Guida pratica alla NIS2: come essere compliant e proteggere il tuo business
Sommario
L’Europa alza il livello della cyber sicurezza per rispondere all’aumento delle minacce informatiche. Per far fronte a questo scenario in continua evoluzione, l’Unione Europea ha introdotto la direttiva NIS2, un provvedimento che mira a elevare i livelli di sicurezza cibernetica all’interno dei suoi Stati membri.
Cos’è la direttiva NIS2 e perché non puoi ignorarla
La direttiva NIS2 (Network and Information Security) è la normativa europea sulla cybersecurity che sostituisce la precedente NIS1, estendendo l’obbligo di adottare misure di sicurezza informatica stringenti a un numero molto più ampio di aziende e settori considerati critici per l’economia e la società.
Entrata formalmente in vigore a fine 2024, la NIS2 vede in Italia la sua scadenza definitiva a ottobre 2026: entro questa data, le aziende coinvolte devono aver implementato tutti gli obblighi di sicurezza previsti. Non si tratta solo di conformità legale, ma di una reale opportunità per rafforzare la resilienza del business e blindare il rapporto di fiducia con i clienti.
In questa guida aggiornata vedremo chi rischia l’impatto, cosa prevede la norma e come muoversi passo dopo passo.
Quali sono le principali novità introdotte dalla NIS2?
Rispetto alla precedente direttiva NIS, la direttiva NIS2:
- elimina la distinzione tra operatori di servizi essenziali e fornitori di servizi digitali ed introduce nuove categorie basate sull’importanza del servizio offerto
- estende gli obblighi di cybersecurity ad un maggior numero di settori critici, come cloud computing, data center e servizi sanitari
- prevede misure di sicurezza più dettagliate e l’obbligo di segnalare tempestivamente incidenti significativi.
NIS2 a chi si applica: chi sono i soggetti obbligati?
La Direttiva NIS2 amplia notevolmente la platea di soggetti tenuti a conformarsi rispetto alla precedente normativa. Non si limita più a un numero ristretto di settori critici, ma estende l’ambito di applicazione a nuovi settori e sottosettori economici, rendendo obbligatoria l’adozione di misure di cybersecurity per un numero maggiore di aziende e organizzazioni.
Inoltre, la NIS2 introduce criteri dimensionali che coinvolgono anche imprese di dimensioni medio-grandi, non solo quelle di grandi dimensioni. Questo significa che un numero ancora più elevato di aziende dovrà adeguarsi ai nuovi standard di sicurezza informatica.
Un’altra novità significativa è il coinvolgimento della pubblica amministrazione. Anche gli enti pubblici, a vari livelli, sono chiamati a rispettare i requisiti della NIS2, garantendo così un livello di sicurezza informatica più elevato anche nei servizi pubblici.
La NIS2 riguarda anche i fornitori e la supply chain?
Anche se la tua organizzazione non rientra direttamente nei parametri dimensionali o nei settori critici definiti dall’Unione Europea, potresti essere comunque costretto ad adeguarti rapidamente.
La direttiva impone infatti ai soggetti direttamente obbligati di richiedere stringenti garanzie di cybersecurity a tutti i loro fornitori e partner commerciali (servizi cloud, connettività, manutenzione IT, logistica, consulenza).
Di conseguenza, non farsi trovare pronti significa rischiare l’esclusione immediata dai contratti di fornitura verso le aziende più grandi.
Settori e dimensioni: chi rientra nell’ambito della NIS2?
La NIS2 indica chiaramente le aziende interessate e quelle escluse.
| Categoria Soggetto | Criterio Dimensionale | Settori Coinvolti (Esempi) | Obblighi Principali |
|---|---|---|---|
| Soggetti Essenziali (Alta criticità) |
Grandi imprese con più di 250 dipendenti o oltre 50 milioni di € di fatturato. | Energia, Trasporti, Sanità, Acqua, Infrastrutture Digitali, Pubblica Amministrazione. | Misure proattive di cybersecurity, audit periodici, notifiche degli incidenti entro 24 ore. |
| Soggetti Importanti (Media criticità) |
Medie imprese con 50-250 dipendenti o tra i 10 e i 50 milioni di € di fatturato. | Servizi postali, Gestione rifiuti, Chimica, Alimentare, Manifattura, Fornitori digitali. | Gestione del rischio informatico, implementazione di difese, obbligo di notifica degli incidenti. |
| Soggetti Esclusi (Ma occhio alla filiera!) |
Micro e Piccole imprese con meno di 50 dipendenti e sotto i 10 milioni di € di fatturato. | Tutti, tranne eccezioni specifiche (es. fornitori di reti di comunicazione pubblica). | Nessun obbligo diretto dalla direttiva, salvo se l’azienda è fornitrice di un soggetto obbligato. |
Dimensioni dell’organizzazione
La normativa NIS2 si applica alle medie e grandi imprese che rientrano nelle categorie precedenti. In pratica, la direttiva riguarda tutte le imprese che hanno minimo 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro. Le organizzazioni più piccole in genere sono escluse, salvo alcune eccezioni.
