Cybersecurity e NIS2

La Direttiva (UE) 2022/2555 – nota come NIS2 – ha ridefinito il quadro europeo della cybersicurezza, imponendo obblighi stringenti a un numero sempre più ampio di soggetti pubblici e privati. In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024, che ha abrogato il precedente D.Lgs. 65/2018 e stabilito nuovi requisiti organizzativi, gestionali e documentali per garantire la sicurezza delle reti e dei sistemi informativi.

La normativa si applica a Pubbliche Amministrazioni centrali e locali, società a partecipazione pubblica, imprese private che operano in settori strategici come sanità, energia, trasporti, infrastrutture digitali e servizi pubblici, nonché a soggetti designati dall’ACN (Agenzia per la Cybersicurezza Nazionale), anche se di dimensioni ridotte.

Con la NIS2, la cybersicurezza non è più solo una questione tecnica, ma un obbligo strategico, legale e organizzativo. Le organizzazioni devono dotarsi di un sistema strutturato di gestione della sicurezza, con procedure precise, ruoli definiti e obblighi di notifica in caso di incidenti.

Cosa prevede in breve la normativa

Il nostro supporto

  • Designazione di un punto di contatto ufficiale presso l’ACN e aggiornamento della registrazione dell’ente;
  • Adozione di una politica interna di gestione del rischio, con analisi dei rischi informatici e misure proporzionate;
  • Definizione chiara dei ruoli in materia di cybersicurezza, con responsabilità condivise tra organi direttivi, IT e compliance;
  • Programmi di formazione e sensibilizzazione del personale sui temi della sicurezza informatica;
  • Implementazione di procedure per la gestione degli incidenti e per la segnalazione al CSIRT Italia entro 24 ore dall’evento, con report completo entro 72 ore;
  • Monitoraggio continuo dei fornitori e inserimento di clausole contrattuali specifiche per la sicurezza nella supply chain;
  • Attività periodiche di audit, test di vulnerabilità e report al vertice aziendale;
  • Coordinamento con il DPO per assicurare il rispetto del GDPR nella gestione dei dati trattati per finalità di sicurezza.

Offriamo una consulenza integrata – legale, organizzativa ed operativa – per accompagnare enti e imprese nell’adeguamento alla NIS2 e nella costruzione di una governance digitale conforme, sostenibile e realmente efficace.

Interveniamo in tutte le fasi:

  • Analisi del perimetro soggettivo e valutazione dei rischi;
  • Redazione o revisione di policy e protocolli di sicurezza;
  • Definizione dei ruoli;
  • Assistenza nella creazione di un Modello Organizzativo per la cybersecurity, aggiornamento dei regolamenti interni e integrazione con Modelli 231 ove applicabile
  • Predisposizione dei modelli di notifica e gestione incidenti;
  • Supporto nella redazione delle informative privacy e nella valutazione d’impatto (DPIA);
  • Affiancamento durante audit, ispezioni e interlocuzioni con ACN, CSIRT, Garante Privacy e altre autorità competenti.

Contattaci, ti aiutiamo