Negli ultimi anni gli attacchi informatici non sono più episodi isolati gestiti dai tecnici “in sala macchine”, ma eventi che fermano ospedali, trasporti, servizi pubblici, filiere produttive. La Direttiva NIS2 è la risposta dell’Unione Europea a questa nuova normalità: un quadro di regole comuni per obbligare i soggetti più critici a trattare la cybersicurezza come un tema strategico, non come un costo IT da comprimere.
Dal “minimo indispensabile” alla resilienza: cosa vuole davvero NIS2
La prima direttiva NIS del 2016 aveva un merito: ha imposto per la prima volta a certi operatori di parlere di sicurezza informatica in modo strutturato. Ma nel tempo ha mostrato due limiti: troppi pochi soggetti coinvolti e approccio disomogeneo da Stato a Stato.
NIS2 (Direttiva UE 2022/2555), recepita in Italia con il D.Lgs. 4 settembre 2024 n. 138, nasce per correggere questi limiti: allarga il perimetro dei soggetti obbligati, rafforza i requisiti minimi e introduce regole più chiare su controlli e sanzioni.
L’idea di fondo è semplice: se un’azienda o un ente gestisce un servizio essenziale per la collettività o per l’economia, deve dimostrare di avere una gestione del rischio cyber all’altezza del ruolo che ricopre. Non si tratta quindi solo di installare strumenti tecnici, ma di dimostrare di avere processi, responsabilità e prove documentali di ciò che si fa.
Chi rientra nella NIS2: non solo “grandi infrastrutture”
La domanda chiave che ogni organizzazione dovrebbe porsi è: “Io rientro in NIS2?”.
La direttiva non guarda solo alla tecnologia, ma soprattutto a due elementi: settore di attività e dimensione dell’impresa.
In estrema sintesi:
la NIS2 si applica a soggetti pubblici e privati che operano in 18 settori critici (energia, trasporti, sanità, finanza, infrastrutture digitali, PA, produzione in comparti sensibili, servizi digitali, ecc.);
tra questi soggetti, distingue tra entità essenziali ed entità importanti, sulla base della criticità del servizio e delle dimensioni (almeno “media impresa”, cioè tipicamente ≥50 dipendenti e oltre 10 milioni di fatturato annuo, con eccezioni).
È importante sottolineare che alcune piccole e microimprese possono comunque rientrare nel perimetro, ad esempio se sono l’unico fornitore di un servizio critico o se svolgono specifiche attività indicate come sensibili.
Link: https://www.acn.gov.it/portale/documents/d/guest/faq-1-5_dettaglio-ambiti-di-applicazione
Per molte PMI italiane, il tema non è se la normativa esista, ma capire concretamente se sono coinvolte e con quali obblighi.
Cosa cambia nella pratica: dalla teoria a tre domande concrete
Per capire l’impatto reale di NIS2 è utile tradurre il testo normativo in tre domande semplici:
chi decide sulla sicurezza e chi ne risponde?
quali misure minime devo dimostrare di avere?
cosa succede se subisco (o gestisco male) un incidente?
Vediamole in ordine.
Governance: la sicurezza non è più un tema solo IT
NIS2 rende esplicito che gli organi direttivi (amministratori, vertici dell’ente) hanno un ruolo attivo: devono approvare le misure di gestione del rischio cyber, seguirne l’attuazione e ricevere formazione adeguata. In altre parole, non basta “delegare al responsabile IT”: il vertice deve poter comprendere cosa si sta facendo, quali rischi residui rimangono e quali investimenti sono necessari.
Questo cambio di prospettiva ha due effetti:
la cybersicurezza entra a pieno titolo nelle scelte di strategia, budget, organizzazione;
in caso di gravi inadempienze, la normativa prevede anche conseguenze specifiche per chi dirige, non solo per l’ente nel suo complesso.
