Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

compliance

Aziende alle prese con NIS2: le difficoltà del primo anno

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

A distanza di un anno dall’entrata in vigore del Decreto NIS, l’Italia fa i conti con le sfide della Direttiva NIS2. L’ACN ha affrontato numerose difficoltà tecniche e interpretative, ma anche successi

Pubblicato il 14 ott 2025
Caterina Chiari

Trainee, Orrick, Herrington & Sutcliffe

Andrea Mezzetti

Of Counsel, Orrick, Herrington & Sutcliffe

misure sicurezza base nis 2 Relazione ACN 2024 cybersecurity aziende europee Fondi UE per la cybersecurity compliance NIS2 GDPR 231; Misure ACN Piano cyber italiano

L’entrata in vigore il 16 ottobre 2024 del decreto legislativo n. 138/2024 (“Decreto NIS”), che recepisce la Direttiva (UE) 2022/2555 (“Direttiva NIS2”), ha segnato una svolta cruciale per la cybersecurity in Italia, imponendo obblighi stringenti ad una platea allargata di soggetti pubblici e privati, con l’obiettivo di rafforzare la resilienza digitale del Paese.

Compliance NIS 2: cosa devono fare le imprese entro il 2026

Qual è quindi il bilancio dell’implementazione italiana della Direttiva NIS2, a distanza di un anno dall’entrata in vigore del Decreto NIS?

E’ una domanda importante da porsi, considerando che l’Italia è stato il primo tra i Paesi più rappresentativi dell’Unione Europea ad aver adottato la Direttiva NIS2, a cui però non è possibile dare una risposta netta: l’esperienza italiana è stata infatti contraddistinta da diverse luci ma anche da molte ombre.

Il merito della tempestività italiana e gli strumenti predisposti

Anzitutto, il pieno rispetto da parte dell’Italia del termine per il recepimento della Direttiva NIS2 è assolutamente meritorio: e la prontezza italiana acquista ancora più valore considerando che, ad oggi, la maggior parte dei principali Paesi europei non ha ancora recepito la Direttiva. Inoltre, l’ACN si è dotata di un sito internet estremamente chiaro e ben fatto, in cui la sezione sulla normativa presentava in modo chiaro e sistemativo le varie Determinazioni emanate nel tempo dall’ACN. Anche l’utilizzo di un portale dedicato, concettualmente, si poneva come uno strumento utile e pratico da utilizzare per adempiere a tutti gli obblighi legati al Decreto NIS.

Le criticità emerse nell’applicazione pratica

Purtroppo, un sistema che sembrava impeccabile sulla carta ha prestato il fianco a diverse criticità, che se da un lato sono inevitabili in una situazione di prima applicazione, dall’altro non possono essere ignorate per garantire un’implementazione efficace del Decreto NIS.

Le principali criticità che si sono presentate nel corso di questi dodici mesi sono state prevalentemente di due ordini: uno riguardante l’interpretazione della normativa e l’altro nelle funzionalità tecniche della piattaforma ACN dedicata alla registrazione dei soggetti NIS.

Sotto il primo profilo, sono molti i passaggi del Decreto NIS e delle Determinazioni ACN che hanno presentato problemi interpretativi, e la sezione FAQ dell’ACN non sempre forniva soluzioni efficaci: è questo ad esempio il caso dell’applicazione della cosiddetta clausola di salvaguardia di cui all’art. 3, comma 12, del Decreto NIS, che ha reso necessario più di un intervento da parte dell’ACN che ne chiarisse l’applicabilità, o delle (eventuali) differenze tra gli organi di amministrazione e gli organi direttivi destinatari degli obblighi di cui all’Art. 23 del Decreto NIS ed i soggetti di cui all’Art. 38, comma 5, del Decreto NIS, ossia “qualsiasi persona fisica responsabile di un soggetto essenziale o che agisca in qualità di suo rappresentante legale con l’autorità di rappresentarlo, di prendere decisioni per suo conto o di esercitare un controllo sul soggetto stesso”. Si tratta di problematiche  interpretative che hanno comportato significative complessità in capo alle società, che si sono ritrovate con la necessità di dover fornire delle informazioni all’ACN dovendo al contempo capire quale fosse la portata delle informazioni richieste.

I problemi tecnici della piattaforma ACN

Ma paradossalmente è proprio il secondo profilo ad aver creato le maggiori difficoltà per le società soggette all’applicazione del Decreto NIS.

Come detto in precedenza, infatti, l’ACN ha messo a disposizione delle società una piattaforma da utilizzare per ogni comunicazione ai sensi del Decreto NIS, a partire dalla registrazione ai sensi dell’art. 7, comma 1, del Decreto NIS per poi proseguire con la comunicazione annuale di cui all’art. 7, comma 4 del medesimo Decreto (curiosamente richiesta per il primo anno di applicazione dopo pochi mesi dalla registrazione).

La piattaforma si è purtroppo rivelata sin da subito uno strumento non del tutto adeguato rispetto alle necessità normative. Innanzitutto, per potervi accedere è necessario essere in possesso di SPID o CIE.

