Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

guida alla normativa

Direttiva NIS 2: impatto sui fornitori critici sul fronte cyber e su chi si credeva fuori perimetro

Home Norme e adeguamenti
Indirizzo copiato

Un incidente che interessi questi soggetti può avere ripercussioni gravissime sulla sicurezza dei loro clienti. Ecco l’impatto della Direttiva NIS 2 sui fornitori critici, dal punto di vista della cyber security, e sui gruppi societari che, fino a quel punto, si ritenevano al di fuori del perimetro di applicazione della norma

Pubblicato il 15 set 2025
Claudio Telmon

Senior Partner – Information & Cyber Security, P4I – Partners4Innovation – Membro del comitato direttivo di Clusit

NIS 2 fornitori critici

Fra i tanti soggetti ai quali si applica la Direttiva NIS 2 (EU/2022/2555), ve ne sono alcuni ai quali la norma dedica particolare attenzione. Si tratta dei soggetti elencati all’art. 21 comma 5 e ripresi in parte all’art. 23 comma 11.

Ecco l’impatto della Nis 2 sui fornitori la cui criticità, dal punto di vista della cyber security, è abbastanza evidente.

Compliance: strategie operative per l’era post-NIS 2 e la nuova frontieradei modelli organizzativi 231

NIS 2, fornitori con criticità cyber

Si tratta dei soggetti elencati all’art. 21 comma 5 e ripresi in parte all’art. 23 comma 11.

Sono i “fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network, nonché i prestatori di servizi fiduciari”.

Sono soggetti la cui criticità dal punto di vista della cyber security è abbastanza evidente. Infatti, un incidente che interessi questi soggetti può avere ripercussioni gravissime sulla sicurezza dei loro clienti, che possono essere anche percentuali significative delle aziende ed organizzazioni che operano in determinati settori o filiere.

Inoltre, sono tipologie di aziende che, quando offrono i propri servizi pubblicamente, lo fanno spesso a livello internazionale.

Per questo, nei suddetti commi la Direttiva NIS 2 ha delegato alla Commissione europea il compito di adottare per questi soggetti, entro il 17 ottobre 2024:

  • atti di esecuzione che stabiliscono i requisiti tecnici e metodologici delle misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi di sicurezza;
  • atti di esecuzione che specifichino ulteriormente i casi in cui un incidente debba essere considerato significativo.

Direttiva NIS 2 e fornitori critici

La Commissione Europea ha assolto a questo compito con il Regolamento di Esecuzione (UE) 2024/2690.

Apparentemente si tratterebbe quindi di un regolamento che interessa solo alcuni fornitori di servizi particolarmente critici, ed in effetti non è stato considerato molto dalla generalità dei soggetti NIS 2, fino a quando, con la Faq 2.12 e 2.13, l’Acn ha chiarito che:

  • un soggetto rientra nell’ambito di applicazione anche qualora svolga solo in forma residuale attività riconducibili alle tipologie di soggetto di cui agli allegati I, II, III e IV;
  • ai fini delle valutazioni circa l’ambito di applicazione non sono distinte le attività e i servizi svolti a favore di organizzazioni dello stesso gruppo di imprese o dello stesso consorzio rispetto a quelli svolti a favore di soggetti esterni al gruppo di imprese o al consorzio.

L’effetto sui fornitori che si ritenevano fuori dal perimetro

Queste due precisazioni, unite al criterio del bilancio consolidato come parametro per la valutazione delle dimensioni dell’azienda facente parte di un gruppo di imprese, ha avuto un effetto dirompente non solo sui gruppi che svolgono attività che li portano ad essere già di loro in perimetro NIS2, ma anche sugli altri gruppi societari, che fino a quel punto si ritenevano al di fuori del perimetro di applicazione della norma.

Questo, perché praticamente in ogni gruppo societario c’è una società del gruppo, che sia la capogruppo o una società di servizi infragruppo, che opera internamente al gruppo almeno come “fornitore di servizi (ICT) gestiti”.

Secondo questa interpretazione, queste società rientrano fra i soggetti ai quali si applica la norma, e quindi, fra l’altro, devono anche rispettare il Regolamento 2690.

Inutile dire che questa interpretazione ha sollevato dubbi e generato discussioni.

