La Direttiva NIS2 (UE 2022/2555) ha sostituito la NIS1 del 2016 introducendo obblighi più ampi, soglie di applicabilità più basse e sanzioni significativamente più severe. In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 1° ottobre 2024. Se la vostra azienda opera in un settore critico, questa guida illustra cosa cambia, chi è obbligato e come prepararsi.
1. Cos'è la Direttiva NIS2?
La Direttiva NIS2 (Network and Information Security 2) è il principale strumento legislativo dell'Unione Europea in materia di cybersecurity per le infrastrutture critiche. Adottata il 14 dicembre 2022 ed entrata in vigore il 16 gennaio 2023, ha abrogato la precedente Direttiva NIS1 (2016/1148) che si era rivelata insufficiente di fronte all'evoluzione delle minacce informatiche.
Gli obiettivi principali di NIS2 sono: elevare il livello comune di cybersecurity in tutta l'UE, estendere l'ambito di applicazione a nuovi settori e tipologie di soggetti, rafforzare la cooperazione tra gli Stati membri, e introdurre meccanismi sanzionatori più incisivi per garantire l'effettiva applicazione delle norme.
In Italia, il recepimento è avvenuto con il Decreto Legislativo 4 settembre 2024, n. 138 (D.Lgs. 138/2024), pubblicato in Gazzetta Ufficiale il 1° ottobre 2024. L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità nazionale competente per l'applicazione della normativa.
1° ottobre 2024 — entrata in vigore del D.Lgs. 138/2024 (recepimento NIS2 in Italia)
28 febbraio 2025 — scadenza per la registrazione delle aziende nel portale ACN (piattaforma nazionale di notifica)
1° gennaio 2026 — piena conformità richiesta: le misure tecniche e organizzative di sicurezza devono essere operative
L'ACN ha il potere di condurre ispezioni, richiedere documentazione e irrogare sanzioni amministrative pecuniarie in caso di inosservanza.
2. Chi è soggetto a NIS2 in Italia?
NIS2 distingue due categorie principali di soggetti obbligati: i soggetti essenziali e i soggetti importanti. L'appartenenza a una categoria dipende dal settore di attività e dalle dimensioni aziendali. Le soglie dimensionali indicative sono:
| Categoria | Settori | Soglie dimensionali |
|---|---|---|
| Soggetti Essenziali | Energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC, spazio | >250 dipendenti oppure fatturato annuo >€50 milioni |
| Soggetti Importanti | Servizi postali e di corriere, gestione rifiuti, fabbricazione di prodotti chimici, produzione e distribuzione di alimenti, dispositivi medici, industria manifatturiera, fornitori digitali (marketplace, motori di ricerca, cloud) | 50–249 dipendenti oppure fatturato annuo €10–50 milioni |
È importante sottolineare che alcune categorie di soggetti sono obbligati indipendentemente dalle dimensioni: i fornitori di servizi DNS, i registri dei nomi a dominio di primo livello (TLD), i provider di cloud computing e i data center rientrano automaticamente nell'ambito NIS2 se forniscono servizi nell'UE.
3. Le 10 misure di sicurezza obbligatorie
L'articolo 21 della Direttiva NIS2 — recepito nell'articolo 24 del D.Lgs. 138/2024 — stabilisce le misure di gestione del rischio di cybersecurity che tutti i soggetti obbligati devono adottare. Le misure devono essere proporzionate al rischio, tenendo conto delle dimensioni del soggetto e della sua esposizione ai rischi.
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi — valutazione sistematica delle minacce e delle vulnerabilità che possono compromettere riservatezza, integrità e disponibilità dei sistemi
- Gestione degli incidenti — procedure documentate per rilevare, analizzare, contenere e ripristinare la situazione a seguito di un incidente di cybersecurity, inclusa la notifica all'ACN
- Continuità operativa e gestione delle crisi (business continuity) — piani di ripristino di emergenza, backup, ridondanza dei sistemi e procedure per garantire la continuità dei servizi durante e dopo un incidente
- Sicurezza della supply chain — valutazione delle vulnerabilità specifiche di ciascun fornitore diretto e della qualità complessiva dei prodotti e delle pratiche di cybersecurity adottate dai fornitori
- Sviluppo e manutenzione sicuri dei sistemi — inclusa la gestione e la divulgazione delle vulnerabilità; politiche di patching e aggiornamento dei sistemi informativi
- Valutazione dell'efficacia delle misure di gestione del rischio di cybersecurity — audit periodici, test di penetrazione, revisioni indipendenti
- Formazione del personale in materia di cybersecurity — programmi di sensibilizzazione e formazione continua per tutti i dipendenti, con particolare attenzione ai ruoli con accesso privilegiato
- Crittografia e cifratura — politiche sull'uso della crittografia e, se del caso, della cifratura end-to-end per la protezione dei dati in transito e a riposo
- Sicurezza delle risorse umane e controllo degli accessi — gestione delle identità, principio del minimo privilegio, procedure per l'onboarding e l'offboarding del personale
- Autenticazione a più fattori (MFA) e comunicazioni sicure — l'MFA deve essere implementata per tutti gli accessi privilegiati e, ove possibile, per tutti gli utenti
4. Notifica degli incidenti all'ACN
NIS2 introduce un sistema di notifica degli incidenti significativi strutturato in tre fasi, con termini perentori che decorrono dal momento in cui il soggetto viene a conoscenza dell'incidente:
Preavviso — entro 24 ore
Notifica iniziale all'ACN senza ritardo ingiustificato: conferma che si è verificato un incidente significativo, indicazione delle cause iniziali (se note), stima dell'impatto e misure di contenimento adottate.
