Con il D. lgs. 138/2024, entrato in vigore il 16.10.2024, l’Italia ha recepito la Direttiva UE 2022/2555 (c.d. Direttiva NIS 2) che mira a garantire un elevato livello comune di cybersicurezza nell’Unione Europea.

La nuova normativa trova applicazione nei confronti di una vasta gamma di settori e organizzazioni, sia pubbliche che private, estendendosi all’intera infrastruttura ICT dei soggetti, distinti tra essenziali e importanti in relazione al livello di criticità delle attività svolte e del settore in cui operano.

Il Decreto individua i soggetti obbligati sulla base di determinati criteri (dimensioni e tipologia di soggetto), con estensione anche alle micro e piccole imprese che, indipendentemente dalle loro dimensioni, forniscono servizi a soggetti essenziali o importanti o servizi ritenuti critici dalla stessa ACN, su proposta delle Autorità di settore.

I soggetti NIS hanno l’obbligo di autodichiararsi e registrarsi sulla piattaforma digitale dell’Autorità per la Cybersicurezza Nazionale (ACN) entro il 28 febbraio di ogni anno, a partire dal 2025 e, una volta riconosciuti come soggetti NIS, sono chiamati ad effettuare l’aggiornamento annuale delle informazioni entro il 31 maggio di ogni anno. Inoltre, a partire da gennaio 2026 saranno soggetti all’obbligo di notifica degli incidenti significativi e, entro settembre 2026, dovranno aver adottato le misure di sicurezza di base di cui alla Determina ACN n. 164179 del 14 aprile 2025.

Le violazioni delle disposizioni NIS 2 possono comportare sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo, per i soggetti essenziali, o fino a 7 milioni di euro o l’1,4% del fatturato annuo, per i soggetti importanti e sanzioni accessorie per i dirigenti, inclusa l’incapacità a svolgere funzioni dirigenziali.

All’ACN è stata affidata l’attività di monitoraggio, vigilanza, nonché l’esercizio del potere di esecuzione.

La LPM Consulting srl affianca e supporta le imprese a conformarsi in materia di NIS 2.