Migliorare la cooperazione tra gli Stati membri; armonizzare le misure di sicurezza cyber; obbligare operatori di servizi essenziali e importanti e fornitori di servizi digitali l'adozione di misure di sicurezza adeguate e la segnalazione tempestiva degli incidenti alle Autorità competenti ed ai fruitori dei propri servizi, se opportuno e possibile.

Governance. Il Management dovrà approvare le misure per la gestione dei rischi adottate dall’organizzazione e valutarne l’efficacia nel tempo: seguire una formazione periodica su tematiche di cybersicurezza e offrire una formazione analoga ai dipendenti.

Gestione del rischio. L’organizzazione dovrà valutare i rischi di sicurezza e di rete e adottare misure tecniche, operative e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l'impatto degli incidenti per i destinatari dei propri servizi.

Continuità operativa. L’organizzazione dovrà adottare soluzioni per garantire la continuità operativa (es. backup, piano di disaster recovery e procedura di gestione delle crisi) finalizzate a ridurre al minimo l’impatto di eventuali interruzioni dei servizi erogati.

Catena di fornitura. L’azienda dovrà valutare le vulnerabilità di ogni diretto fornitore e la qualità complessiva dei prodotti e delle pratiche di cybersecurity dei propri fornitori. La valutazione riguarderà i fornitori ICT e altri fornitori critici che potrebbero causare l’interruzione del servizio per il quale l’organizzazione è stata inclusa nel perimetro NIS2.

• Politiche di analisi dei rischi e di sicurezza dei sistemi informativi.
• Procedura di gestione degli incidenti .
• Soluzioni per la continuità operativa (backup e disaster recovery) e procedure di gestione e comunicazione in caso di crisi.
• Politiche di sicurezza della catena di approvvigionamento (fornitori e i prestatori di servizi).
• Sicurezza nell'acquisizione, nello sviluppo, nella manutenzione e nella gestione delle vulnerabilità dei sistemi informativi e delle reti.
• Valutazione dell'efficacia della gestione dei rischi di cybersecurity.
• Pratiche di igiene informatica di base e formazione in materia di cybersecurity.
• Politiche e procedure e di crittografia e cifratura.
• Sicurezza delle risorse umane.
• Politiche di controllo degli accessi e di gestione degli asset.
• Uso dell’autenticazione a più fattori o di soluzioni di autenticazione continua.
• Sistemi di comunicazione vocale, video, di testo e di emergenza protetti.

Le misure dovranno essere proporzionate al contesto ed ai rischi specifici di ciascun soggetto considerando il grado di esposizione, le dimensioni dell'organizzazione e la probabilità e gravità degli incidenti (come l’impatto sociale ed economico).

La direttiva è stata recepita dall’Italia con il d.lgs. 138 04/09/2024 e con la l.90/2024 (cybersicurezza PA)

Febbraio 2025 - registrazione soggetti interessati su portale ACN

Aprile 2025 - conferma dei soggetti obbligati

< 9 mesi - periodo transitorio per soddisfare gli obblighi di base (es. notifica incidenti)

< 18 mesi - periodo transitorio per implementare le misure di sicurezza e raggiungere la compliance

• Registrare l’azienda nella piattaforma ACN: identificare il proprio punto di contatto, con il relativo ruolo; elencare e caratterizzare attività e servizi per definirne la categoria di rilevanza
• Notificare al CSIRT Italia ogni incidente con impatto significativo nella fornitura dei servizi; aggiornare l’Autorità con una relazione intermedia; stendere una relazione finale entro un mese dalla notifica dell’incidente.

