NIS2: le aziende ricevono le PEC dall’ACN. Ecco cosa devono fare subito

Da qualche giorno molte aziende italiane stanno ricevendo una PEC dall’Agenzia per la Cybersicurezza Nazionale (ACN) che segna, nei fatti, l’avvio operativo dell’attuazione della direttiva europea NIS2. È il primo passo concreto verso l’adeguamento obbligatorio a una normativa che punta a innalzare gli standard di sicurezza informatica nei settori considerati strategici o essenziali per il Paese. Ma che cosa significa ricevere questa comunicazione? Chi è coinvolto? E, soprattutto, cosa devono fare immediatamente le aziende interessate?

La direttiva NIS2: un nuovo paradigma per la cybersicurezza

Approvata dall’Unione Europea e formalmente entrata in vigore il 16 gennaio 2023, la direttiva NIS2 (Network and Information Security) rappresenta l’evoluzione della prima direttiva NIS del 2016. L’obiettivo è chiaro: rafforzare la resilienza informatica e creare un livello uniforme di sicurezza su scala europea, in risposta a minacce cyber sempre più sofisticate e pervasive.

Il contesto globale in cui nasce la NIS2 è profondamente mutato rispetto a quello del 2016. Gli attacchi informatici sono aumentati esponenzialmente, colpendo con severità non solo le infrastrutture critiche, ma anche le aziende private, le PMI e le pubbliche amministrazioni. Le nuove dinamiche geopolitiche, unite alla crescente interconnessione dei sistemi digitali, hanno reso la sicurezza informatica un tema di rilevanza strategica per la sovranità degli Stati membri.

Tra le principali novità introdotte dalla NIS2 ci sono:

• un ampliamento della platea dei soggetti obbligati (pubblici e privati);
• obblighi più stringenti in termini di prevenzione, gestione del rischio, segnalazione degli incidenti e responsabilità aziendale;
• sanzioni significativamente più severe in caso di inadempienze.

La direttiva distingue tra “entità essenziali” ed “entità importanti”, entrambe tenute al rispetto di requisiti di cybersicurezza molto rigorosi. In Italia, l’attuazione della NIS2 è demandata all’ACN, che ha il compito di identificare i soggetti coinvolti e vigilare sull’effettiva applicazione della normativa. L’Agenzia, istituita con il Decreto-Legge n. 82 del 2021, assume oggi un ruolo centrale nel coordinamento nazionale in materia di cybersicurezza.

Le PEC dell’ACN: chi le sta ricevendo e cosa significano

Nel mese di aprile 2025, l’ACN ha avviato l’invio massivo di PEC a tutte le organizzazioni che rientrano nei criteri previsti dalla NIS2. Queste comunicazioni hanno valore formale e notificano l’inclusione del destinatario tra i soggetti obbligati. L’invio è avvenuto sulla base di un’analisi dei dati pubblici (come quelli del Registro delle Imprese) e di informazioni di settore, integrata con fonti provenienti da enti regolatori e camere di commercio.

La ricezione della PEC non è una semplice comunicazione di cortesia: sancisce l’obbligo di adeguamento alla direttiva. Si tratta di un atto formale, che implica una presa in carico immediata da parte dell’azienda destinataria.

Le aziende che ricevono la PEC devono:

1. Prendere atto della notifica e conservarla agli atti, anche ai fini della tracciabilità interna e della rendicontazione verso il consiglio di amministrazione;
2. Confermare la ricezione, seguendo le indicazioni presenti nel testo, con eventuali riscontri tecnici richiesti;
3. Avviare il percorso di adeguamento, che prevede una serie di adempimenti normativi e organizzativi su più livelli.

Non rispondere alla PEC o ignorarne il contenuto può essere interpretato come inadempienza e comportare l’apertura di un procedimento sanzionatorio, oltre che compromettere l’immagine aziendale nei confronti di clienti, partner e istituzioni.

Chi è coinvolto: più aziende di quanto si pensi

Contrariamente a quanto accaduto con la NIS1, la NIS2 coinvolge un numero molto più ampio di soggetti. Rientrano nell’ambito della direttiva:

• imprese pubbliche e private con almeno 50 dipendenti o 10 milioni di fatturato annuo, attive in settori strategici come:
  • energia, trasporti, acqua, sanità, spazio, infrastrutture digitali, banche e servizi finanziari;
  • pubblica amministrazione, manifattura critica, gestione dei rifiuti e delle sostanze chimiche;
• società ICT, comprese le aziende che forniscono servizi di cloud, data center, reti di comunicazione, gestione di domini internet, sviluppo software per terzi, sicurezza informatica.

La valutazione di inclusione si basa su criteri oggettivi (dimensioni, settori, rilevanza economica) ma anche su analisi qualitative, ad esempio in relazione alla posizione di una specifica azienda all’interno della catena del valore nazionale o europea.