Misure minime: non un elenco infinito, ma un set di pilastri
L’articolo 21 di NIS2 non impone una lista “uguale per tutti”, ma definisce una serie di pilastri che ogni soggetto deve coprire con misure adeguate alla propria realtà. Tra questi, i più rilevanti per imprese e PA sono:
gestione del rischio: identificare e valutare periodicamente i rischi cyber, non solo “punti deboli tecnologici” ma anche processi, persone e fornitori;
gestione degli incidenti: avere una procedura chiara per riconoscere, classificare, gestire e notificare gli incidenti;
business continuity e disaster recovery: garantire continuità dei servizi e capacità di ripristino tramite backup sicuri e piani testati;
sicurezza della supply chain: valutare non solo il proprio livello di sicurezza, ma anche quello di fornitori e partner critici;
protezione tecnica dei sistemi: autenticazione forte, gestione degli accessi, aggiornamenti regolari, monitoraggio degli eventi, crittografia dei dati sensibili;
formazione e consapevolezza: programmi stabili di sensibilizzazione del personale, perché molti incidenti nascono da errori umani.
La logica è quella dell’adeguatezza: le misure devono essere proporzionate ai rischi e alla dimensione dell’ente, ma l’assenza totale di uno di questi pilastri è difficilmente giustificabile.
Incidenti: cosa va notificato, a chi e in quanto tempo
Uno dei punti più delicati di NIS2 riguarda la gestione degli incidenti significativi.
La direttiva prevede una timeline precisa articolata in più fasi, che gli Stati membri (Italia compresa) hanno recepito nei propri ordinamenti.
In sintesi, quando un incidente può avere impatto rilevante sui servizi essenziali o sulla sicurezza di dati e utenti:
entro 24 ore va inviato un preallarme all’organo nazionale competente (in Italia il CSIRT Italia/ACN), per segnalare la situazione e indicare se è sospettato un attacco doloso;
entro 72 ore va inviata una notifica più completa, con una prima valutazione di gravità, impatto e stato dell’incidente;
entro un mese deve essere trasmessa una relazione finale, che spieghi cause, misure adottate e azioni per evitare il ripetersi dell’evento.
Questo comporta due conseguenze pratiche: bisogna essere in grado di accorgersi degli incidenti (monitoraggio, logging) e avere persone e procedure pronte a reagire senza improvvisazioni.
Perché le sanzioni non sono l’unico motivo per adeguarsi
Molti si avvicinano alla NIS2 partendo dalle cifre delle sanzioni, che sono effettivamente elevate: fino a 10 milioni di euro o al 2% del fatturato per le entità essenziali, e fino a 7 milioni o all’1,4% per le entità importanti.
Ma limitarsi a questo aspetto rischia di far perdere il quadro d’insieme.
Le imprese e gli enti che si adeguano seriamente alla NIS2:
riducono la probabilità di interruzioni prolungate dei servizi e di danni economici diretti;
migliorano la qualità dei rapporti con clienti, fornitori e istituzioni, perché possono dimostrare controllo sul rischio;
si posizionano meglio nelle gare e nelle filiere internazionali, dove la “cyber posture” diventa sempre più un requisito di ingresso.
In questo senso, la conformità alla NIS2 è anche un investimento sulla reputazione e sulla tenuta nel lungo periodo.
Da dove iniziare: un percorso graduale, non una corsa all’ultimo minuto
Per molte organizzazioni il punto non è “se” adeguarsi, ma come farlo in modo sostenibile. Un percorso realistico prevede alcuni passi di base come i seguenti.
Capire se si è dentro o fuori: verifica del settore e delle dimensioni, con eventuale supporto di consulenti per i casi meno lineari.
Mappare i servizi critici: identificare quali servizi, sistemi e dati sarebbero più critici in caso di fermo o compromissione.
Valutare il punto di partenza: analisi dei rischi e gap analysis rispetto ai pilastri di NIS2.
Pianificare gli interventi: stabilire priorità, budget e tempi, partendo dalle misure che riducono di più il rischio con il minor impatto organizzativo.
Stabilizzare il modello: trasformare gli interventi in procedure stabili, con verifiche periodiche e formazione ricorrente.
L’obiettivo non è arrivare “perfetti” al giorno X, ma costruire un sistema di sicurezza che funzioni davvero, sia verificabile e resti aggiornato nel tempo.
