FAQ
Domande frequenti sulla conformità NIS2 per le PMI
La conformità alla NIS2 solleva spesso dubbi e domande, soprattutto per le piccole e medie imprese che vogliono restare competitive nel mercato. In questa sezione, rispondiamo alle principali questioni per aiutarti a comprendere come i nostri servizi possono supportarti nel raggiungimento degli standard di sicurezza richiesti e proteggere il tuo business dalle conseguenze di una mancata conformità.
Ti ricordiamo che i nostri esperti sono a tua disposizione per chiarire dubbi e rispondere a domande.
1. Aspetti generali
1.1 Cos’è la Direttiva NIS2 e a cosa serve?
La direttiva NIS2 (Network and Information Security Directive 2) è una normativa europea adottata per migliorare la sicurezza informatica e la resilienza delle infrastrutture critiche nell’UE. Essa aggiorna e amplia il campo di applicazione della precedente direttiva NIS del 2016.
In Italia, il recepimento della direttiva NIS2 è stato formalizzato con il Decreto Legislativo n. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024.
1.2 Quando entrerà in vigore la Direttiva NIS2 in Italia?
La Direttiva NIS2 è già operativa a livello europeo dal 16 gennaio 2023. Tuttavia, gli Stati membri, inclusa l’Italia, devono recepirla nel proprio ordinamento entro il 17 ottobre 2024, momento in cui diventerà pienamente applicabile a livello nazionale.
1.3 Quali sono i principali obiettivi della Direttiva NIS2?
I principali obiettivi della Direttiva includono:
- Proteggere le infrastrutture critiche e i servizi essenziali.
- Stabilire standard uniformi di sicurezza informatica in tutta l’UE.
- Migliorare il coordinamento tra le autorità nazionali in materia di cybersecurity.
- Estendere gli obblighi a un maggior numero di settori e organizzazioni.
1.4 Qual è l’ente responsabile per la sicurezza informatica in Italia?
In Italia, il coordinamento in materia di sicurezza informatica è affidato al CSIRT Italia, che svolge un ruolo centrale nella gestione degli incidenti e nella promozione di una maggiore consapevolezza e resilienza informatica a livello nazionale.
1.5 Quali sono gli organi di controllo nei diversi settori?
Ogni settore critico è supervisionato da un’autorità competente designata. Ad esempio:
- L’energia è sotto la supervisione di ARERA.
- Le telecomunicazioni sono regolate da AGCOM.
- La finanza è monitorata da Banca d’Italia.
Questi organi vigilano sull’adozione delle misure di sicurezza e sull’applicazione della normativa.
1.6 Quali obblighi devono rispettare le aziende?
Le organizzazioni interessate devono:
- Implementare misure di sicurezza per proteggere i loro sistemi informativi.
- Notificare tempestivamente eventuali incidenti informatici rilevanti.
- Eseguire valutazioni regolari del rischio e aggiornare i propri processi di cybersecurity.
Gli obblighi entreranno in vigore con il recepimento della Direttiva nel diritto italiano.
1.7 Quali sono le principali date da ricordare?
- 16 gennaio 2023: pubblicazione ufficiale della Direttiva NIS2 a livello UE.
- 17 ottobre 2024: termine per il recepimento della Direttiva da parte degli Stati membri.
- 2024-2025: implementazione degli obblighi specifici per le organizzazioni coinvolte, in base ai decreti attuativi nazionali.
2. Ambito di applicazione
2.1 Quali settori e aziende rientrano nell’ambito di applicazione della Direttiva NIS2?
La Direttiva NIS2 riguarda aziende di settori considerati essenziali (energia, trasporti, sanità, approvvigionamento idrico, finanza, ecc.) e settori importanti (manifatturiero, fornitori di servizi digitali, rifiuti, ecc.). Anche molte PMI della supply chain potrebbero essere coinvolte, soprattutto se collaborano con aziende più grandi in questi settori.
2.2 Qual è la differenza tra soggetti essenziali e importanti?
- Soggetti essenziali: sono aziende o enti che operano in settori critici e il cui malfunzionamento potrebbe avere un grave impatto sulla sicurezza e sulla società.
- Soggetti importanti: svolgono attività rilevanti ma con un impatto meno critico rispetto ai soggetti essenziali. Tuttavia, anche loro devono rispettare obblighi di sicurezza informatica.