Un aspetto rilevante riguarda la presunzione automatica di inclusione: le imprese che superano determinate soglie dimensionali sono considerate automaticamente soggette alla NIS2, salvo prova contraria.

Cosa devono fare subito le aziende

Una volta ricevuta la comunicazione, le aziende devono attivarsi su più fronti. Gli adempimenti richiesti non sono semplici e non possono essere improvvisati. Ecco i principali:

• Designazione di un referente per la cybersicurezza, interno o esterno, che fungerà da punto di contatto con l’ACN. Questo ruolo è strategico, in quanto deve coordinare tutte le iniziative di adeguamento e garantire l’effettiva implementazione delle misure richieste.
• Analisi dei rischi informatici a cui è esposta l’organizzazione, attraverso strumenti quali penetration test, vulnerability assessment, risk mapping, business impact analysis. L’obiettivo è identificare i punti deboli dell’infrastruttura e i processi critici.
• Piano di adeguamento che comprenda:
  • aggiornamento delle policy di sicurezza e dei regolamenti interni;
  • implementazione di strumenti tecnici (firewall, SIEM, backup, segmentazione di rete, autenticazione a più fattori);
  • adozione di standard internazionali riconosciuti, come ISO/IEC 27001, NIST, CIS Controls;
  • formazione del personale su tematiche cyber, con corsi mirati per ogni livello aziendale;
  • procedure documentate per la gestione e notifica degli incidenti;
  • simulazioni periodiche di scenari di attacco (table-top exercise) e test di reazione.
• Obbligo di notifica degli incidenti gravi entro 24 ore dall’identificazione, secondo uno schema di segnalazione che verrà definito da ACN. L’azienda deve essere in grado di rilevare, classificare e segnalare un incidente in tempi rapidi, fornendo informazioni chiare e aggiornate.

Ulteriori adempimenti possono includere:

• nomina del responsabile della sicurezza delle informazioni (CISO);
• aggiornamento del Documento Programmatico sulla Sicurezza (DPS);
• integrazione con il Modello Organizzativo 231 per includere i reati informatici;
• revisione dei contratti con fornitori e partner per garantire conformità in tutta la supply chain.

Le sanzioni: cosa si rischia

La direttiva NIS2 introduce un regime sanzionatorio tra i più severi oggi presenti nel diritto europeo in ambito cyber. Le sanzioni possono arrivare fino a:

• 10 milioni di euro o il 2% del fatturato annuo globale, per le entità essenziali;
• 7 milioni di euro o l’1,4% del fatturato, per le entità importanti.

Ma non si tratta solo di multe: è prevista anche la responsabilità diretta dei vertici aziendali, compreso l’obbligo di supervisionare attivamente l’implementazione delle misure di sicurezza. Il board aziendale non potrà più considerare la cybersicurezza come una questione meramente tecnica: ne diventa responsabile in prima persona.

Sono inoltre previste:

• ispezioni e audit da parte dell’ACN o soggetti delegati;
• ordini correttivi obbligatori;
• obbligo di adozione di misure straordinarie;
• pubblicazione delle violazioni accertate, con danni reputazionali potenzialmente molto gravi.

Oltre l’obbligo: un’opportunità strategica

Se da un lato la NIS2 impone una serie di oneri, dall’altro offre l’occasione per fare un vero salto di qualità nella gestione della sicurezza informatica. Investire nella cyber resilience significa proteggere i dati, evitare danni reputazionali, migliorare la continuità operativa e accrescere la fiducia degli stakeholder.

Una corretta applicazione della NIS2 può generare benefici concreti:

• maggiore efficienza nella gestione dei processi IT;
• accesso più agevolato a gare pubbliche o fondi europei;
• valorizzazione dell’immagine aziendale come soggetto sicuro e affidabile;
• migliore protezione della proprietà intellettuale e dei dati sensibili.

Per molte aziende, questo sarà il momento di strutturare in modo serio una governance della cybersicurezza, integrandola nei processi di gestione del rischio e nella compliance generale. In quest’ottica, il ruolo di consulenti specializzati e partner tecnologici sarà determinante.

Tra le best practice emergenti:

• creare un comitato di cybersicurezza interno all’azienda;
• implementare una dashboard per il monitoraggio continuo dei KPI cyber;
• istituire un programma di sensibilizzazione continua (cyber awareness);
• inserire obiettivi di sicurezza nei piani MBO dei dirigenti.

Conclusione

L’arrivo delle PEC da parte dell’ACN segna una svolta. La cybersicurezza non è più una questione tecnica relegata al reparto IT, ma una priorità aziendale, con impatti organizzativi, strategici e normativi. Le imprese coinvolte dalla NIS2 devono agire subito: non solo per evitare sanzioni, ma per affrontare in modo strutturato un rischio che è ormai parte integrante della nostra realtà digitale.

Affrontare la NIS2 con prontezza e visione è la chiave per trasformare un obbligo normativo in un vantaggio competitivo.