Territorialità
La direttiva NIS2 si applica ai soggetti pubblici o privati che prestano i loro servizi o svolgono le loro attività all’interno dell’UE.
Quali sono i soggetti esclusi
La Direttiva NIS2 non si applica:
- agli enti della PA che operano in settori decisivi come la sicurezza nazionale, la pubblica sicurezza, la difesa, le attività legate al contrasto, alla prevenzione, alle indagini, all’accertamento e al perseguimento dei reati. L’esenzione si estende anche a coloro che forniscono servizi esclusivamente a questi enti pubblici (Articolo 2, paragrafo 8);
- ai soggetti esentati a norma dell’art.2, paragrafo 4, del Regolamento DORA, focalizzato sulla resilienza del settore finanziario.
Cosa prevede la normativa NIS2: gli obblighi tecnici
Capire a chi si rivolge la legge è solo il primo passo; il vero nodo cruciale per i C-Level e i responsabili IT è comprendere cosa prevede la normativa NIS2 a livello operativo. La direttiva non si limita a richiedere una conformità formale o burocratica, ma impone un approccio proattivo e strutturato basato sulla gestione del rischio cyber.
Nello specifico, l’articolo 21 della direttiva stabilisce un set di 7 misure minime di sicurezza che ogni azienda inclusa nell’obbligo (o che lavora come fornitore strategico per conto di essa) deve implementare:
- Analisi dei rischi e politiche di sicurezza: redazione di piani documentati per la valutazione periodica delle vulnerabilità e la protezione dei sistemi informatici.
- Gestione degli incidenti: implementazione di procedure tempestive per la prevenzione, il rilevamento, il contenimento e la risposta agli attacchi informatici.
- Continuità operativa (Business Continuity): pianificazione di strategie di gestione delle crisi, che includano sistemi di backup sicuri, immutabili e piani di disaster recovery per garantire la sopravvivenza del business in caso di blocco dei sistemi.
- Sicurezza della catena di approvvigionamento (Supply Chain Security): controllo rigoroso e valutazione dei requisiti di cybersecurity di tutti i fornitori IT e dei partner commerciali che hanno accesso alla rete aziendale.
- Sicurezza dei sistemi e gestione delle vulnerabilità: adozione di standard rigorosi nell’acquisizione, nello sviluppo e nella manutenzione ordinaria delle infrastrutture di rete.
- Audit e monitoraggio: definizione di politiche e procedure interne per valutare costantemente e documentare l’efficacia delle misure di cybersecurity adottate.
- Crittografia e controllo degli accessi: utilizzo diffuso della crittografia dei dati sensibili e applicazione sistematica di sistemi di autenticazione a più fattori (MFA) per l’accesso alle risorse aziendali.
Come prepararsi alla conformità NIS2
Per adeguarsi alla normativa NIS2, le organizzazioni devono intraprendere un percorso strutturato.
Il primo passo è una valutazione approfondita della propria postura di sicurezza, analizzando i sistemi IT, i controlli esistenti e identificando le aree di miglioramento. Successivamente, è fondamentale sviluppare un piano d’azione dettagliato che includa la prioritizzazione delle attività e l’assegnazione delle risorse necessarie. Ecco una checklist operativa.
1. Identificare l’obbligo di adesione
- Verifica se l’azienda rientra tra i soggetti essenziali (es. telecomunicazioni, energia, sanità) o importanti (es. fornitori digitali, trasporti, servizi postali).
- Valuta il numero di dipendenti, il fatturato e il settore secondo i criteri dimensionali ed economici previsti.
2. Designare un responsabile della sicurezza
- Nomina un Chief Information Security Officer (CISO) o un referente equivalente.
- Definisci una governance chiara della cybersecurity con ruoli e responsabilità documentate.
