Cos'è la direttiva NIS2
La NIS2 (Network and Information Security 2) è la direttiva europea UE 2022/2555 sulla sicurezza delle reti e dei sistemi informativi. In Italia è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. È la normativa che, per la prima volta, impone a migliaia di imprese italiane un livello minimo e verificabile di sicurezza informatica, con obblighi giuridici e non semplici raccomandazioni.
La NIS2 sostituisce la precedente NIS1 (del 2016) ampliandone enormemente il raggio d'azione: più settori coinvolti, più imprese soggette, obblighi più stringenti e un regime sanzionatorio severo. L'autorità competente in Italia è l'Agenzia per la Cybersicurezza Nazionale (ACN), che gestisce la registrazione dei soggetti, riceve le notifiche di incidente e svolge le verifiche.
La NIS2 dice tre cose: (1) chi opera in settori critici deve proteggersi secondo misure minime obbligatorie; (2) deve notificare gli incidenti gravi all'ACN entro tempi rapidissimi; (3) il vertice aziendale ne risponde personalmente. Non adeguarsi non è più un rischio "tecnico", è un rischio legale e finanziario.
A chi si applica: sei un soggetto obbligato?
La NIS2 si applica in base a due criteri combinati: il settore di attività e la dimensione dell'impresa. La normativa distingue tra soggetti essenziali (obblighi e sanzioni più alti) e soggetti importanti.
| Criterio | Soglia generale |
|---|---|
| Settori "altamente critici" | Energia, trasporti, banche, infrastrutture finanziarie, sanità, acqua potabile e reflue, infrastrutture digitali, ICT B2B, spazio, PA |
| Altri settori critici | Servizi postali, gestione rifiuti, chimica, alimentare, produzione (dispositivi, macchinari, autoveicoli), fornitori digitali, ricerca |
| Dimensione (regola generale) | Medie imprese (≥ 50 dipendenti oppure > 10M€ di fatturato) e grandi imprese |
| Eccezioni | Alcune entità sono soggette a prescindere dalla dimensione (es. fornitori di servizi DNS, registri TLD, alcune infrastrutture critiche) |
Anche se la tua impresa non rientra direttamente nel perimetro per dimensione, può ricadere negli obblighi NIS2 come fornitore di un soggetto essenziale o importante. La direttiva impone infatti ai soggetti obbligati di valutare e contrattualizzare la sicurezza dei propri fornitori critici. È l'effetto "a cascata" sulla supply chain: ne parliamo nell'articolo dedicato al supply chain attack.
Il modo più sicuro per sapere se sei soggetto è la auto-valutazione sul portale ACN: l'Agenzia ha attivato la procedura ufficiale su acn.gov.it/portale/nis2. Se sei un soggetto obbligato, la registrazione è il primo adempimento — e ha scadenze precise.
Gli obblighi: cosa chiede concretamente la NIS2
Il cuore tecnico della NIS2 è l'art. 21 del D.Lgs. 138/2024, che elenca le misure minime di gestione del rischio. Sono dieci aree, da affrontare con un approccio "all-hazards" (tutti i rischi, non solo informatici):
- Politiche di analisi e gestione del rischio e di sicurezza dei sistemi informativi;
- Gestione degli incidenti (rilevamento, risposta, notifica);
- Continuità operativa: backup, disaster recovery e gestione delle crisi;
- Sicurezza della supply chain e dei rapporti con i fornitori;
- Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi (incluso il vulnerability management);
- Politiche per valutare l'efficacia delle misure (audit, penetration test, KPI);
- Igiene informatica di base e formazione sulla sicurezza;
- Uso della crittografia e, dove opportuno, della cifratura;
- Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset;
- Autenticazione a più fattori (MFA), comunicazioni sicure e gestione delle emergenze.
Accanto a queste misure c'è l'obbligo di notifica degli incidenti significativi all'ACN: un early warning entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro un mese. Abbiamo approfondito obblighi, sanzioni e responsabilità degli amministratori nella guida dedicata.