SOGGETTI ESSENZIALI

Grandi operatori di settori essenziali e casi speciali:

Energia (elettricità, petrolio, gas, calore, idrogeno) | Sanità (servizi, laboratori, R&S, prodotti farmaceutici) | Trasporti (aerei, ferroviari, idrici, stradali) | Banche | Mercati finanziari | Imprese e fornitori di acqua potabile | Imprese e fornitori di acque reflue | Digitale (fornitore di: Internet Exchange Points (IXP), fornitori di servizi DNS, registri di nomi TLD, servizi di data center, fornitori di servizi di cloud computing, reti di distribuzione di contenuti, servizi fiduciari) | Gestione dei servizi ICT| Spazio

SOGGETTI IMPORTANTI

Grandi e medi operatori di settori importanti:

Servizi postali | Servizi di corriere | Gestione dei rifiuti | Produzione e distribuzione di sostanze chimiche | Produzione, trasformazione e distribuzione di alimentari | Industria (dispositivi medici e diagnostici; computer, elettronica e ottica; macchinari/apparecchiature n.c.a.; autoveicoli, rimorchi e altri mezzi) | Servizi digitali (mercati online, motori di ricerca online, social network) | Istituti di Ricerca

ENTI PUBBLICI

Pubbliche amministrazioni centrali, regionali, provinciali ed altri soggetti pubblici:

Amministrazioni centrali (Organi costituzionali e di rilievo costituzionale, Presidenza del Consiglio dei Ministri e i Ministeri; Agenzie fiscali,  Autorità amministrative indipendenti) | Amministrazioni regionali (Regioni e Province autonome) | Amministrazioni locali (Città metropolitane, Comuni > 100.000 abitanti, Comuni capoluoghi di regione, Aziende sanitarie locali) | Altri soggetti pubblici (Enti di regolazione dell’attività economica, Enti produttori di servizi economici, Enti a struttura associativa, Enti  produttori di servizi assistenziali, ricreativi e culturali, Enti e Istituzioni di ricerca, Istituti zooprofilattici sperimentali) | Ulteriori tipologie di soggetti (Soggetti che forniscono servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, Soggetti che svolgono attività di interesse culturale, Società in house, Società partecipate e Società a controllo pubblico).

Grandi imprese: più di 250 dipendenti e oltre 43 mln € fatt.

Medie imprese: tra 50 e 249 dipendenti e tra 10 e 43 mln € fatt.

PMI con ruolo cruciale nel proprio settore, indipendentemente dalle dimensioni.

ACN (Agenzia per la Cybersicurezza Nazionale): Autorità nazionale competente NIS 2

- Supervisione proattiva dei Soggetti Essenziali

- Vigilanza reattiva dei Soggetti Importanti

- Punto di contatto unico NIS nazionale

CSIRT (Gruppo nazionale di risposta agli incidenti di sicurezza informatica)

- Gestione incidenti di sicurezza informatica

Autorità di settore NIS: Presidenza CdM e Ministeri competenti che supportano l’ACN nell’attuazione della direttiva, identificando i soggetti interessati e coordinando tavoli settoriali.

Proporzionali in base a gravità dell’evento, danno causato, recidività e cooperazione

Grandi imprese: fino a 10 mln € o 2% fatturato globale.

Medie imprese: fino a 7 mln € o 1,4% del fatturato globale | le PA sono escluse.

Per tutti i soggetti interessati:

• Obbligo di rendere pubbliche le violazioni alla direttiva e/o al d.lgs. 138.
• Obbligo di informare il pubblico sugli incidenti occorsi.
• Interdizione temporanea degli organi di amministrazione, degli organi direttivi e delle funzioni dirigenziali (AD / rappresentante legale).

Solo per i soggetti essenziali:

• Sospensione delle certificazioni e delle autorizzazioni per i servizi o le attività forniti.
• Responsabilità diretta dei soggetti fisici degli organi di amministrazione, degli organi direttivi e delle funzioni dirigenziali delle aziende private.

Solo per le pubbliche amministrazioni:

• Responsabilità dirigenziale, disciplinare e amministrativo-contabile per i dipendenti pubblici e funzionari eletti o nominati che esercitano poteri di rappresentanza di un soggetto essenziale (Legge 90/2024).