info@fondazionefenice.it
Chiama: (+39) 049 802 18 50 - Whatsapp: (+39) 351 329 30 05
Chiama: 049 802 18 50 - WhatsApp: 351 722 65 30
Lavora con noi Info e Contatti Area riservata

CONTACT


[contact-form-7 404 "Non trovato"]

Italia: arriva la prova della Direttiva NIS

6 Novembre 2025
in News
35

L’Italia è ufficialmente entrata nella seconda fase di attuazione della nuova Direttiva europea NIS (Direttiva (UE) 2022/2555), la normativa che punta a innalzare il livello di sicurezza delle reti e dei sistemi informatici in tutta l’Unione Europea. Con questa nuova tappa, le aziende italiane incluse nell’ambito di applicazione sono ora tenute a rispettare le scadenze previste: tra le principali, la registrazione nell’elenco dei soggetti NIS e la capacità di notificare gli incidenti di sicurezza secondo le procedure definite dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Una normativa che cambia il modo di pensare la sicurezza

Fino a pochi anni fa la cybersecurity era vista come un costo, un capitolo di spesa da affrontare solo in caso di emergenza. Oggi è una componente strategica per la sopravvivenza e la competitività delle imprese. Un attacco informatico può fermare la produzione, interrompere servizi essenziali e compromettere in modo irreparabile la fiducia dei clienti.

La nuova Direttiva europea NIS, approvata dall’Unione europea e recepita in Italia nel 2024, nasce proprio per prevenire questi scenari, introducendo un quadro comune di regole e responsabilità che coinvolge un numero crescente di imprese, anche quelle che non si sono mai considerate “obiettivi sensibili”.

Molte aziende hanno già piani di emergenza per incendi o infortuni, ma poche dispongono di procedure chiare per affrontare un cyberattacco. Eppure, le conseguenze possono essere altrettanto gravi: perdita di dati, blocco dei sistemi, fermo della produzione. Perseguire la conformità alle normative – dal GDPR alla nuova Direttiva europea NIS – significa dotarsi di una vera e propria checklist di processi, misure tecniche e organizzative che rendono l’impresa più resiliente.

Perché è così importante la nuova Direttiva europea NIS? La Direttiva amplia il campo d’applicazione e introduce due categorie di soggetti: gli “essential entities”, che operano in settori strategici come energia, trasporti, finanza o sanità, e gli “important entities”, che comprendono molte aziende ICT, cloud provider e realtà manifatturiere digitalizzate. Entrambe le categorie sono tenute ad adottare politiche di gestione del rischio informatico e garantire la continuità operativa in caso di incidente.

Il lavoro dell’ACN (Agenzia per la Cybersicurezza Nazionale) e il percorso di accompagnamento alle imprese

“È stato un percorso lungo e complesso”, spiega il Prefetto Milena Antonella Rizzi – Capo del Servizio di Regolazione dell’Agenzia per la Cybersicurezza Nazionale (ACN). Nel corso dell’ultimo anno, l’ACN ha svolto un’intensa attività di supporto ai soggetti rientranti nell’ambito di applicazione della Direttiva, per aiutarli a individuare correttamente la propria posizione rispetto alle oltre ottanta tipologie previste dal decreto legislativo n. 138 del 2024.
Il lavoro non si è limitato a fornire linee guida, ma ha coinvolto un costante dialogo con le organizzazioni datoriali e di settore. Attraverso le FAQ pubblicate sul sito istituzionale, l’Agenzia ha favorito l’autovalutazione delle imprese, un processo che – spiega il Prefetto Milena Antonella Rizzi – “richiede una profonda conoscenza dei propri processi produttivi e organizzativi”.

Ogni azienda è tenuta infatti a verificare in quale settore opera e se rientra tra quelli elencati negli allegati da uno a quattro del decreto. Se la risposta è affermativa e l’impresa ha una dimensione almeno media, è chiamata a registrarsi nell’elenco dei soggetti NIS. Un’attività apparentemente semplice, ma che comporta analisi e consapevolezza.

I numeri del primo anno di attuazione

L’impegno dell’Agenzia per la Cybersicurezza Nazionale è stato notevole: oltre 40.000 ticket di assistenza evasi e più di 20.000 soggetti NIS già censiti. Di questi, circa 5.000 rientrano nella categoria dei soggetti essenziali, mentre gli altri sono considerati soggetti importanti.

Il Prefetto Milena Antonella Rizzi sottolinea che “ogni richiesta di chiarimento sostanziale ha ricevuto risposta, anche se con tempi a volte lunghi, vista la mole di domande”. Un lavoro di ascolto e accompagnamento che ha permesso di costruire un primo elenco nazionale aggiornato, base fondamentale per la seconda fase di attuazione.

