In un periodo in cui la digitalizzazione ha un ruolo chiave nella società e nell'economia, la sicurezza informatica non è più una questione tecnica riservata agli specialisti IT. È diventata un elemento centrale della governance aziendale e della resilienza strategica degli Stati. Con la Direttiva NIS2, l’Unione Europea ha risposto all’accelerazione delle minacce digitali con un quadro normativo più ampio, più incisivo e più vincolante.
A partire dal recepimento nazionale (in Italia a fine 2024), enti pubblici e imprese private devono rispettare nuove regole, affrontando un salto di qualità nella gestione del rischio informatico. Vediamo cosa prevede la NIS2, a chi si applica e quali passi operativi sono necessari.
La direttiva NIS originale, entrata in vigore nel 2016, aveva introdotto per la prima volta in Europa obblighi minimi di sicurezza per i cosiddetti "operatori di servizi essenziali". Tuttavia, col tempo è apparso chiaro che lo scenario delle minacce si è radicalmente trasformato. Oggi, attacchi ransomware su larga scala, vulnerabilità delle supply chain digitali e gruppi criminali transnazionali mettono a rischio infrastrutture vitali, piccole imprese e sistemi pubblici.
La NIS2 è quindi una revisione strutturale: non solo aggiorna i requisiti tecnici, ma ridefinisce il perimetro degli obblighi e attribuisce maggiore responsabilità alla governance aziendale.
Chi è coinvolto: l’ampliamento del perimetro
Uno degli elementi più rivoluzionari della NIS2 è l’ampliamento degli attori coinvolti. La direttiva distingue due categorie di soggetti:
- Entità essenziali, come operatori nei settori dell’energia, trasporti, sanità, acqua potabile, infrastrutture digitali, pubblica amministrazione centrale.
- Entità importanti, che operano in comparti come servizi postali, produzione e distribuzione alimentare, manifatturiero high-tech, fornitori di servizi digitali, pubblica amministrazione locale.
Il criterio non è solo la natura dell’attività, ma anche dimensioni e impatto sistemico: tutte le imprese con più di 50 dipendenti o 10 milioni di euro di fatturato annuo, se appartenenti a settori critici, rientrano negli obblighi.
Obblighi e responsabilità: cosa cambia in concretoLa NIS2 impone un vero e proprio sistema di gestione del rischio informatico, strutturato su misure tecniche e organizzative che devono essere adottate in modo documentato e verificabile. Tra le principali novità:
1. Gestione dei rischi - Le entità devono effettuare analisi periodiche del rischio, classificare le vulnerabilità, definire misure preventive e controlli di sicurezza (firewall, segmentazione di rete, MFA, patching continuo).
2. Notifica degli incidenti - Gli incidenti significativi devono essere notificati all’autorità nazionale (in Italia, l’ACN) entro 24 ore dalla scoperta, con aggiornamenti successivi e un rapporto finale entro un mese.
3. Business continuity - È richiesto un piano di continuità operativa, che includa backup, ripristino e test periodici. La resilienza deve essere garantita anche in caso di attacchi prolungati o sistemici.
4. Governance e accountability - Il consiglio di amministrazione e i dirigenti sono responsabili personalmente del rispetto della direttiva. Devono ricevere formazione, supervisionare le politiche di sicurezza e approvare il piano di adeguamento.
Le sanzioni: un rischio concreto per chi ignora gli obblighiIl regime sanzionatorio introdotto dalla NIS2 è significativamente più severo rispetto al passato. Per le entità essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o il 2% del fatturato globale annuo, mentre per quelle importanti il tetto è di 7 milioni o 1,4%.
Oltre alle sanzioni economiche, sono previste misure accessorie come sospensione di dirigenti, obbligo di pubblicazione delle violazioni o limitazioni operative.
Lo stato di attuazione in Italia nel 2025Nel nostro Paese, la Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità responsabile dell’attuazione della direttiva. Ha già:
- istituito una piattaforma nazionale per la registrazione delle entità obbligate (scadenza: 28 febbraio 2025);
- pubblicato le prime determinazioni operative (es. la Determina ACN 164179 del 14 aprile 2025) che definiscono contenuti minimi per le notifiche e le misure richieste;
- avviato attività di informazione e accompagnamento per aiutare enti pubblici e aziende a orientarsi.
Al momento non risultano ancora sanzioni effettivamente irrogate, ma il quadro sanzionatorio è pienamente operativo, e i primi controlli sono attesi nel secondo semestre del 2025.
Come adeguarsi: un approccio concretoAdeguarsi alla NIS2 richiede più di un semplice aggiornamento tecnico. È un processo di trasformazione organizzativa che passa per:
- una mappatura accurata degli asset digitali, dei processi e delle terze parti critiche;
- la definizione di un piano di adeguamento che includa formazione, governance, strumenti tecnici e revisione delle policy interne;
- il coinvolgimento del vertice aziendale, che deve assumere un ruolo attivo nel supervisionare la strategia di cybersecurity;
- una logica di miglioramento continuo, che considera la sicurezza come parte integrante della strategia aziendale, non come una funzione isolata.
La NIS2 non è solo una direttiva da rispettare, ma anche un’occasione per ripensare il ruolo della cybersecurity come asset strategico per la competitività e la fiducia. In un mondo sempre più digitale e interdipendente, garantire la sicurezza dei sistemi informativi è anche un modo per proteggere valore, reputazione e continuità operativa.
Ignorare la NIS2 non è più un’opzione. Investire oggi in un’adeguata strategia di conformità significa costruire un’organizzazione più solida, più affidabile e più pronta al futuro.