Scadenza 31 Luglio 2025
Il primo passo, obbligatorio, per la conformità alla Direttiva NIS2 che ha l’obiettivo di uniformare i livelli di sicurezza informatica in tutta l’Unione Europea, è già stato raggiunto: entro il 31 luglio 2025, i soggetti coinvolti devono avere già completato la registrazione nel portale dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Questa registrazione è il primo step con cui un’impresa era tenuta a dichiarare il proprio assetto cyber all’autorità.
Chi non avesse registrato i dati richiesti (indirizzamento IP e domini internet, Stati membri in cui si opera, composizione del CdA, nominativi dei responsabili ex art. 38 comma 5, un sostituto di contatto, un recapito di segreteria, …) è già fuori norma.
Scadenza 31 Dicembre 2025
Ora inizia un’altra tappa importante: la data del 31 dicembre 2025 è il momento dell’attuazione della Direttiva NIS2, la normativa inizierà a produrre effetti concreti sul piano operativo.
A partire da questa data, tutti i soggetti classificati come “essenziali” o “importanti” saranno tenuti a notificare obbligatoriamente gli incidenti informatici significativi che impattino sull’integrità e la riservatezza dei servizi erogati.
In pratica verrà introdotto un obbligo di trasparenza attiva nei confronti dell’Agenzia per la Cybersicurezza Nazionale (ACN), finalizzato a garantire la gestione coordinata delle crisi cyber a livello europeo.
In che modo questo impatta sull’operatività delle aziende?
Per essere in grado di rispettare questo obbligo, le aziende devono necessariamente preparare un sistema strutturato, in grado non solo di individuare preventivamente eventuali segnali di compromissione, ma anche di attivarne in modo tempestivo l’analisi tecnica e di approntare un’organizzazione in grado di dare una risposta immediata.
Diventa quindi necessario implementare un Piano di Risposta agli Incidenti (Incident Response Plan – IRP) che non sia teorico ma realmente operativo, in quanto deve contenere – in modo costantemente aggiornato – chi farà cosa, come lo farà e con quali modalità.
Fra l’altro la mancata (o ritardata, o incompleta) trasmissione di informazioni comporterà sanzioni economiche.
Dunque il rischio cyber diventa un tema delicato e strategico che incide non solo sulla resilienza informatica ma anche sulla reputazione e sull’affidabilità generale dell’azienda.