2.3 Come posso capire se la mia azienda è una micro, piccola o media impresa?
Puoi verificare la dimensione della tua azienda in base a questi parametri:
- Microimprese: meno di 10 dipendenti e fatturato annuo inferiore a 2 milioni di euro.
- Piccole imprese: meno di 50 dipendenti e fatturato annuo inferiore a 10 milioni di euro.
- Medie imprese: meno di 250 dipendenti e fatturato annuo inferiore a 50 milioni di euro o un bilancio totale inferiore a 43 milioni di euro.
2.4 Le micro e piccole imprese devono rispettare la Direttiva NIS2?
In generale, le micro e piccole imprese sono escluse. Tuttavia, se la tua azienda opera in un settore critico o fornisce servizi essenziali, potrebbe comunque essere coinvolta, in particolare se svolge attività rilevanti per la supply chain.
2.5 Quali medie e grandi imprese devono conformarsi alla Direttiva NIS2?
Tutte le medie e grandi imprese che operano in settori essenziali o importanti devono rispettare la normativa. È quindi fondamentale valutare se la tua azienda rientra in questi ambiti per evitare sanzioni.
2.6 Quali pubbliche amministrazioni sono interessate dalla Direttiva NIS2?
La Direttiva si applica anche alle pubbliche amministrazioni che forniscono servizi essenziali o gestiscono infrastrutture critiche. L’elenco preciso sarà definito dai decreti attuativi nazionali.
2.7 Quali organizzazioni del settore pubblico sono incluse?
Rientrano le organizzazioni pubbliche che forniscono servizi chiave nei settori regolamentati, come sanità, trasporti e gestione delle emergenze. Se collabori con enti pubblici, la tua PMI potrebbe essere interessata.
2.8 Le organizzazioni europee rientrano nell’ambito della Direttiva NIS2?
Sì, tutte le organizzazioni che operano in un Paese UE in settori regolamentati devono rispettare la Direttiva, incluse le loro filiali italiane.
2.9 Le aziende di Paesi extra-UE devono rispettare la Direttiva NIS2?
Le aziende extra-UE sono coinvolte solo se offrono servizi o operano all’interno dell’UE in settori essenziali o importanti. In tal caso, devono adeguarsi alla normativa del Paese UE in cui operano.
2.10 Quali aziende estere non sono incluse nella Direttiva NIS2?
Sono escluse le aziende che non operano né offrono servizi all’interno dell’UE o che non appartengono ai settori regolamentati dalla Direttiva.
2.11 Esiste un elenco dei codici ATECO o NACE per determinare se la mia azienda è coinvolta?
Sì, i decreti attuativi italiani forniranno un elenco dei codici ATECO/NACE rilevanti. Controllare il codice della tua attività sarà un passaggio cruciale per capire se sei soggetto alla normativa.
2.12 Come si determina se l’attività principale dell’azienda rientra nell’ambito della Direttiva?
La normativa considera prevalente l’attività che genera la maggior parte del fatturato o che ha il maggiore impatto sulla sicurezza. Le attività secondarie sono generalmente escluse.
2.13 I servizi o le attività tra aziende dello stesso gruppo sono inclusi?
Se la tua PMI fa parte di un gruppo e fornisce servizi critici o gestisce infrastrutture essenziali, tali attività potrebbero essere soggette alla Direttiva. È importante verificare il ruolo specifico che svolgi all’interno del gruppo.
2.14 Come si applica la Direttiva NIS2 alla supply chain?
La Direttiva NIS2 attribuisce grande importanza alla sicurezza della supply chain, poiché un attacco informatico a un fornitore può compromettere l’intero ecosistema aziendale. Se la tua PMI fornisce beni, servizi o infrastrutture a organizzazioni che operano in settori essenziali o importanti, potresti rientrare negli obblighi previsti dalla normativa. Questo significa che:
- Dovrai adottare misure di sicurezza per proteggere i tuoi sistemi informatici.
- Potresti essere soggetto a controlli da parte dei tuoi clienti o delle autorità competenti.
- Sarà fondamentale garantire la continuità operativa e prevenire vulnerabilità che potrebbero impattare sui tuoi partner.
3. Registrazione alla piattaforma ACN
3.1 Chi deve registrarsi sulla piattaforma ACN?
Tutte le organizzazioni che rientrano nell’ambito di applicazione della Direttiva NIS2, comprese le PMI che operano in settori essenziali o importanti, devono registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). La registrazione è un passo fondamentale per notificare le autorità e iniziare il percorso di conformità.
