva: rientrano nell’ambito di applicazione della normativa gli operatori che sono soggetti alla giurisdizione nazionale.

Rispetto alla NIS1, la NIS 2 quindi:

  • si applicherà a più soggetti;
  • richiederà l’analisi dei rischi;
  • prevede sì stringenti misure di sicurezza, ma adeguate al contesto (quindi anche la capacità di spesa dei soggetti sottoposti alla sua applicazione).

L’autorità italiana di riferimento per la NIS2 sarà l’ACN, il “braccio operativo” lo CSIRT.

Le scadenze della NIS2: quanto tempo c’è per adeguarsi

  • 1° Gennaio – 28 Febbraio: i soggetti che ritengono di rientrare nell’ambito di applicazione del D.lsg 138/2024 dovranno registrarsi sulla piattaforma digitale resa disponibile per tale scopo dall’ACN. Ciò sarà valido anche per gli anni a venire, quindi ogni anno le aziende / enti dovranno anche aggiornare la propria registrazione. Il che significa che enti e aziende dovranno effettuare una valutazione per capire se siano o meno soggette agli obblighi della NIS2.
  • Entro il 17 Gennaio 2025 dovranno registrarsi nella piattaforma di ACN i seguenti soggetti:
    fornitori di servizi di sistema dei nomi di dominio, i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, motori di ricerca online e le piattaforme di servizi di social network.
  • 31 Marzo 2025: l’ACN redigerà l’elenco dei soggetti essenziali e dei soggetti importanti, in base alle registrazioni ricevute nella piattaforma. Tra il 1 e il 15 Aprile 2025 l’ACN comunicherà ai soggetti registrati l’inserimento nell’elenco dei soggetti essenziali o importanti.
  • Entro il 15 Aprile 2025: i soggetti designati dovranno nominare, con apposito atto, il soggetto responsabile dell’adempimento agli obblighi normativi previsti dal D.lsg 138/2024.
  • Dal 1° Gennaio 2026 i soggetti riguardai dovranno essere in condizione di adempire agli obblighi di notifica degli incidenti.
  • Entro Ottobre 2026 i soggetti riguardati dovranno adempire:
    • agli obblighi degli organi di amministrazione e direttivi (art. 23)
    • agli obblighi in materia di gestione dei rischi e implementazione delle misure di sicurezza (art. 24);
    • all’obbligo di raccolta e mantenimento di un database dei dati di registrazione dei nomi di dominio (art. 29).

Date queste tempistiche, previste esplicitamente dal decreto di recepimento della Direttiva NIS, il panico non serve ma occorre che aziende ed enti pubblici si muovano per tempo.


Vuoi chiarirti le idee sulla NIS2? Non sai se la tua azienda sarà soggetta alla sua applicazione? Siamo esperti di sicurezza informatica (dei dispositivi, delle reti, dei dati) e ci occupiamo di privacy e GDPR. I nostri consulenti sono a tua disposizione.