Quadro sintetico NIS2 per imprese e PA
FAQ operative sulla Direttiva NIS2
1. Come faccio a capire in pratica se la mia azienda rientra nella NIS2?
Devi incrociare tre elementi: settore (uno dei 18 settori critici indicati negli allegati della direttiva e del D.Lgs. 138/2024), dimensione (almeno media impresa, salvo eccezioni) e tipo di servizi offerti (se essenziali o importanti per la collettività o per altre entità NIS2).
In caso di dubbio, è consigliabile fare una verifica formale (anche con un consulente) e, se sei “borderline”, procedere comunque alla registrazione sulla piattaforma ACN per far valutare ufficialmente la posizione.
2. Se non mi sono registrato su ACN entro la scadenza, cosa devo fare ora?
Chi ha saltato la finestra di registrazione non è “fuori dalla norma”: deve recuperare quanto prima, completando il censimento sulla piattaforma ACN e predisponendo contestualmente un piano di adeguamento concreto (misure minime, roadmap, documentazione).
In questa fase le autorità guardano molto alla buona fede operativa: è importante poter dimostrare che ti stai muovendo con un percorso strutturato, non solo caricando dati last minute.
3. Che differenza c’è tra essere “essenziale” e “importante” dal punto di vista pratico?
Entrambe le categorie devono adottare le stesse famiglie di misure (gestione rischi, incidenti, supply chain, formazione, ecc.), ma: le entità essenziali sono più esposte a controlli proattivi e a sanzioni di importo massimo più elevato; per le entità importanti i controlli sono più spesso avviati “a valle” di incidenti o segnalazioni.
In sostanza, gli obblighi qualitativi sono simili, cambia il livello di scrutinio e il “peso” delle conseguenze in caso di violazioni.
4. Se un mio cliente è soggetto NIS2 ma io no, perché dovrei preoccuparmi?
Perché le aziende soggette alla NIS2 sono obbligate a valutare la sicurezza della propria supply chain: se sei un fornitore critico, ti chiederanno evidenze di controlli minimi (backup seri, autenticazione forte, gestione patch, procedure incidenti).
Se non sei minimamente allineato, rischi di perdere contratti o di subire richieste di adeguamento “urgente” con costi più alti e poco pianificati.
5. Quali sono le tre misure tecniche che dovrei implementare subito per non essere “fuori gioco”?
In molti casi, il primo blocco di misure a maggior impatto è: autenticazione a più fattori per accessi remoti e privilegiati, strategia di backup sicura e testata, processo strutturato di aggiornamento sicurezza (patch management).
Non sono le uniche richieste della NIS2, ma sono spesso il punto debole più evidente e quello che viene guardato subito in caso di incidente o ispezione.
6. Come devo organizzarmi per rispettare i tempi di notifica incidenti (24h/72h/1 mese)?
Serve molto di più di una “clausola in policy”: devi avere un flusso chiaro che definisce chi rileva gli incidenti, chi decide se sono “significativi”, chi prepara le notifiche e chi mantiene i contatti con CSIRT/ACN.
Un buon approccio è simulare almeno una volta l’intero ciclo di notifica (esercitazione/table‑top) per verificare se in 24 ore riesci davvero a raccogliere le informazioni minime richieste.
7. Cosa devo documentare per dimostrare la conformità, oltre alle misure tecniche?
Oltre a firewall, backup e MFA, è fondamentale avere: report di valutazione dei rischi, policy e procedure approvate, verbali o evidenze del coinvolgimento del CdA, piani di formazione, registri incidenti e prove delle attività svolte (test DR, simulazioni, audit).
In assenza di documentazione, molte misure tecniche “di fatto” non risultano dimostrabili agli occhi dell’autorità di controllo.
8. Ha senso puntare subito a ISO 27001 per essere a posto con NIS2?
Non è obbligatorio, ma può essere una scelta strategica: la ISO 27001 fornisce un quadro strutturato per la gestione della sicurezza e aiuta a dimostrare che la logica NIS2 (risk‑based, ciclica, documentata) è effettivamente implementata.
Per molte organizzazioni, però, ha senso prima colmare i gap più evidenti rispetto ai requisiti minimi NIS2 e solo dopo valutare un percorso di certificazione.
