La Direttiva NIS2 è pienamente operativa in Italia dal 2025 e nel 2026 l’ACN (Agenzia per la Cybersicurezza Nazionale) ha avviato le prime verifiche di conformità sulle organizzazioni soggette alla normativa. Molte PMI italiane sottovalutano l’impatto: la NIS2 si applica a un numero molto maggiore di aziende rispetto alla precedente NIS, con sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale.
Chi è soggetto alla NIS2
La direttiva si applica a organizzazioni con più di 50 dipendenti o fatturato superiore a 10 milioni di euro nei settori considerati critici: energia, trasporti, settore bancario, infrastrutture digitali, servizi ICT, pubblica amministrazione, e molti altri. Anche i fornitori di servizi IT e i system integrator che servono organizzazioni essenziali rientrano nell’ambito.
Le aziende soggette devono registrarsi sulla piattaforma ACN e implementare misure di sicurezza specifiche, tra cui: gestione del rischio cyber documentata, piani di risposta agli incidenti, sicurezza della supply chain ICT, e notifica degli incidenti significativi entro 24 ore.
Le misure tecniche obbligatorie
- Politiche di gestione del rischio cyber con revisione annuale documentata
- Autenticazione a più fattori (MFA) su tutti i sistemi critici
- Cifratura dei dati sensibili in transito e a riposo
- Piani di backup e disaster recovery testati periodicamente
- Procedure di vulnerability management e patch management strutturate
- Formazione periodica del personale sulla cybersicurezza
Next Technology Srl affianca le PMI nel percorso di conformità NIS2: dalla gap analysis iniziale all’implementazione delle misure tecniche. Contattaci per una valutazione della tua situazione.