La direttiva UE n. 2555/2022, conosciuta meglio come Nis 2, ha come obiettivo quello di uniformare il livello di cybersecurity in tutti i Paesi membri, introducendo nuovi obblighi per le organizzazioni che operano in determinati settori, considerati critici o altamente critici. Un potenziale incidente informatico potrebbe, infatti, esporli a minacce gravi e sistematiche causando l’interruzione della fornitura di servizi essenziali per la società.
NIS 2: cosa è stato fatto finora
La prima fase di adempimenti, conclusasi lo scorso 28 febbraio 2025, prevedeva, innanzitutto, la registrazione sulla piattaforma messa a disposizione dall’Agenzia Cybersicurezza Nazionale (ACN) al fine di stilare un elenco dei soggetti inclusi nel perimetro Nis 2.
La seconda fase NIS 2: scadenza 31 maggio 2025
La seconda fase, si è aperta il 15 aprile, con termine il prossimo 31 maggio 2025 e prevede l’obbligo di fornire o aggiornare le informazioni relative alle attività e ai servizi necessari per la corretta classificazione e assegnazione del livello di importanza dei soggetti già registrati. Dunque, entro tale data, dovranno essere integrate le seguenti indicazioni:
- Nomina di un sostituto punto di contatto, con le stesse modalità con cui è stato inizialmente designato il punto di contatto. Egli/ella dovrà essere dotato/a di SPID per compiere tutte quelle operazioni di aggiornamento e di collaborazione/contatto con l’Autorità, ad eccezione della registrazione, agendo in supporto o in sostituzione del punto di contatto;
- Nominativi dei componenti degli organi amministrativi e direttivi, responsabili delle violazioni della Direttiva, con i relativi indirizzi e-mail, codici fiscali, telefoni, pec. In particolare: se presente il CDA, è richiesto di indicare tutti i dati personali e di contatto (indirizzo pec personale) del Presidente del CDA e dei singoli consiglieri; se il soggetto NIS non ha un CDA, occorrerà indicare i dati personali e di contatto dell’amministratore unico ovvero del legale rappresentante del soggetto NIS;
- Indirizzamento IP pubblico e nomi di dominio in uso della società: è necessario indicare tutti gli indirizzi IP assegnati alla società, ad esempio, quelli legati alle linee internet, servizi Datacenter, etc., nonché tutti i Domini DNS registrati con intestatario la società;
- L’elenco delle sedi dei Paesi UE a cui sono forniti i servizi/prodotti critici rientranti nei settori della Direttiva NIS;
- Segreteria, la cui nomina è facoltativa, persona fisica in supporto al punto di contatto e al sostituto del punto di contatto per facilitare le operazioni;
- Accordi di condivisione, su base volontaria fra soggetti NIS: si tratta di uno scambio di informazioni, anche sensibili, relativi alla sicurezza informatica della propria organizzazione.
La seconda fase, quindi, concede l’opportunità per le organizzazioni già registrate e risultanti soggetti importanti o essenziali, di verificare la validità delle informazioni dichiarate e/o mancanti durante la prima fase di registrazione alla piattaforma.
Tuttavia, l’autorità competente NIS ha riaperto la possibilità per gli enti tardivi rispetto la data del 28 febbraio scorso, di procedere con la registrazione alla piattaforma dedicata, entro e non oltre il 31 maggio 2025.
Hai dubbi sugli adempimenti? Non aspettare l’ultimo minuto!
Il nostro team di esperti in cybersecurity è pronto ad affiancarti passo dopo passo per garantirti una gestione corretta e senza rischi delle nuove scadenze. Contattaci oggi stesso: una semplice verifica può fare la differenza tra conformità e sanzioni.