Risorse · NIS2
La NIS2, senza gergo.
Cos’è la NIS2
La NIS2 (D.Lgs. 138/2024) alza il livello minimo di cybersicurezza per le aziende di settori critici e importanti. Chi è coinvolto deve adottare misure di sicurezza, notificare gli incidenti e dimostrarlo in caso di ispezione.
Chi è coinvolto
Soggetti essenziali
Aziende grandi nei settori ad alta criticità: energia, trasporti, sanità, infrastrutture digitali. Catalogo di misure più ampio.
Soggetti importanti
Medie imprese di settori rilevanti e fornitori di servizi digitali. Stessi principi, obblighi proporzionati.
Come ti portiamo alla conformità
Un percorso guidato in 6 passi: dai tuoi dati al pacchetto di conformità.
1. Profilo e classificazione
Inserisci i dati dell’azienda: calcoliamo se sei soggetto essenziale o importante e quali misure ti spettano.
2. Processi e asset
Mappi cosa fa l’organizzazione e cosa devi proteggere, così ogni asset ha la sua rilevanza.
3. Rischi e misure
Per ogni rischio colleghi la misura ACN che lo presidia, con fonte e motivazione a supporto della scelta.
4. Documenti e policy
Generi le politiche dai tuoi dati, pronte per la revisione e l’approvazione degli organi di amministrazione.
5. Operatività e incidenti
Raccogli le evidenze, tieni le scadenze ricorrenti sotto controllo e prepari le notifiche nei tempi CSIRT.
6. Pacchetto ispezione
Un indice sempre aggiornato e pronto da esibire: niente archivi costruiti all’ultimo momento.
Cosa si rischia
Sanzioni fino a 10 milioni € o il 2% del fatturato globale (7 milioni € / 1,4% per i soggetti importanti). Gli organi di amministrazione rispondono di persona e possono essere sospesi dalle funzioni dirigenziali.
Le scadenze
- Registrazione sulla piattaforma ACN nelle finestre annuali (gennaio–febbraio).
- Capacità di notifica degli incidenti operativa entro 9 mesi e misure di sicurezza adottate entro 18 mesi dalla comunicazione ACN.
Domande frequenti
Le FAQ ufficiali dell’ACN sulla NIS2, organizzate per tema e consultabili con la ricerca.
Documenti ufficiali
I testi ufficiali ACN — decreto, determinazione, misure di base, gestione incidenti, categorizzazione e framework — consultabili in anteprima e scaricabili.
Normativa2
Decreto di recepimento e determinazione attuativa.
Misure di sicurezza5
Misure e specifiche di base per soggetti essenziali e importanti.
Gestione incidenti3
Processo di gestione e incidenti significativi di base.
Categorizzazione3
Modello di elencazione e categorizzazione di attività e servizi.
Framework1
Framework Nazionale per la Cybersicurezza e la Data Protection.
Documenti ufficiali pubblicati dall’Agenzia per la Cybersicurezza Nazionale (ACN). Riprodotti a scopo informativo; per la versione vigente fa fede la fonte ufficiale su acn.gov.it.
Vuoi sapere se la NIS2 riguarda te?
Scoprilo in pochi minuti con il self-assessment.
Fonte: D.Lgs. 138/2024 (recepimento della Direttiva UE 2022/2555).