“La proporzionalità è un tema fondamentale, già trattato in altre occasioni. Quando abbiamo chiamato a raccolta tutti i colleghi dell’ACN alla Sapienza di Roma si è creato un importante momento per sensibilizzare i principali attori sulle nuove responsabilità imposte dalla Direttiva e per delineare una roadmap verso una maggiore resilienza digitale del Paese. Direttiva che stabilisce in più punti che la sua realizzazione deve essere proporzionata per essere efficace“, ha spiegato Milena Rizzi, Prefetto, Capo del servizio autorità e sanzioni, Agenzia per la Cybersicurezza Nazionale, a cui sono state affidate le conclusioni della prima giornata di CyberSec2025 all’interno del panel conclusivo dal titolo “NIS2, il primo bilancio delle istituzioni e delle imprese” della prima giornata del “CyberSec205. AI, Crittografia Post-Quantum, Spionaggio e Geopolitica: il nuovo mondo della Cybersecurity”, Conferenza internazionale di Roma promossa e organizzata dal giornale Cybersecurity Italia, giunta alla sua quarta edizione.

Si è invocata l’esigenza di praticità. Se c’è proporzionalità c’è anche un approccio pratico, perché si prevede che gli obblighi di notifica sono declinati esattamente con questo approccio.

Nel decreto legislativo abbiamo immaginato di introdurre una parte tutta italiana secondo la categorizzazione di dati e servizi e quindi delle infrastrutture digitali. Significa che è vero che la NIS si applica a tutta l’infrastruttura digitale del soggetto NIS, ma in maniera proporzionata all’esposizione al rischio”, ha aggiunto.

La direttiva si applica principalmente a organizzazioni di medie e grandi dimensioni, con esclusione delle imprese con meno di 50 dipendenti o un fatturato annuo inferiore a 10 milioni di euro, a meno che non siano considerate di importanza critica. Tuttavia, anche le piccole imprese potrebbero essere coinvolte se operano in settori critici o fanno parte della catena di approvvigionamento di soggetti essenziali.

Oltre ai comparti tradizionali come energia, telecomunicazioni, trasporti, bancario, mercati finanziari e sanità, la NIS2 include anche settori ad alta criticità, come acque reflue, gestione dei servizi ICT B2B, pubblica amministrazione, spazio; ma anche servizi postali, gestione dei rifiuti, chimica, alimentare, produzione di dispositivi medici, elettronica, apparecchiature elettriche, macchinari, autoveicoli, trasporti specializzati, fornitori di servizi digitali e organizzazioni di ricerca.

“I soggetti presi in considerazione dalla NIS 2 sono in maggior numero di quelli coinvolti dalla NIS 1, abbiamo più di 80 nuovi soggetti in questo ambito che potrebbero trovarsi in difficoltà. La notifica degli incidenti è obbligatoria a partire dal 1° gennaio 2026, mentre l’implementazione delle misure di sicurezza è da completare entro il 1° ottobre 2026. Perché le regole siano efficaci devono essere definite in base alla loro sostenibilità. Abbiamo avviato un gruppo di lavoro di esperti ACN che si sono focalizzati sulle misure di sicurezza della supply chain, il vero nervo scoperto”, ha aggiunto Rizzi.

“Una consultazione pubblica non è al momento prevista dalla norma, ma sarebbe certamente utile. Stiamo raccogliendo i feedback ed entro aprile riallacceremo la determina del direttore con gli allegati tecnici. Con questi usciranno anche le linee guida per il rafforzamento della cyber resilienza, da qui sarà possibile condurre per mano tutto il Paese e i soggetti interessati che cercano un confronto con l’Autorità. Nel momento in cui saranno rilasciati gli allegati tecnici e che dovremmo sottoporre alla Commissione potremmo – ha concluso Rizzi – potremo lavorare all’elaborazione delle linee guida per poter mettere a disposizione un corredo di accompagnamento dell’aggiornamento delle clausole contrattuali in essere”.