NIS2 e Cybersicurezza

Adempimenti NIS2, registro ACN, notifica degli incidenti significativi, policy di sicurezza e supply chain security per soggetti essenziali e importanti.

La Direttiva NIS2 (Dir. UE 2022/2555), recepita in Italia con il D.lgs. 138/2024, impone a soggetti essenziali e importanti — pubblici e privati operanti nei settori indicati negli allegati I e II — l'adozione di misure tecniche, operative e organizzative di gestione del rischio cyber, l'iscrizione al registro tenuto dall'Agenzia per la Cybersicurezza Nazionale (ACN), la notifica obbligatoria degli incidenti significativi e la responsabilità diretta degli organi di amministrazione e direzione per la conformità.

Lo Studio Legale Calzoni assiste enti pubblici, società partecipate, imprese fornitrici di servizi critici e operatori digitali negli adempimenti di cybersicurezza previsti dalla Direttiva NIS2 (Dir. UE 2022/2555) e dal D.lgs. 138/2024: dall'analisi dei requisiti dimensionali e settoriali per la qualifica di soggetto essenziale o importante, alla registrazione e all'aggiornamento sul registro dell'Agenzia per la Cybersicurezza Nazionale (ACN), fino all'implementazione delle misure tecniche e organizzative, alla gestione e notifica degli incidenti significativi e agli adempimenti in materia di supply chain security.

Cosa facciamo

• Verifica della qualifica di soggetto NIS2 (essenziale o importante)
• Registrazione e aggiornamento sul registro ACN entro le scadenze
• Redazione delle policy e procedure di sicurezza informatica
• Gestione e notifica degli incidenti significativi all'ACN (24h/72h/1 mese)
• Adempimenti di supply chain security e contratti con fornitori
• Audit di conformità NIS2 e gap analysis
• Adempimenti DORA per soggetti del settore finanziario
• Coordinamento tra DPO, CISO, IT e funzioni di compliance
• Formazione degli organi di gestione e del personale
• Difesa nei procedimenti sanzionatori ACN

Casi tipici

• Verifica della qualifica di soggetto essenziale o importante secondo gli allegati al D.lgs. 138/2024
• Registrazione e aggiornamento al registro ACN entro le scadenze fissate dalle determinazioni ACN
• Notifica di un incidente significativo all'ACN nei termini di 24/72 ore
• Redazione di policy di sicurezza, procedure operative e piano di continuità
• Adempimenti di supply chain security e revisione dei contratti con i fornitori
• Coordinamento tra DPO, CISO, IT e funzioni di compliance
• Difesa nel procedimento sanzionatorio ACN
• Adempimenti DORA per banche, intermediari e altri soggetti finanziari

Domande frequenti

Chi deve iscriversi al registro ACN?

Sono tenuti all'iscrizione i soggetti essenziali e importanti individuati dal D.lgs. 138/2024 in base ai settori indicati negli allegati I (alta criticità: energia, trasporti, sanità, acque, infrastrutture digitali, PA centrali, spazio) e II (altri settori critici: servizi postali, gestione rifiuti, prodotti chimici, alimentari, fabbricazione, fornitori digitali, ricerca) e alla dimensione aziendale (medie e grandi imprese, con eccezioni). Le scadenze sono fissate dalle determinazioni ACN.

Entro quanto va notificato un incidente significativo?

Il D.lgs. 138/2024, in attuazione dell'art. 23 della Dir. NIS2, prevede tre fasi: pre-allarme (early warning) entro 24 ore dalla conoscenza dell'incidente significativo, notifica completa entro 72 ore con valutazione iniziale e indicatori di compromissione, relazione finale entro 1 mese con descrizione dettagliata, cause, misure adottate e impatto.

Le misure NIS2 si applicano anche ai fornitori?

Sì: l'art. 24 del D.lgs. 138/2024 impone ai soggetti destinatari di valutare e gestire i rischi della catena di fornitura (supply chain security), anche con riferimento a fornitori non direttamente regolati dalla NIS2, includendo nei contratti clausole di sicurezza, audit e cooperazione in caso di incidente.

Quali sono le sanzioni per la violazione della NIS2?

Sanzioni amministrative pecuniarie fino a 10 milioni di euro o al 2% del fatturato totale annuo mondiale (per i soggetti essenziali) e fino a 7 milioni o all'1,4% (per i soggetti importanti). È prevista la responsabilità diretta degli organi di amministrazione e direzione, con possibili misure interdittive.

NIS2 e GDPR sono coordinati?

Sì: in caso di incidente che comporti anche violazione di dati personali (data breach) si applicano cumulativamente la NIS2 e il GDPR (Reg. UE 2016/679), con notifiche distinte all'ACN (entro 24/72 ore) e al Garante Privacy (entro 72 ore ex art. 33 GDPR), e comunicazione agli interessati ex art. 34 GDPR quando ricorrano i presupposti.

Cosa è il regolamento DORA e a chi si applica?

Il Regolamento (UE) 2022/2554 (Digital Operational Resilience Act — DORA), in vigore dal 17 gennaio 2025, disciplina la resilienza operativa digitale dei soggetti finanziari (banche, assicurazioni, imprese di investimento, gestori di cripto-attività, fornitori ICT critici) imponendo gestione del rischio ICT, segnalazione degli incidenti, test di resilienza e oversight dei fornitori terzi.

NIS2 si applica anche alle PA?

Sì: il D.lgs. 138/2024 include espressamente le pubbliche amministrazioni centrali e regionali tra i soggetti destinatari, con specifiche modalità di applicazione e scadenze. Anche enti locali e società partecipate possono rientrare nell'ambito qualora svolgano attività nei settori indicati negli allegati.