In seguito alla conferenza proposta da Fenice Accademy – Fondazione Fenice il 29 ottobre a Vicenza, un’anno dopo l’entrata in vigore della NIS2
Introduzione
La Direttiva NIS2, recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, rappresenta un’evoluzione significativa nel panorama della sicurezza informatica nazionale. Entrata in vigore il 16 ottobre 2024, essa amplia il campo d’azione della precedente normativa NIS, introducendo misure più rigorose e coinvolgendo un numero maggiore di settori e soggetti. Per la Pubblica Amministrazione, l’adeguamento alla NIS2 non è solo un obbligo normativo, ma una necessità strategica per garantire la continuità operativa, la protezione dei dati e la fiducia dei cittadini.
Contesto Normativo
La NIS2 nasce con l’obiettivo di garantire un livello elevato e uniforme di cybersecurity in tutta l’Unione Europea. In Italia, il recepimento tramite il D.Lgs. 138/2024 ha rafforzato il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN), attribuendole il compito di identificare le entità essenziali e importanti e di vigilare sull’applicazione delle misure previste. Il decreto include l’intera infrastruttura ICT, estendendo la protezione oltre i soli sistemi che erogano servizi essenziali.
Ambito di Applicazione
La normativa si applica a 18 settori, di cui 11 altamente critici e 7 critici, coinvolgendo oltre 80 tipologie di soggetti. Le entità sono classificate come ‘essenziali’ o ‘importanti’ in base al loro impatto sulla resilienza nazionale. Le medie e grandi imprese sono incluse, mentre le piccole e micro imprese sono escluse salvo casi strategici. Per la Pubblica Amministrazione, ciò implica l’inclusione di enti che gestiscono servizi fondamentali, infrastrutture critiche e dati sensibili.
Le entità sono suddivise in due categorie:
- Essenziali: quelle che forniscono servizi fondamentali per il funzionamento della società.
- Importanti: hanno un impatto rilevante sulla resilienza complessiva.
Scadenze e Tempistiche
Le scadenze previste dal decreto sono stringenti e richiedono un’attenta pianificazione:
– Entro il 28 febbraio 2025: censimento e registrazione presso l’ACN.
– Aprile 2025: pubblicazione dell’elenco definitivo dei soggetti NIS e definizione degli obblighi di base.
– Gennaio 2026: obbligo di notifica degli incidenti significativi.
– Ottobre 2026: implementazione delle misure di sicurezza avanzate, inclusa la gestione del rischio informatico.
Principali Obblighi
Le entità soggette alla NIS2 devono adottare misure tecniche e organizzative adeguate per la gestione dei rischi informatici. Tra gli obblighi principali si annoverano:
– Implementazione di sistemi di rilevazione e risposta agli incidenti.
– Notifica tempestiva degli incidenti significativi.
– Adozione di politiche di sicurezza coerenti con il NIST Cybersecurity Framework.
– Formazione del personale e aggiornamento continuo delle competenze.
Questi obblighi si traducono in un rafforzamento della governance digitale e nella necessità di investimenti mirati.
Sanzioni
La mancata conformità alla NIS2 comporta sanzioni amministrative pecuniarie rilevanti:
– Fino allo 0,1% del fatturato per mancata registrazione.
– Fino a 7 milioni di euro o l’1,4% del fatturato per soggetti importanti.
– Fino a 10 milioni di euro o il 2% del fatturato per soggetti essenziali.
Sono previste anche sanzioni accessorie per i dirigenti, inclusa l’incapacità a ricoprire ruoli dirigenziali.
Utilità Strategica per la Pubblica Amministrazione
L’adeguamento alla NIS2 offre alla Pubblica Amministrazione l’opportunità di rafforzare la propria resilienza digitale, migliorare la protezione dei dati e garantire la continuità dei servizi essenziali. L’adozione di un approccio multirischio, basato su framework riconosciuti, consente di affrontare le minacce emergenti con maggiore efficacia. Inoltre, la conformità alla normativa favorisce la trasparenza, la fiducia dei cittadini e la cooperazione interistituzionale.
Risorse Operative
Per supportare l’adeguamento, si segnalano le seguenti risorse:
– NIST Cybersecurity Framework: guida alla gestione dei rischi informatici.
– Portale ACN (www.acn.gov.it): informazioni normative, strumenti di registrazione, linee guida operative.
L’utilizzo di queste risorse è fondamentale per pianificare e monitorare il processo di conformità.