Le prossime scadenze: registrazioni, notifiche e nuovi obblighi

A un anno dal recepimento in Italia della Direttiva NIS, l’Agenzia per la Cybersicurezza Nazionale guarda già alla prossima tappa. L’Italia – evidenzia il Prefetto Milena Antonella Rizzi – è stata tra i primi Paesi fondatori dell’Unione Europea a recepire, entro il termine del 17 ottobre 2024, questa importantissima direttiva che mira a innalzare il livello di sicurezza cibernetica delle reti e dei sistemi nazionali.

A gennaio 2026 ripartirà la nuova campagna di registrazione, che comporterà due attività distinte: i soggetti già presenti nell’elenco dovranno aggiornare la propria descrizione e dichiarazione, mentre le imprese che nel 2025 hanno maturato i requisiti di appartenenza a un settore o tipologia NIS dovranno procedere alla registrazione entro il 2026.

Gennaio sarà inoltre un mese decisivo: entra infatti in vigore l’obbligo di notifica degli incidenti. I soggetti già iscritti – siano essenziali o importanti – dovranno segnalare gli eventi di sicurezza secondo le fattispecie rilevanti definite nelle specifiche tecniche degli obblighi di base adottate nell’aprile 2025.

Il percorso di attuazione proseguirà nel 2026 con l’implementazione delle misure di sicurezza e, soprattutto, con l’adozione del modello di categorizzazione. Quest’ultimo consentirà alle organizzazioni di applicare in modo proporzionato gli obblighi a lungo termine, graduati in base alla criticità dei servizi tutelati: ordinari, critici o altamente critici.

Serve più formazione sulla cybersecurity per affrontare le nuove sfide della Direttiva NIS

L’introduzione della nuova Direttiva europea NIS ha prodotto un profondo cambiamento culturale, innalzando la consapevolezza collettiva sull’importanza della protezione dai possibili attacchi informatici. Il Prefetto Milena Antonella Rizzi spiega che, se prima dell’entrata in vigore della NIS si poteva parlare di una conoscenza limitata del tema, oggi questo divario si è in parte colmato. Aggiunge inoltre che, accanto alla maggiore attenzione da parte delle imprese, è cresciuto anche il bisogno di formazione a tutti i livelli: dal top management agli amministratori di sistema, fino a tutto il personale aziendale.

“Esiste un forte bisogno di formazione, una formazione specifica che deve tuttavia differenziarsi in base ai destinatari a cui è rivolta. È evidente, infatti, che una formazione di alto livello debba essere indirizzata ai componenti dei consigli di amministrazione e alla pubblica amministrazione, anch’essa parte dei soggetti NIS. Parallelamente, una formazione più specialistica, mirata e dettagliata deve essere rivolta agli amministratori di sistema, ai progettisti di software e ad altre figure tecniche. Allo stesso tempo, è fondamentale prevedere una formazione di base, fondata anche sui principi della cyber hygiene, destinata a tutto il personale. Oggi, infatti, ciascuno di noi interagisce quotidianamente con la propria estensione digitale — che sia lo smartphone, il tablet o il computer — e pertanto è indispensabile che tutti siano consapevoli dei rischi a cui si è esposti e conoscano le contromisure da adottare per evitare di diventare vittime di un possibile attacco informatico”. Milena Antonella Rizzi – Capo del Servizio di Regolazione dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Formarsi per proteggere i dati e i sistemi informatici: la Masterclass sulla Sicurezza Industriale di Fenice Academy

Di fronte a un quadro normativo sempre più esigente, non basta più “sapere” cosa prevede la Direttiva NIS: serve saperla mettere in pratica. La Masterclass sulla Sicurezza Industriale: IT–OT + IEC 62443 di Fenice Academy nasce proprio con questo obiettivo, offrendo gli strumenti indispensabili per costruire un sistema di sicurezza realmente operativo, integrato e conforme agli standard internazionali.

La Masterclass è rivolta a professionisti coinvolti nella progettazione, integrazione, gestione e protezione di sistemi industriali automatizzati, tra cui ingegneri, system integrator, responsabili IT/OT, cybersecurity manager, industrial risk manager, operatori di impianti, product manager, sviluppatori IACS e responsabili della transizione digitale.

Argomenti Masterclass:

  • comprendere il contesto normativo europeo e internazionale vigente, includendo standard, direttive e responsabilità aziendali;
  • distinguere criticità e integrazione tra ambienti IT e OT, considerando architetture, processi e superfici d’attacco;
  • applicare framework di sicurezza industriale come IEC 62443, con focus su requisiti, livelli e best practice;
  • analizzare minacce, vulnerabilità e strategie di mitigazione OT, esplorando casi, trend e contromisure tecniche;
  • progettare un security program conforme e tecnicamente efficace, attraverso pianificazione, implementazione e monitoraggio continuo.

Richiedi ora tutte le informazioni sulla Masterclass e porta la sicurezza industriale della tua azienda al livello successivo. Clicca qui.

Share

Articoli consigliati