3. Effettuare una valutazione del rischio
- Conduci una risk assessment aggiornata su tutti i sistemi IT e OT (tecnologie operative).
- Identifica asset critici, minacce, vulnerabilità e impatti potenziali.
4. Implementare misure tecniche e organizzative
Prepararsi alla NIS 2 richiede di redarre piani di gestione degli incidenti, continuità operativa e disaster recovery. Inoltre richiede di applicare misure di sicurezza come:
- autenticazione a più fattori
- segmentazione della rete
- backup regolari
- crittografia dei dati
- firewall e IDS/IPS
5. Definire un piano di gestione degli incidenti
- Crea una procedura per la notifica degli incidenti gravi entro 24 ore al CSIRT (Computer Security Incident Response Team) nazionale.
- Mantieni un registro degli incidenti e delle misure correttive adottate.
6. Formare il personale
- Avvia programmi di awareness su sicurezza informatica rivolti a tutti i dipendenti.
- Realizza simulazioni di attacco (es. phishing) per testare la preparazione del personale.
7. Garantire la sicurezza dei fornitori
- Valuta i fornitori e partner critici: verifica che rispettino anch’essi gli obblighi minimi di sicurezza.
- Inserisci nei contratti clausole su responsabilità e obblighi NIS 2.
8. Organizzare documentazione e audit
- Crea una documentazione centralizzata della strategia di cybersecurity e delle misure implementate.
- Predisponi audit periodici interni ed esterni per valutare la compliance.
9. Puntare su comunicazione e collaborazione
- Stabilisci contatti con il CSIRT, le autorità competenti e altri stakeholder.
- Prepara una strategia di comunicazione per stakeholder interni ed esterni in caso di incidente.
Il calendario della NIS2: le tappe e la scadenza finale del 2026
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha tracciato un percorso a tappe per l’adozione della direttiva in Italia. Anche se il percorso è iniziato da tempo e molte scadenze burocratiche sono ormai alle spalle, ricostruire la timeline complessiva è fondamentale per comprendere l’urgenza dell’ultimo e definitivo traguardo operativo.
Ecco il calendario completo della NIS2, diviso tra gli step storici e l’adempimento imminente:
- 17 gennaio 2025: Termine per la registrazione sulla piattaforma ACN dedicata ai fornitori di servizi digitali e infrastrutturali critici (cloud computing, data center, motori di ricerca, ecc.).
- 28 febbraio 2025: Scadenza per la registrazione sulla piattaforma ACN per tutti gli altri soggetti inclusi nel decreto.
- Entro metà aprile 2025: Creazione, da parte dell’autorità competente, dell’elenco ufficiale dei soggetti NIS e adozione degli obblighi di base.
- Entro il 31 luglio 2025: Termine (posticipato) per la trasmissione e l’aggiornamento tempestivo delle informazioni da parte dei soggetti NIS.
- Entro gennaio 2026: Adempimento degli obblighi di base legati alle notifiche di incidente (da effettuare entro 9 mesi dalla notifica di inclusione).
NIS2: a ottobre 2026 il traguardo definitivo
Entro ottobre 2026: È la vera scadenza critica per il mercato B2B. Entro questa data (ovvero entro 18 mesi dalla notifica di inclusione), tutte le aziende e i soggetti obbligati devono aver implementato e messo a regime definitivo le misure di sicurezza informatica (i 7 pilastri tecnici visti nella sezione precedente).
Sanzioni NIS2: cosa rischiano le aziende e i C-Level?
Non adeguarsi in tempo comporta rischi enormi, non solo sul piano della vulnerabilità del business agli attacchi informatici, ma anche sul fronte legale ed economico.
Le sanzioni previste dalla normativa NIS2 sono severe e pensate per essere fortemente deterrenti:
- Multe pecuniarie sul fatturato: Le autorità competenti possono imporre sanzioni amministrative pecuniarie proporzionate alla dimensione dell’azienda. Per i Soggetti Essenziali, le multe possono arrivare fino al 2% del fatturato globale annuo o fino a 10 milioni di euro (a seconda di quale importo sia superiore). Per i Soggetti Importanti, il limite massimo è dell’1,4% del fatturato o 7 milioni di euro.
- Responsabilità personale dei dirigenti (C-Level): Questa è una delle novità più importanti e d’impatto per il management. La NIS2 prevede sanzioni anche per le persone fisiche in posizioni dirigenziali. Gli amministratori delegati, i direttori generali e i membri del board aziendale possono essere ritenuti personalmente responsabili in caso di violazioni, mancata approvazione delle misure di gestione dei rischi o mancata partecipazione ai corsi di formazione obbligatori sulla cybersecurity.