Conclusione
La Direttiva NIS 2 rappresenta “innovazione” per la sicurezza informatica nazionale. Per la Pubblica Amministrazione, l’adeguamento è un imperativo strategico che richiede impegno, pianificazione e investimenti. Prepararsi per tempo, formare il personale e adottare strumenti adeguati sono azioni indispensabili per trasformare un obbligo normativo in un vantaggio competitivo e in un servizio più sicuro per i cittadini.
I RELATORI DELLA CONFERENZA
Alessio Butti – Sottosegretario alla Presidenza del Consiglio dei ministri per l’Innovazione tecnologica e la Transizione digitale
La cybersicurezza non è più un costo accessorio ma un investimento strategico per innovazione e competitività. Serve protezione “by design”, anche per i fornitori più piccoli. Le regole internazionali diventano un passaporto per i mercati. Competenze, autonomia tecnologica e collaborazione pubblico-privato sono le chiavi per affrontare le sfide future.
Roberto Ciambetti – Presidente del Consiglio Regionale del Veneto
Il Presidente ha illustrato l’impegno del Veneto nella cyber-sicurezza: attuazione del CERT regionale, governance allineata alla NIS2, fondi per servizi e formazione, supporto alle PA e PMI. La NIS2 è vista come opportunità per rafforzare la filiera digitale, la sovranità tecnologica e la competitività. Proposti esercitazioni, capitolati ICT e percorsi formativi brevi.
Elena Donazzan – Vicepresidente della Commissione Industria del Parlamento Europeo
La cybersicurezza industriale richiede norme nazionali coerenti con il quadro europeo. Serve un equilibrio tra tecnologia, controllo umano e competenze. Il legislatore deve ascoltare gli operatori per creare regole efficaci. La formazione continua è cruciale: l’uomo resta centrale nel gestire limiti e responsabilità.
Maria Carlesi – Presidente di Confimi Industria Veneto
Le PMI venete investono molto nel digitale, ma trascurano la cybersicurezza. Solo il 15% ha un livello strutturato di protezione. La normativa NIS2 spaventa, ma è un’opportunità per riflettere sui rischi. Serve supporto concreto: formazione, sensibilizzazione e risorse economiche. La sicurezza è parte integrante della sostenibilità e competitività del sistema produttivo.
Milena Antonella Rizzi – Capo del Servizio di Regolazione ACN
Rizzi ha illustrato lo stato dell’arte dell’applicazione della NIS2 e della norma IEC 62443, evidenziando l’importanza della gradualità nell’adozione delle misure di sicurezza, la figura del referente PSIRT, e la necessità di una governance chiara. Ha sottolineato l’urgenza di attivare sistemi di monitoraggio per la notifica degli incidenti entro gennaio 2026.
Andrea Grigoletto – Direttore Tecnico Fondazione Fenice
Ha presentato le linee guida e le proposte formative per l’applicazione della direttiva NIS2, sottolineando l’importanza di proteggere le infrastrutture critiche e valorizzare il dato come asset strategico. Ha illustrato un percorso formativo in tre fasi (informativa, giuridica, pratica) per aiutare le aziende a posizionarsi correttamente rispetto alla normativa, promuovendo competenze interne e consapevolezza.
Davide Simionato – Direttore Generale Gruppo Halley Veneto
Ha evidenziato l’importanza di condividere regole e prassi con tutto il personale della PA per accrescere la consapevolezza del rischio cyber. Ha sottolineato che la sicurezza informatica deve essere integrata nella vita quotidiana, coinvolgendo leadership e dipendenti. La formazione continua e la simulazione di incidenti sono strumenti chiave per costruire una cultura aziendale resiliente.
Ing. Andrea Italo Maffioli – Logbot Srl
Ha illustrato una demo pratica di cybersecurity industriale basata sulla norma IEC 62443, evidenziando l’importanza di segmentare le reti, analizzare i rischi e formare il personale. Ha presentato un caso reale di applicazione in azienda, con un approccio su tre livelli: formazione, analisi e strumenti, per garantire sicurezza operativa e conformità normativa.
Il nostro gruppo: Halley Veneto Srl (soggetto importante), Boxxapps Srl (soggetto essenziale) e Accatre Srl (soggetto essenziale) sono pienamente conformi alla Direttiva NIS2. Questa conformità testimonia il nostro impegno concreto per la sicurezza digitale e la resilienza operativa, garantendo ai nostri partner e alla Pubblica Amministrazione servizi affidabili e protetti.
Ingresso NIS2 Halley Veneto
Ingresso NIS2 Boxxapps
Ingresso NIS2 Accatre