Direttiva NIS2 e PMI: guida pratica a obblighi e responsabilità per la sicurezza dei dati

«Circa il 99% delle aziende produttive in Veneto sono piccole, micro o medie imprese. La normativa NIS2, al momento, si applica solo alle realtà con più di 50 dipendenti, ma coinvolge anche  le aziende di dimensioni inferiori che siano ritenute fornitori essenziali di aziende più grandi di settori strategici» spiega Maria Carlesi, Presidente di Confimi Industria Veneto.

Con queste parole Maria Carlesi introduce il tema della Direttiva NIS2 e delle sue implicazioni per il sistema produttivo nazionale, che sarà oggetto del convegno L’applicazione della Direttiva NIS2 per la sicurezza delle reti e dei sistemi informatici, in programma il 29 ottobre alla Fiera A&T – Automation & Testing di Vicenza.

L’incontro, rivolto a imprese e professionisti, si terrà in presenza e sarà trasmesso anche in diretta streaming. Saranno presenti i rappresentatati delle istituzioni e delle associazioni di categoria. Tra gli ospiti: Alessio Butti, Sottosegretario alla Presidenza del Consiglio dei ministri per l’Innovazione tecnologica e la Transizione digitale; Roberto Ciambetti, Presidente del Consiglio Regionale del Veneto; Elena Donazzan, VicePresidente Commissione Industria Parlamento Europeo e Milena Antonella Rizzi, Capo del Servizio di Regolazione ACN (Agenzia per la Cybersicurezza Nazionale).

Per vedere il programma completo dell’evento e per prenotare il tuo posto, clicca qui.

Cybersecurity: la Direttiva NIS2 ridisegna le regole della sicurezza digitale in Italia

La Direttiva NIS2 è stata recepita in Italia con il Decreto Legislativo n. 138 del 3 settembre 2024 (cosiddetto Decreto NIS), pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Successivamente, il DPCM n. 221 del 10 dicembre 2024, pubblicato in Gazzetta Ufficiale il 10 febbraio 2025 ed entrato in vigore l’11 febbraio 2025, ha definito i criteri di applicazione della clausola di salvaguardia prevista dal decreto, completando un passaggio fondamentale del quadro attuativo.

La Direttiva NIS2 ha l’obiettivo di rafforzare la sicurezza informatica all’interno dell’Unione europea, introducendo nuovi obblighi per imprese e amministrazioni pubbliche che operano nei settori considerati essenziali o importanti. Le misure puntano a garantire una protezione più efficace delle reti e dei sistemi informativi, migliorando la resilienza complessiva delle infrastrutture digitali nazionali.

Direttiva NIS2 e PMI: le principali differenze rispetto alla NIS precedente

Rispetto alla prima Direttiva NIS, la NIS2 amplia il numero di settori coinvolti, includendo sia quelli considerati altamente critici (come energia, trasporti, sanità, settore bancario, gestione delle risorse idriche e infrastrutture digitali) sia quelli critici (come produzione alimentare, servizi postali e corrieri, piattaforme di social network), suddivisi a loro volta in altre due due categorie principali: i soggetti essenziali operanti in settori altamente critici (grandi aziende e PMI di interesse strategico) e i soggetti importanti attivi in settori critici (PMI operanti in settori rilevanti).

La Direttiva NIS2 punta a rendere l’Europa più sicura dal punto di vista digitale. L’obiettivo è creare regole comuni per la protezione delle reti e dei sistemi informativi, così da evitare differenze tra i vari Paesi e migliorare la capacità di risposta a incidenti e minacce informatiche in tutto il continente.

Direttiva NIS2: obblighi, responsabilità e sanzioni per imprese e pubbliche amministrazioni

La Direttiva NIS2 stabilisce un insieme di regole, obblighi e sanzioni con l’obiettivo di rafforzare la sicurezza informatica sia nelle imprese che nelle pubbliche amministrazioni. In pratica, mira a creare un sistema più solido e coordinato per proteggere reti e dati da minacce e attacchi informatici. Le sue disposizioni riguardano i soggetti che operano nei settori essenziali e importanti individuati dalla normativa. In particolare, coinvolgono le piccole e medie imprese con più di 50 dipendenti e 10 milioni di euro di fatturato annuo. Anche realtà più piccole possono essere incluse, se forniscono servizi o componenti critici a organizzazioni considerate essenziali, in base alla clausola di salvaguardia prevista dal decreto di recepimento.

Le organizzazioni pubbliche e private interessate sono tenute ad adottare misure efficaci di gestione del rischio, mettendo in atto politiche (policy formali) e procedure di sicurezza volte a individuare e mitigare i rischi legati alla protezione delle reti e dei sistemi informativi. Inoltre, sono tenute a nominare un referente per la cybersecurity – incaricato di supervisionare e attuare le misure di sicurezza – a garantire un’adeguata formazione del personale per il riconoscimento e la gestione delle minacce informatiche e a porre particolare attenzione alla sicurezza della supply chain, garantendo che anche i fornitori e i partner rispettino standard di sicurezza adeguati.

Le organizzazioni pubbliche e private interessate sono tenute altresì a segnalare tempestivamente all’Agenzia per la Cybersicurezza Nazionale (ACN) ogni incidente che possa avere un impatto significativo sulla fornitura dei servizi, inclusi quelli che compromettano la continuità operativa. La prima notifica deve essere inviata entro 24 ore dalla rilevazione dell’incidente, seguita da un aggiornamento intermedio e da una relazione finale, secondo le modalità stabilite dall’ACN.

Il mancato rispetto degli obblighi relativi all’adozione delle misure di sicurezza o alla notifica degli incidenti può comportare sanzioni amministrative fino a 10 milioni di euro, o al 2% del fatturato mondiale annuo complessivo per i soggetti essenziali, e fino a 7 milioni di euro, o all’1,4% del fatturato per i soggetti importanti.

Convegno gratuito sulla Direttiva NIS2: impatti e opportunità per la sicurezza informatica nelle PMI

Per approfondire le implicazioni della Direttiva NIS2 e offrire strumenti concreti per l’adeguamento, Fondazione Fenice, in collaborazione con Confimi Industria Veneto e Logbot, organizza il convegno L’applicazione della Direttiva NIS2 per la sicurezza delle reti e dei sistemi informatici, che si terrà mercoledì 29 ottobre 2025, dalle ore 15:30 alle 16:30, presso la Fiera A&T – Automation & Testing di Vicenza. La partecipazione è gratuita, con iscrizioni aperte fino a esaurimento posti, sia in presenza sia online.

È un’occasione per approfondire la Direttiva NIS2, analizzare obblighi e implicazioni della Cybersecurity Industriale e approfondire lo stato dell’arte della norma IEC 62443. Durante il convegno verrà inoltre presentato il Laboratorio Demo presso lo stand di Confimi Industria.

Per vedere il programma completo dell’evento e per prenotare il tuo posto, clicca qui.