3.2 Quali sono le scadenze per la registrazione sulla piattaforma ACN?
Le scadenze specifiche saranno definite dai decreti attuativi nazionali. Tuttavia, è importante prepararsi in anticipo, poiché la registrazione sarà obbligatoria subito dopo il recepimento della Direttiva, previsto entro ottobre 2024.
3.3 Dopo la registrazione sulla piattaforma ACN sarò automaticamente un “soggetto NIS”?
No, la registrazione non significa automaticamente essere classificati come “soggetti NIS”. Sarà l’ACN a determinare ufficialmente se la tua organizzazione rientra nella categoria, sulla base delle informazioni fornite.
3.4 Quali criteri devo seguire per designare il Punto di Contatto?
Il Punto di Contatto deve essere una persona affidabile, con competenze tecniche o gestionali in ambito di sicurezza informatica, e deve fungere da tramite con l’ACN per notifiche e comunicazioni. In molte PMI, questa figura potrebbe coincidere con un responsabile IT o un consulente esterno qualificato.
3.5 Quali informazioni sono necessarie per registrarsi sulla piattaforma?
Durante la registrazione, dovrai fornire:
- Dati aziendali (denominazione, sede legale, codice fiscale).
- Settore di appartenenza e attività svolte.
- Dati del Punto di Contatto designato (nome, ruolo, recapiti).
- Altre informazioni specifiche richieste dalla normativa.
3.6 Per le pubbliche amministrazioni cambia qualcosa nel processo di registrazione?
Sì, le pubbliche amministrazioni incluse nell’Allegato III della Direttiva potrebbero avere requisiti aggiuntivi o procedure specifiche, che saranno dettagliate nei decreti attuativi.
3.7 Se faccio parte di un gruppo di imprese, cambia qualcosa nella registrazione?
Se la tua PMI è collegata ad altre imprese o fa parte di un gruppo, potrebbero essere richiesti dettagli aggiuntivi sulla struttura del gruppo, le attività svolte e i rapporti tra le aziende.
3.8 Quali competenze deve avere il Punto di Contatto?
Il Punto di Contatto deve avere:
- Conoscenze di base sulla sicurezza informatica e sulla Direttiva NIS2.
- Capacità di gestire le comunicazioni con le autorità competenti.
- Disponibilità a intervenire tempestivamente in caso di notifiche o richieste.
3.9 Una persona può essere il Punto di Contatto per più organizzazioni?
Sì, è possibile, soprattutto se si tratta di un consulente esterno che supporta più PMI o enti. Tuttavia, è importante garantire che questa persona sia in grado di gestire efficacemente tutte le responsabilità.
3.10 Chi possono delegare come Punto di Contatto i soggetti che designano un rappresentante nell’Unione?
I soggetti che devono designare un rappresentante nell’UE possono nominare un professionista o un’azienda con competenze legali e tecniche, in grado di adempiere agli obblighi di comunicazione e sicurezza previsti.
3.11 Qual è la procedura per ottenere le credenziali di accesso al portale ACN senza SPID?
Per chi non dispone di SPID, l’ACN fornirà una procedura alternativa per l’accesso al portale, che potrà includere l’uso di sistemi di autenticazione tramite e-mail certificata o identificazione diretta.
3.12 Qual è la procedura per designare un rappresentante nell’UE in Italia?
Le aziende estere che operano in Italia devono indicare un rappresentante locale, fornendo all’ACN i dettagli del soggetto designato. Questo rappresentante sarà responsabile delle comunicazioni con le autorità italiane.
3.13 Come si gestisce la designazione del rappresentante nell’UE per gruppi di imprese italiani con società estere?
Per gruppi di imprese italiani che controllano società estere, il rappresentante deve essere scelto considerando il soggetto che ha maggiore rilevanza operativa o giuridica per adempiere agli obblighi previsti dalla Direttiva.
3.14 Come può una PMI semplificare la gestione di queste procedure?
Le PMI possono affidarsi a consulenti esperti in Direttiva NIS2 per assistere nella registrazione, nella designazione del Punto di Contatto e nella conformità generale, riducendo così il carico amministrativo e tecnico. Scopri tutti i nostri servizi (link alla pagina servizi).