NIS2 in Italia: cos’è, chi è coinvolto e quali sono gli obblighi

La Direttiva NIS2 (UE 2022/2555) rappresenta il più importante aggiornamento normativo europeo in materia di cybersecurity degli ultimi anni. In Italia è stata recepita con il Decreto Legislativo 138 del 4 settembre 2024, ed è pienamente operativa.

Se gestisci un’azienda in Italia, è fondamentale capire se e come questa normativa ti riguarda. In questo articolo spieghiamo in modo chiaro e pratico cos’è la NIS2, chi è obbligato ad adeguarsi, e cosa fare concretamente per non farsi trovare impreparati.

Cos’è la Direttiva NIS2

La NIS2 è l’evoluzione della prima Direttiva NIS del 2016. Nasce dalla constatazione che il panorama delle minacce informatiche è cambiato radicalmente: gli attacchi sono più frequenti, più sofisticati e colpiscono settori sempre più ampi dell’economia europea.

La direttiva stabilisce un livello comune elevato di cybersecurity nell’Unione Europea, imponendo obblighi specifici a due categorie di soggetti: i soggetti essenziali e i soggetti importanti. L’obiettivo non è solo proteggere le singole aziende, ma l’intero ecosistema economico europeo: un attacco a un’azienda della supply chain può propagarsi a cascata e compromettere settori critici per la società.

La NIS2 è significativamente più ampia della sua predecessore. Include più settori, impone misure più dettagliate, prevede sanzioni più severe e — novità dirompente — introduce la responsabilità personale degli organi direttivi. Non è un aggiornamento incrementale: è un cambio di paradigma nella regolamentazione della cybersecurity in Europa.

Chi deve adeguarsi: settori e criteri dimensionali

I settori coinvolti dalla NIS2 sono significativamente più ampi rispetto alla prima direttiva. I soggetti essenziali operano nei settori ad alta criticità: energia (elettricità, gas, petrolio, idrogeno, teleriscaldamento), trasporti (aereo, ferroviario, marittimo, stradale), sanità, acqua potabile e acque reflue, infrastrutture digitali (IXP, DNS, TLD, cloud, datacenter, CDN, servizi fiduciari), pubblica amministrazione, settore spaziale, servizi ICT B2B.

I soggetti importanti operano in settori critici aggiuntivi: servizi postali e di corriere, gestione rifiuti, chimica, produzione alimentare, manifattura (dispositivi medici, prodotti elettronici, macchinari, autoveicoli), fornitori digitali (marketplace, motori di ricerca, social network), ricerca.

I criteri dimensionali generali prevedono che siano coinvolte le medie e grandi imprese (oltre 50 dipendenti o oltre 10 milioni di euro di fatturato), ma esistono eccezioni importanti per alcuni settori come le infrastrutture digitali, dove si è soggetti a prescindere dalla dimensione.

Un aspetto cruciale e spesso sottovalutato è la catena di fornitura: se sei fornitore di un soggetto essenziale o importante, potresti essere tenuto a dimostrare l’adozione di misure di sicurezza adeguate, anche se la tua azienda non rientra direttamente nei settori elencati. Le grandi aziende soggette alla NIS2 stanno già iniziando a richiedere garanzie di conformità ai propri fornitori — incluse le PMI.

Gli obblighi concreti: cosa devi fare (Art. 21)

L’articolo 21 del D.Lgs. 138/2024 definisce le misure di sicurezza obbligatorie. Non sono suggerimenti — sono requisiti verificabili che l’ACN (Agenzia per la Cybersicurezza Nazionale) può ispezionare.

Analisi dei rischi e politiche di sicurezza. Valutazione periodica dei rischi informatici con documentazione formale delle policy. Non basta “essere attenti alla sicurezza”: serve un processo strutturato, documentato e aggiornato.

Gestione degli incidenti. Procedure formalizzate di rilevamento, classificazione, risposta e notifica. Gli incidenti significativi vanno notificati all’ACN entro 24 ore (pre-notifica), con notifica completa entro 72 ore e relazione finale entro un mese.

Continuità operativa. Piani di backup, disaster recovery e gestione crisi per garantire la resilienza dei servizi. I piani devono essere documentati e testati periodicamente — non solo scritti e dimenticati in un cassetto.

Sicurezza della catena di fornitura. Valutazione e gestione dei rischi legati ai fornitori diretti e service provider. È il meccanismo che estende la NIS2 a tutta la supply chain.

Gestione delle vulnerabilità. Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi, inclusa la gestione proattiva delle vulnerabilità e la loro divulgazione responsabile.

Formazione. Programmi di cybersecurity awareness per il personale e formazione specifica per gli organi direttivi. La formazione dei dirigenti non è opzionale: è un obbligo con responsabilità personale.

Crittografia e controllo degli accessi. Politiche per l’uso della crittografia, gestione delle identità, MFA (autenticazione multi-fattore), gestione degli accessi privilegiati.

Comunicazioni sicure. Utilizzo di comunicazioni vocali, video e testuali protette — un requisito che molte aziende con centralini VoIP non cifrati non rispettano.

Le sanzioni: cosa rischi se non ti adegui

Le sanzioni sono proporzionate ma significative. Per i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo mondiale. Per i soggetti importanti: fino a 7 milioni di euro o l’1,4% del fatturato. Gli organi direttivi (amministratori, CDA) sono direttamente responsabili dell’approvazione e supervisione delle misure di sicurezza.

Non è solo una questione economica: la non conformità può comportare la sospensione temporanea di certificazioni e autorizzazioni, oltre a un danno reputazionale che per molte aziende è più costoso della sanzione stessa.

Cosa fare adesso

Se pensi che la tua azienda possa essere coinvolta dalla NIS2, il primo passo è un assessment per verificare l’applicabilità e misurare il gap rispetto ai requisiti. Non aspettare: le ispezioni dell’ACN sono in fase di pianificazione. Le aziende che si muovono per prime avranno un vantaggio competitivo oltre che normativo.

Un percorso realistico di adeguamento per una PMI richiede circa 6 mesi: 2 mesi per assessment e gap analysis, 2 mesi per implementazione tecnica, 1 mese per documentazione e 1 mese per formazione e test. Sei mesi che passano in fretta. Il momento di iniziare è adesso.