Hai scoperto che la tua organizzazione rientra nel perimetro della Direttiva NIS2, hai seguito gli adempimenti previsti fino ad oggi, e, adesso, terminate le vacanze estive, bisogna riprendere in mano la questione NIS2.

Ma, quindi, cosa occorre fare ora per rispettare i nuovi obblighi previsti? ed entro quali tempistiche?

Sono Eleonora Ranieri, avvocato a supporto di aziende e liberi professionisti, e, in questo articolo, approfondiremo, con indicazioni pratiche, come evitare il rischio di sanzioni per l’inadempimento degli obblighi previsti dalla normativa.

In quale qualificazione rientra la tua organizzazione?

Il punto di partenza è sapere come la tua organizzazione sia stata classificata dall’ ACN (Agenzia per la Cybersecurity Nazionale).

Al termine della procedura di iscrizione sul portale, infatti, ACN ha inviato una comunicazione nella quale ha indicato espressamente la classificazione come “soggetto importante” o “soggetto essenziale”.

Questa classificazione comporta una distinzione sugli adempimenti da seguire. I soggetti essenziali, infatti, dovranno seguire un maggior numero di obblighi.

Le prossime scadenze

• Entro il 31 dicembre 2025: adottare e formalizzare una procedura interna per la gestione degli incidenti di sicurezza.
• Entro aprile 2026: elaborare e adottare il modello di categorizzazione (per classificare le attività e i servizi dell’organizzazione in relazione agli obblighi della NIS 2) e definire gli obblighi a lungo termine;
• Entro settembre 2026: completare l’implementazione delle misure di sicurezza di base.

Quindi, cosa fare entro il 31 dicembre?

I soggetti NIS (sia importanti che essenziali) dovranno adottare e formalizzare una procedura interna per la gestione degli incidenti di sicurezza.

La suddetta procedura (che può anche essere scorporata in più procedure separate) deve, quantomeno, prevedere:

• cosa fare in caso di incidente di sicurezza e come arginare i danni;
• individuare le modalità di valutazione di eventi sospetti;
• indicare le modalità e le tempistiche di comunicazione all’ACN.

Tale procedura deve essere idonea a dimostrare all’Autorità per la Cybersicurezza Nazionale (ACN) che la società è in grado di individuare e affrontare potenziali eventi critici.

Infine, è importante che la procedura implementata venga comunicata ai responsabili interni e testata con esercitazioni pratiche al fine di renderla concretamente efficiente.

Quali sono le sanzioni per chi non si adegua alla Direttiva NIS2?

Le sanzioni previste per il mancato rispetto degli obblighi della Direttiva NIS2 sono piuttosto severe, al fine di incentivare l’adozione delle misure necessarie:

• per i soggetti essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’azienda, a seconda di quale cifra sia maggiore;
• per i soggetti importanti, le sanzioni possono raggiungere i 7 milioni di euro o l’1,4% del fatturato globale.

Per quanto riguarda, invece, le sanzioni penali si rimanda alla specifica legislazione prevista da ogni Stato Membro. In Italia, è prevista la reclusione fino a 7 anni per violazioni gravi della privacy.

Queste importi sanzioni sottolineano la serietà con cui la normativa intende promuovere la sicurezza informatica.

In conclusione

Il 31 dicembre 2025 non è una semplice data sul calendario ma una tappa concreta per l’attuazione della nuova normativa in materia di cybersicurezza e le società devono attivarsi con largo anticipo per recepire e produrre tutta la documentazione richiesta.

Orientarsi nel complesso quadro normativo può rappresentare una vera e propria sfida.

Per questo motivo, è fondamentale rivolgersi ad un avvocato che si occupi di protezione dei dati, il quale, grazie al coordinamento con i diversi professionisti coinvolti, può garantirti il completo rispetto dei requisiti previsti dalla normativa.

Se desideri essere compliant con la normativaNIS2 non esitare a contattarmi.