Immaginate questa scena: è lunedì mattina, ore 7.30.
In una piccola azienda manifatturiera, le linee di produzione si fermano improvvisamente.
I macchinari – interconnessi attraverso il sistema informativo – non rispondono. Il personale IT scopre che un attacco informatico ha compromesso il sistema di controllo industriale.
Un tempo questo tipo di attacco sembrava un rischio solo per le grandi aziende. Oggi, invece, può colpire chiunque.
Per rispondere a minacce sempre più sofisticate, l’Unione Europea ha introdotto la Direttiva NIS2, che amplia le responsabilità delle imprese in tema di cybersicurezza.
Ma cosa cambia davvero per le aziende italiane?
Chi è coinvolto?
E soprattutto: come possiamo prepararci in tempo per trasformare un obbligo in un’opportunità di crescita e protezione?
1. Cos’è la NIS2 e chi coinvolge.
Ne abbiamo già parlato in precedenti articoli, che potete rileggere nel Blog HubFocus.
Facciamo una rapida sintesi:
La Direttiva NIS2 (Network and Information Security) è l’evoluzione della normativa NIS del 2016 e ha l’obiettivo di rafforzare la sicurezza delle infrastrutture digitali in tutta l’Unione Europea.
A differenza della precedente, la NIS2:
– Amplia notevolmente la platea dei soggetti coinvolti,
– Include nuove categorie di imprese: non solo operatori dei servizi essenziali, ma anche aziende digitali, manifatturiere, sanitarie, fornitrici di servizi ICT, pubbliche amministrazioni e molte altre,
– Stabilisce obblighi più stringenti e introduce sanzioni importanti.
In Italia, entro il 31 maggio 2025, le imprese notificate come soggetti NIS2 dovranno completare la registrazione sulla piattaforma dell’ACN (Agenzia per la Cybersicurezza Nazionale) e fornire i dati richiesti. La registrazione sarà poi aggiornata ogni anno.
2. Cosa succede tra aprile e maggio 2025.
Nel mese di maggio 2025, l’ACN fornirà indicazioni operative fondamentali:
– Modalità di attuazione delle misure di sicurezza informatica,
– Procedure di notifica degli incidenti,
– Criteri per identificare le imprese soggette alla normativa.
In questa fase, l’ACN diventa di fatto il “regista” dell’adeguamento alla NIS2, tracciando un percorso chiaro ma impegnativo per tutte le realtà coinvolte.
3. Le scadenze principali, in questa seconda fase al 31 maggio 2025.
Le imprese dovranno completare la registrazione sulla piattaforma dell’ACN, fornendo tutte le informazioni richieste.
Questa registrazione sarà da aggiornare ogni anno, tra gennaio e febbraio.
4. Obblighi operativi per le aziende.
Essere inclusi nell’elenco NIS2 comporta una serie di responsabilità ben precise:
Implementazione di misure di sicurezza
Le aziende dovranno adottare misure tecniche e organizzative adeguate alla gestione dei rischi cyber, che includano:
– Protezione da incidenti e accessi non autorizzati,
– Continuità operativa,
– Gestione delle vulnerabilità,
– Monitoraggio delle reti e dei sistemi.
Notifica degli incidenti
In caso di eventi che impattino in modo significativo sui servizi erogati, le aziende saranno obbligate a notificare tempestivamente l’ACN.
Formazione e cultura digitale
La compliance non è solo tecnica: coinvolge anche le persone.
È essenziale promuovere formazione continua e una cultura aziendale orientata alla sicurezza in tutti i reparti.
5. Cosa possiamo fare (da subito).
Adeguarsi alla NIS2 non è un adempimento burocratico, ma un investimento nella resilienza dell’impresa.
Per prepararsi in modo efficace è consigliabile:
– Effettuare un audit IT interno (infrastrutture, processi, fornitori),
– Valutare i rischi aziendali legati alla sicurezza informatica,
– Redigere una prima roadmap di adeguamento,
– Coinvolgere il personale con attività di sensibilizzazione e formazione.
6. Come può supportarti HubConnect.
In HubConnect accompagniamo le imprese in ogni fase dell’adeguamento alla Direttiva NIS2:
– Valutazione del perimetro aziendale soggetto alla direttiva,
– Supporto nella nomina del referente e nella definizione delle policy,
– Stesura della documentazione tecnica e organizzativa,
– Formazione del personale,
– Assistenza continuativa su governance e sicurezza IT.
Conclusione
Maggio 2025 rappresenta una tappa cruciale per le imprese italiane.
Prepararsi oggi significa tutelarsi domani.
La Direttiva NIS2 è un’opportunità per rafforzare i propri sistemi, proteggere dati e reputazione, e strutturare processi più solidi in un contesto in cui il rischio cyber è sempre più concreto.
Hai bisogno di capire se la tua azienda è soggetta alla NIS2 o da dove partire?
Contattaci: siamo a disposizione per una valutazione preliminare e per costruire insieme un percorso efficace e sostenibile verso la conformità.