Dal gennaio 2026 entreranno pienamente in vigore gli obblighi di notifica degli incidenti previsti dalla direttiva (UE) 2022/2555, nota come NIS 2, che rafforza e amplia in modo significativo il quadro europeo in materia di cybersecurity. La normativa introduce requisiti più stringenti in termini di gestione del rischio, responsabilità degli organi di amministrazione e, soprattutto, comunicazione tempestiva degli incidenti rilevanti alle autorità competenti. L’obiettivo è migliorare la capacità di prevenzione e risposta dell’Unione, riducendo l’impatto sistemico degli eventi cyber su servizi essenziali e importanti.
Il nuovo regime di notifica degli incidenti previsto dalla direttiva NIS 2
Il nuovo regime di notifica rappresenta un’evoluzione sostanziale rispetto alla precedente direttiva NIS. Le organizzazioni rientranti nel perimetro normativo saranno tenute a trasmettere una “early warning” entro 24 ore dalla scoperta di un incidente significativo, seguita da una notifica formale entro 72 ore e da una relazione finale entro un mese. Le comunicazioni dovranno includere informazioni sull’origine dell’incidente, sulla sua gravità, sugli impatti operativi e sulle misure di mitigazione adottate. Il legislatore europeo ha chiarito che la tempestività e la qualità delle informazioni trasmesse costituiscono elementi centrali per consentire alle autorità nazionali di coordinare risposte efficaci e, se necessario, attivare meccanismi di cooperazione transfrontaliera.
Incidenti significativi, incertezza e criteri di classificazione NIS 2
L’obbligo di notifica non si limita agli incidenti già pienamente compresi o risolti, ma riguarda anche eventi in corso o caratterizzati da un elevato grado di incertezza. Ciò implica un cambio di paradigma per molte organizzazioni, che dovranno dotarsi di processi strutturati per la classificazione degli incidenti, la valutazione della loro significatività e la tracciabilità delle decisioni assunte nelle prime fasi della gestione. In questo contesto, la distinzione tra evento operativo, incidente di sicurezza e incidente significativo ai fini NIS 2 assume un ruolo cruciale, così come la capacità di dimostrare ex post la correttezza delle valutazioni effettuate.
Accountability, responsabilità degli organi di gestione e sanzioni NIS 2
La direttiva rafforza inoltre il principio di accountability, attribuendo precise responsabilità agli organi di gestione e amministrazione. La mancata o tardiva notifica può comportare sanzioni rilevanti e misure correttive, rendendo evidente come la compliance non possa essere affrontata in modo episodico, ma richieda un approccio sistematico e continuativo. In tale scenario, la gestione documentata dei controlli, delle valutazioni di rischio e dei piani di miglioramento diventa un elemento chiave anche sul piano probatorio, oltre che operativo.
Compliance NIS 2 e strumenti di supporto: la piattaforma Atena di Hermes Bay
Alla luce di questi obblighi, risulta strategico per aziende e organizzazioni disporre di strumenti in grado di supportare la valutazione strutturata della conformità normativa e il monitoraggio del livello di maturità nel tempo. Hermes Bay offre, in questo ambito, la piattaforma Atena, progettata per la gestione della compliance a norme e standard riconosciuti. Attraverso checklist di controlli personalizzate, valutazioni su scala di maturità, comparazione degli assessment e piani di remediation con stima di costi e complessità, Atena consente di governare in modo sistematico i requisiti normativi, inclusi quelli introdotti dalla NIS 2, e di rafforzare la capacità dell’organizzazione di dimostrare la propria preparazione in caso di incidente e di obbligo di notifica.