Come mettersi in regola: i 5 passi
Per una PMI che parte da una situazione "tipica" (qualche policy, antivirus, backup non testato), la conformità NIS2 è un percorso di 6-12 mesi. Si può affrontare per gradi, dando priorità a ciò che riduce di più il rischio.
1. Verifica e registrazione
Determina se sei un soggetto essenziale o importante e registrati sul portale ACN entro le scadenze. Nomina un referente per la sicurezza (può essere una figura esterna qualificata). Questo passaggio è formale ma vincolante: il ritardo nella registrazione è già una violazione.
2. Gap analysis
Confronta la tua postura attuale con le 10 misure dell'art. 21. Una gap analysis strutturata produce un elenco di lacune prioritizzate per rischio e per sforzo di rimedio. È il documento che orienta tutto il resto: senza, si rischia di spendere su ciò che è facile invece che su ciò che conta.
3. Quick wins ad alto impatto
Implementa subito i controlli a basso costo e alto ritorno:
- MFA su tutti gli accessi, in particolare e-mail, VPN e amministrazione;
- Backup con copia offline/immutabile e ripristino testato;
- Patching strutturato e dismissione dei sistemi non più supportati;
- Formazione base anti-phishing per tutto il personale, board incluso.
4. Controlli strutturali
Affronta poi i controlli che richiedono progetto e budget: EDR/XDR sugli endpoint, SIEM e monitoraggio continuo (internalizzato o tramite MDR/SOC 24/7), processo formale di gestione incidenti, vulnerability management e penetration test periodici, valutazione di sicurezza dei fornitori critici.
5. Documentazione, governance e mantenimento
La NIS2 è anche carta: policy approvate dal vertice, procedure operative, registro dei rischi, piano di audit interno e reportistica per il board. La conformità non è un punto d'arrivo ma un ciclo: penetration test annuale, audit periodici, aggiornamento del risk assessment e formazione continua.
Se hai già — o stai valutando — una certificazione ISO 27001, sei avvantaggiato: copre buona parte dei requisiti NIS2. Restano da colmare gli aspetti specifici (notifica ad ACN, responsabilità degli organi direttivi, alcuni obblighi di supply chain), ma il gap si riduce sensibilmente.
Gli errori da evitare
- Trattarla come un adempimento solo documentale. Le policy senza controlli operativi verificabili non superano un'ispezione ACN.
- Delegare tutto all'IT. La NIS2 chiama in causa il vertice aziendale, che deve approvare le misure, vigilare e formarsi personalmente.
- Ignorare la supply chain. Sia come obbligo verso i propri fornitori, sia perché si può essere coinvolti come fornitori altrui.
- Partire dai tool invece che dal rischio. Comprare prodotti senza gap analysis porta a spendere male e lasciare scoperti i rischi principali.
Domande frequenti
Cos'è la direttiva NIS2 in parole semplici?
È la legge europea (recepita in Italia con il D.Lgs. 138/2024) che obbliga le imprese di settori critici ad avere un livello minimo di cybersecurity, a gestire il rischio in modo formale e a notificare gli incidenti gravi all'ACN entro 24 ore. Estende e sostituisce la precedente NIS1.
Come ci si mette in regola con la NIS2?
Verifica se sei soggetto e registrati sul portale ACN; esegui una gap analysis sulle 10 misure dell'art. 21; implementa i controlli mancanti partendo dai quick win (MFA, backup, patching, formazione); documenta policy e procedure; mantieni il sistema con audit e penetration test periodici. In media servono 6-12 mesi.
Cosa rischia chi non si adegua?
Sanzioni fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali (7 milioni o 1,4% per gli importanti), responsabilità personale degli amministratori e, nei casi gravi, sospensione temporanea dalle funzioni direttive.
La mia PMI è troppo piccola per la NIS2?
Forse non sei soggetto diretto, ma puoi esserlo come fornitore di un'impresa NIS2. Sempre più gare e contratti richiedono requisiti di sicurezza derivati dalla direttiva: adeguarsi è anche un vantaggio competitivo.