Salta il contenuto
Home Chi Siamo Master Corsi Certificazioni News FAQ Contatti Preventivi Stampa 🇬🇧 Dirextra
Obbligo Cybersecurity per le imprese: cosa cambia con il nuovo Decreto
giugno 9, 2025 Dirextra Ltd

Obbligo Cybersecurity per le imprese: cosa cambia con il nuovo Decreto

Con la Direttiva NIS2, acronimo di Network and Information Security, è scattato l’obbligo Cybersecurity per numerose imprese, comprese le PMI, che appartengono a settori considerati critici a livello di sicurezza informatica.

Nella prima fase degli adempimenti, che si è conclusa il 28 febbraio 2025, le aziende con con più di 50 dipendenti rientranti nei settori di cui sopra, hanno avuto l’obbligo di registrarsi sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Altri provvedimenti, invece, sono previsti per il 2026.

In questo clima di cambiamenti a favore di una maggiore sicurezza per i dati che circolano in rete, ricevere un’adeguata istruzione sui pericoli a cui possono andare incontro i sistemi informatici diventa essenziale.

A tal proposito, Dirextra Alta Formazione offre due percorsi completi e aggiornati in collaborazione con EIPASS, completamente fruibili online: Certificazione Cybercrime di livello intermedio e IT Security di livello avanzato. 

Nuovo Decreto Cybersecurity per le Imprese

La Direttiva NIS è la prima normativa europea che si è posta l’obiettivo di migliorare la sicurezza informatica all’interno dell’Unione Europea. È stata adottata nel 2016 come Direttiva NIS 1 e successivamente aggiornata con la NIS 2, entrata in vigore nel gennaio 2023 (in Italia è stata recepita dal D.Lgs. 138/2024). L’obiettivo principale è quello di rafforzare la resilienza dei sistemi digitali e delle reti di comunicazione, garantendo un livello di protezione omogeneo e più elevato contro gli attacchi informatici.

Questo perché le infrastrutture digitali sono diventate essenziali per il funzionamento della società e dell’economia. Un attacco ad un sistema informatico, anche di un’impresa privata, può avere ripercussioni a catena molto gravi. Quindi, è necessario che tutti, soprattutto chi ha un ruolo chiave nei servizi essenziali, adottino standard minimi di sicurezza.

Per raggiungere gli obiettivi previsti dal Decreto, le imprese devono seguire più step di adeguamento:

  1. Obbligo di registrazione e aggiornamento dei dati: dal 1° gennaio al 28 febbraio di ogni anno successivo all’entrata in vigore del suddetto Decreto, le imprese rientranti nella normativa (che vedremo meglio in seguito) dovranno registrarsi sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale). Inoltre, i soggetti considerati essenziali o importanti dovranno aggiornare le informazioni di cui all’art. 7, comma 4 del Decreto.
  2. Notifica degli incidenti: dal 1° gennaio 2026, se si verifica un incidente grave di sicurezza informatica, l’impresa è obbligata a notificarlo al CSIRT Italia (organo adibito al monitoraggio preventivo e alla risposta agli incidenti informatici) tempestivamente e senza ingiustificato ritardo. In seguito, entro 72 ore deve fornire un aggiornamento più dettagliato.
  3. Misure di sicurezza informatica: entro il 1° ottobre 2026, le aziende devono implementare sistemi di gestione del rischio in ambito informatico includendo la valutazione regolare delle vulnerabilità e dei rischi, l’adozione di misure preventive e reattive per proteggere reti e sistemi (es. firewall, crittografia, segmentazione delle reti), le procedure di gestione degli accessi e delle identità e i piani di continuità operativa in caso di attacco.
  4. Monitoraggio, audit e formazione: le imprese devono documentare le misure adottate e tenere traccia degli incidenti di sicurezza, ricevendo ispezioni a audit da enti preposti per verificare la conformità. Inoltre, la Direttiva NIS 2 spinge le imprese a formare regolarmente il personale in materia di cybersecurity, affinché anche gli errori umani vengano ridotti al minimo.

Quali sono le imprese coinvolte?

Le imprese che rientrano nell’obbligo Cubersecurity previsto dal Decreto NIS 2 si possono dividere in due macro categorie. Nella prima vengono definiti i soggetti essenziali, che presentano i seguenti requisiti:

  • Le entità elencate nell'Allegato I del Decreto che superano i parametri delle medie imprese, ovvero più di 250 dipendenti e un fatturato annuo superiore a 50 milioni di euro o un bilancio annuo totale superiore a 43 milioni di euro.
  • Indipendentemente dalle dimensioni, i soggetti identificati come critici ai sensi del decreto legislativo che recepisce la Direttiva (UE) 2022/2557.
  • Fornitori di reti pubbliche di comunicazione elettronica e fornitori di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese.
  • Indipendentemente dalle dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio.
  • Indipendentemente dalle dimensioni, le pubbliche amministrazioni centrali elencate nell'Allegato III.

La seconda categoria definisce i soggetti importanti, ovvero quelli che non rientrano nella categoria precedente, ma operano in settori critici elencati nell’Allegato II, ovvero:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Produzione, trasformazione e distribuzione di prodotti alimentari
  • Produzione e distribuzione di sostanze chimiche
  • Fornitura di servizi digitali come motori di ricerca, piattaforme di social networking e servizi di cloud computing
  • Ricerca e sviluppo in ambito tecnologico.

Obbligo Cybersecurity per le Imprese: formazione online con Dirextra

Come abbiamo potuto notare, la formazione è uno strumento essenziale per le imprese che desiderano uniformarsi a quanto previsto dalla normativa, evitando di andare incontro a sanzioni salate, con multe fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, a seconda di quale importo sia più elevato.

Dirextra Alta Formazione, in collaborazione con EIPASS, offre due percorsi formativi incentrati sulla sicurezza informatica e sulla protezione di sistemi digitali, che prevedono lezioni online e un esame finale certificativo, valido a livello internazionale.

In particolare, il corso Cybercrimes introduce ai reati informatici, che si caratterizzano per l’abuso della tecnologia digitale sia hardware che software, per la commissione di uno o più crimini. L’obiettivo, infatti, è quello di fornire competenze basilari in materia di diritto penale presentando i reati in internet, con approfondimento sugli aspetti più significativi.

Il corso IT Security invece, offre una certificazione informatica di livello avanzato, che attesta le conoscenze di sicurezza informatica, per l’appunto, sia attiva che passiva. Certifica altresì le competenze di utilizzo degli strumenti per proteggere il sistema ICT e la rete, l’abilità di creare strategie di prevenzione dagli attacchi e la capacità di recupero dei dati. Anche in questo caso, le lezioni sono fruibili totalmente online a qualsiasi giorno e ora, offrendo maggiore flessibilità soprattutto a coloro che sono già impegnati a tempo pieno per lo studio o per il lavoro.

L’esame finale per entrambi i percorsi formativi prevede un test di 30 domande a risposta vero/falso o associazioni di immagini a cui rispondere entro 30 minuti.

Per maggiori informazioni invitiamo a consultare le schede dei relativi corsi online.

Approfondimenti:

Articolo successivo Documento di Valutazione dei Rischi: obblighi e contenuto

Lascia un commento

* Campi obbligatori

Confronta Prodotti

{"one"=>"Seleziona 2 o 3 articoli da confrontare", "other"=>"{{ count }} di 3 elementi selezionati"}

Seleziona il primo elemento da confrontare

Seleziona il secondo elemento da confrontare

Seleziona il terzo elemento da confrontare

Confrontare