In mancanza è possibile fare richiesta ad ACN perché rilasci delle credenziali di accesso, credenziali che però ACN invia a distanza di settimane dalla richiesta o, in alcuni casi, addirittura di mesi, con conseguente rallentamento dell’intero processo. La piattaforma poi è chiaramente progettata per società italiane, e presenta diversi campi la cui compilazione è impossibile per soggetti stranieri che, a vario titolo, siano soggetti alla normativa italiana (quali ad esempio fornitori di servizi di comunicazione elettronica aventi sede al di fuori dell’Italia ma che forniscano i propri servizi in Italia).

Anche in questi casi, l’apertura di un ticket per la segnalazione dei vari problemi comporta il decorso di diverse settimane prima di poter ottenere una risoluzione. Altri campi, poi, restituiscono errori che sembrano legati a bug di sistema: è questo il caso del campo sul caricamento massivo degli IP.

Le complessità per i responsabili aziendali

Un capitolo a parte merita poi l’indicazione dei responsabili ai sensi dell’art. 38, comma 5, del Decreto NIS. In questi casi, la piattaforma invia una PEC a tali soggetti invitando loro ad accedere alla piattaforma per confermare la propria qualifica. L’accesso alla piattaforma però, anche in questo caso, è vincolato al possesso di SPID o CIE da parte del soggetto: in mancanza (come spesso avviene per i soggetti non italiani) sarà necessario richiedere le credenziali all’ACN, che però non risponde prima di diverse settimane o mesi. Si tratta di una complessità forse eccessiva per un adempimento che, in realtà, non è richiesto dalla normativa, né sembra necessario (dal momento che l’identità di tali soggetti e la relativa qualifica sono già verificabili in Camera di Commercio, e che la loro responsabilità discende direttamente dal Decreto NIS e non dalla loro indicazione in piattaforma e successiva accettazione).

Le prossime scadenze e le incertezze normative

Al netto delle difficoltà di cui sopra, figlie senz’altro anche dell’enorme mole di pratiche che l’ACN si è ritrovata a dover gestire, a distanza di un anno la prima fase di applicazione del Decreto NIS si è ormai conclusa con la registrazione sul portale e la comunicazione degli ulteriori dati di cui alla comunicazione annuale, ed i soggetti NIS sono ora focalizzati sulla gestione delle prossime scadenze:

  • quella relativa agli obblighi in materia di notifica di incidenti di cui all’art. 25 del Decreto NIS, che cadrà nel mese di gennaio 2026,
  • e quella relativa agli obblighi circa gli organi di amministrazione e direttivi ed agli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica, che cadrà nel mese di ottobre 2026.

Il nodo della definizione di sistemi rilevanti

Anche in tale fase, però, le incertezze interpretative rendono particolarmente complessa la corretta individuazione del perimetro di tali obblighi.

Un esempio particolarmente rivelatore di tali incertezze è la definizione di “sistemi informativi e di rete rilevanti” contenuta nella Determinazione ACN 164179 del 14 aprile 2025 contenente le specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del Decreto NIS. Si tratta di una definizione di assoluta rilevanza, poiché individua quegli asset che dovranno essere oggetto di alcune tra le più rilevanti specifiche di base contenute nella Determinazione stessa, ai sensi della quale i sistemi informativi e di rete rilevanti sono quei “sistemi informativi e di rete la cui compromissione comporterebbe un impatto significativo sulla confidenzialità, integrità  e disponibilità delle attività e servizi per i quali il soggetto NIS rientra nell’ambito di  applicazione del decreto NIS”. Ora, è piuttosto evidente come questa definizione non aiuti in realtà ad individuare con chiarezza cosa si intenda per “sistemi informativi” e “sistemi di rete”, limitandosi a descriverli facendo riferimento alle conseguenze della loro compromissione più che alla loro natura; né la definizione di “sistemi informativi” e di “sistemi di rete” si rinviene in altri testi normativi.

Anche in questo caso, pertanto, si richiede alle singole società di interpretare tali termini secondo una propria impostazione, col rischio di trovarsi di fronte a una assoluta eterogeneità interpretativa e applicativa che, probabilmente, non era nelle intenzioni del legislatore. 

Le sfide future per ACN e aziende

Sarà pertanto interessante vedere come e in che misura l’ACN si porrà nei confronti dei soggetti NIS in questa delicata fase, e se si sarà assestata a sufficienza da riuscire a far fronte alle numerose complessità che l’adempimento del Decreto NIS comporta per le società tenute a conformarvisi: come dimostrato dai risultati ottenuti in questi primi dodici mesi, la conformità con le norme del Decreto NIS rappresenta una sfida complessa sia per le società coinvolte che per l’ACN, che ha la responsabilità di accompagnare i soggetti NIS attraverso tale processo in modo efficace ma al contempo pragmatico.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Caterina Chiari
Trainee, Orrick, Herrington & Sutcliffe
Seguimi su
M
Andrea Mezzetti
Of Counsel, Orrick, Herrington & Sutcliffe
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • equalize dossieraggi competenze cybersecurity

  • l'analisi

    Eu Cybersecurity Index: l'Europa è davvero pronta al digitale?

    18 Lug 2025

    di Francesco Macchia

    Condividi
  • cybersecurity e competitività europea; DPIA

  • vademecum

    DPIA in azienda, come si fa: la guida completa per le imprese

    10 Lug 2025

    di Lorenzo Giannini

    Condividi
  • CIA e AI; Ai cybersecurity

  • la guida

    AI per la cybersecurity, ecco come proteggersi dalle minacce informatiche

    16 Mag 2025

    di Federica Maria Rita Livelli

    Condividi