Oltre l’obbligo: perché la NIS2 premia le aziende che investono in sicurezza
Guardare alla direttiva NIS2 solo come a un costoso adempimento burocratico è un errore di prospettiva. Nel contesto economico attuale, la cybersecurity si sta trasformando da centro di costo a un vero e proprio abilitatore di business e leva di differenziazione competitiva.
Investire proattivamente nella protezione dei propri asset digitali – ad esempio migrando verso infrastrutture Cloud sicure e certificate, o blindando la connettività aziendale – offre tre vantaggi strategici immediati:
- Protezione del valore aziendale: Riduce drasticamente il rischio di fermi macchina, perdite finanziarie e danni reputazionali derivanti da attacchi ransomware o data breach.
- Accesso garantito alle grandi filiere (Supply Chain): Le aziende che si muovono in anticipo rispetto alla scadenza di ottobre 2026 diventano automaticamente partner ideali per i “Soggetti Essenziali e Importanti”, che per legge dovranno scartare i fornitori non conformi.
- Consolidamento del brand: Dimostrare una solida postura di sicurezza rafforza il rapporto di fiducia con i Clienti storici e attrae nuovi Partner sensibili alla tutela dei dati commerciali.
Domande Frequenti sulla Direttiva NIS2 (FAQ)
Per aiutare il management e i responsabili IT a fare chiarezza, abbiamo raccolto le risposte alle domande più frequenti che emergono dal confronto con il mercato.
Qual è la scadenza per l’adeguamento alla NIS2 in Italia?
Il traguardo definitivo per l’adempimento degli obblighi legati alle misure tecniche e organizzative di sicurezza in Italia è fissato per ottobre 2026. Entro questa data, tutte le aziende incluse nel perimetro normativo devono aver implementato i controlli di sicurezza richiesti.
Se la mia azienda ha meno di 50 dipendenti, sono totalmente escluso dalla NIS2?
Dal punto di vista dei criteri dimensionali diretti, le micro e piccole imprese (con meno di 50 dipendenti e fatturato sotto i 10 milioni di euro) sono generalmente escluse, salvo rare eccezioni per settori iper-critici. Tuttavia, non sei escluso dal suo impatto commerciale: se la tua piccola impresa fornisce servizi o beni a un’azienda media o grande che ricade sotto la NIS2, sarai comunque costretto ad adeguarti per non essere escluso dai contratti di fornitura.
Cosa c’entra la NIS2 con i fornitori dell’azienda (Supply Chain)?
C’entra in modo determinante. La direttiva stabilisce il principio della sicurezza della catena di approvvigionamento. Questo significa che i soggetti obbligati sono tenuti a verificare e pretendere standard minimi di cybersecurity da tutti i loro partner commerciali e fornitori di servizi ICT che hanno accesso, diretto o indiretto, alle loro reti.
Cosa rischiano personalmente gli amministratori e i dirigenti (C-Level) in caso di mancato adeguamento?
La NIS2 introduce la responsabilità personale e diretta dei vertici aziendali. Gli amministratori e i dirigenti non possono più delegare interamente il rischio all’ufficio IT: se il board non approva le misure di gestione dei rischi cyber o ignora la formazione obbligatoria sul tema, rischia sanzioni amministrative personali e la sospensione temporanea dalle funzioni dirigenziali.
Quali sono i tempi obbligatori per notificare un attacco informatico significativo?
La direttiva impone un flusso di notifica stringente in caso di incidenti gravi: un primo “pre-allarme” (early warning) deve essere inviato al CSIRT nazionale entro 24 ore dal momento in cui si viene a conoscenza dell’evento. Segue poi una notifica di incidente completa con una prima valutazione del danno entro 72 ore.
Come funziona l’obbligo di “Censimento dei Fornitori” secondo le ultime linee guida dell’ACN?
Seguendo le indicazioni dell’Agenzia per la Cybersicurezza Nazionale, le aziende coinvolte devono mappare in modo accurato tutti i propri fornitori di tecnologie e servizi ICT. Questo censimento serve a valutare la solidità informatica di terze parti e a integrare all’interno dei contratti commerciali apposite clausole legali e tecniche che garantiscano il rispetto dei minimi di sicurezza richiesti dalla norma.