Notifica preliminare — entro 72 ore
Aggiornamento della notifica iniziale con classificazione dell'incidente, valutazione dell'impatto reale, indicatori di compromissione (IoC) e stato delle misure di contenimento e ripristino in corso.
Relazione finale — entro 1 mese
Relazione dettagliata sull'incidente: descrizione completa, tipologia e gravità, cause profonde, misure adottate per mitigare l'impatto e interventi per prevenire il ripetersi dell'incidente.
Costituisce un "incidente significativo" qualsiasi evento che causi o possa causare gravi perturbazioni operative, perdite finanziarie rilevanti, impatti su altre persone fisiche o giuridiche, o che interessi un numero elevato di utenti. L'ACN può richiedere informazioni intermedie tra le notifiche formali.
Soggetti essenziali — sanzioni amministrative pecuniarie fino a €10.000.000 oppure al 2% del fatturato annuo mondiale totale (si applica il valore più elevato)
Soggetti importanti — fino a €7.000.000 oppure all'1,4% del fatturato annuo mondiale totale
Responsabilità personale degli amministratori — in caso di violazioni gravi o reiterate, NIS2 prevede la possibilità di misure di supervisione temporanea, il divieto temporaneo per i dirigenti di esercitare funzioni manageriali, nonché responsabilità personale degli organi di gestione. L'ACN può pubblicare le violazioni.
5. Principali novità rispetto a NIS1
Il salto normativo tra NIS1 e NIS2 è significativo. Le principali differenze che impattano le aziende italiane sono:
| Aspetto | NIS1 (2016/1148) | NIS2 (2022/2555) |
|---|---|---|
| Settori coperti | 7 settori essenziali (energia, trasporti, banche, sanità, acqua, infrastrutture digitali, fornitori digitali) | 11 settori ad alta criticità + 7 altri settori critici — inclusi spazio, pubblica amministrazione, rifiuti, produzione alimentare |
| PMI incluse | Solo grandi imprese; le PMI erano escluse in pratica | Medie imprese (>50 dipendenti o >€10M) incluse come soggetti importanti |
| Responsabilità organi di gestione | Nessuna previsione esplicita di responsabilità personale | Responsabilità diretta dei consigli di amministrazione; formazione obbligatoria dei dirigenti |
| Sicurezza della supply chain | Non specificatamente richiesta | Obbligo esplicito di valutare e gestire i rischi legati ai fornitori |
| Sanzioni massime | Definite dai singoli Stati membri (spesso modeste) | Armonizzate: €10M o 2% fatturato (essenziali); €7M o 1,4% (importanti) |
| Notifica incidenti | Entro 72 ore all'autorità competente | Preavviso 24h + notifica 72h + relazione finale 1 mese |
6. Come prepararsi alla conformità NIS2
Le aziende che non hanno ancora avviato il percorso di conformità devono agire con urgenza, considerando che la piena conformità tecnica è richiesta dal 1° gennaio 2026. Un approccio strutturato si articola nelle seguenti fasi:
- Gap analysis — mappatura dello stato attuale delle misure di sicurezza rispetto ai requisiti NIS2; identificazione delle lacune prioritarie
- Registro dei rischi — documentazione formale delle minacce, vulnerabilità e controlli esistenti per ciascun sistema e processo critico
- Piano di Incident Response — procedure operative documentate per la rilevazione, classificazione e notifica degli incidenti, con ruoli e responsabilità chiari
- Sicurezza della supply chain — inventario dei fornitori critici; clausole contrattuali di cybersecurity; valutazione periodica dei rischi di terze parti
- Formazione del personale — programma di sensibilizzazione annuale per tutti i dipendenti; formazione specialistica per i team IT e per i dirigenti
- Audit e test periodici — penetration testing almeno annuale sui sistemi critici; revisione indipendente delle misure di sicurezza adottate
Un software dedicato alla conformità NIS2 può semplificare significativamente questo processo: centralizzare l'analisi dei rischi, tracciare lo stato di avanzamento delle misure di sicurezza, gestire la documentazione degli incidenti e generare reportistica per l'ACN e per gli organi di gestione. La gestione manuale su fogli di calcolo è rischiosa e difficilmente difendibile in caso di ispezione.
Responsabilità degli organi di gestione
NIS2 introduce una novità rilevante: il consiglio di amministrazione e i dirigenti di vertice devono approvare le misure di cybersecurity, supervisionarne l'attuazione e seguire programmi di formazione specifici. In caso di violazione grave, l'ACN può vietare temporaneamente a un dirigente di esercitare funzioni manageriali. Questo rende la cybersecurity una questione di governance aziendale, non solo un tema tecnico.