Interpretazioni dubbie, interviene l’Acn

Proprio per fugare questi dubbi interpretativi, l’Acn ha ritenuto utile, in occasione dell’incontro NIS2, istruzioni per l’uso” svoltosi a giugno ed organizzato con il Clusit e con gli Osservatori del Politecnico di Milano, non solo confermare questa interpretazione, ma anche precisare che da interlocuzioni informali avute con la Commissione europea, l’orientamento pubblicato con le FAQ è stato confermato come corretto.

Il rischio di non conformità

Nonostante questo, inoltre, diversi gruppi ritengono ancora non corretta questa interpretazione (che considerano sproporzionata e/o non coerente con gli obiettivi della Direttiva) e non si stanno adeguando agli obblighi che impone a queste categorie di soggetti, assumendosi naturalmente il corrispondente rischio di non conformità.

Particolarmente delicata la posizione di quei gruppi che, operando in settori in sé non in perimetro di applicabilità, non si stanno interessando della norma e quindi non sono tuttora a conoscenza di questa criticità.

Queste aziende non si stanno adeguando non per una cosciente valutazione ed assunzione di rischio, ma per carenza di informazioni.

Se escludiamo le aziende che operano sul mercato come fornitori pubblici dei servizi ai quali fa riferimento il Regolamento 2690, le aziende che offrono questi servizi infragruppo (nel seguito, per semplicità, “le società di servizi infragruppo”) per la maggior parte non hanno ancora approfondito molto i requisiti posti da questo regolamento.

Gli obblighi con scadenza al 31 luglio

Per lo più, finora si sono focalizzate sugli obblighi con scadenza al 31 luglio o sugli obblighi posti dalla Determinazione ACN 164179 e dai relativi allegati, ovvero i cosiddetti “obblighi di base”, rinviando comunque a dopo le ferie estive l’approfondimento delle attività da svolgere.

È ormai tempo però di avviare queste analisi, sia perché sono necessarie per pianificare correttamente gli investimenti per il 2026, sia perché il Regolamento 2024/2690 prevede alcune misure tecniche rilevanti e non coperte dagli “obblighi di base”.

Quindi, per quanto riguarda il dettaglio delle misure tecniche, operative e organizzative, nonché gli aspetti metodologici, le società di servizi infragruppo in perimetro hanno quindi tre fonti normative:

  • gli obblighi di base (Determinazione ACN 164179);
  • il Regolamento 2690;
  • almeno per alcuni aspetti applicabili a tutti i soggetti in perimetro NIS2, la legge 90/2024

Buone pratiche in ambito Nis 2 per i fornitori critici

Per quanto, alla fine, tutte queste norme facciano riferimento a buone pratiche consolidate nel settore della cyber security, e quindi sia possibile trovare un filo conduttore comune, ciascuna mette l’accento e precisa dettagli specifici, e quindi è importante analizzarle congiuntamente ed identificare le azioni richieste da ciascuna, definendo comunque poi un piano di adeguamento unico.

La complessità è aumentata anche dal fatto che ciascuna prende come riferimento diverse norme tecniche: se la normativa italiana prende come ovvio riferimento il nostro framework nazionale (seppure in versioni diverse, dato che la legge 90/2024 è stata emanata prima della pubblicazione della versione 2.1 del framework nazionale, al quale fanno invece riferimento gli obblighi di base), il Regolamento 2690 fa esplicitamente riferimento, al considerando (3), al framework ISO/IEC 27001, nonché alle norme tecniche ETSI EN 319401 e CEN/TS 18026 per alcuni aspetti specifici.

Precisazione sul framework ISO/IEC 27001

Disporre di una certificazione 27001 non comporta in sé la conformità tecnica alle norme di legge indicate.

Primo, perché il campo di applicazione della certificazione è generalmente limitato, mentre la Direttiva NIS2 si applica alla totalità dei sistemi e delle reti aziendali; secondo, perché, comunque, le norme di legge indicano specifici dettagli che non sono impliciti nei requisiti molto più generali della certificazione.

Infine, perché la norma richiede di avere un sistema di gestione efficace, e quindi è più tollerante rispetto a specifiche misure tecniche che non siano attualmente implementate ma siano gestite con una pianificazione coerente con le valutazioni di rischio.

Misure entro i termini indicati dalle singole norme

Le norme di legge, invece, pur essendo anch’esse basate principalmente su logiche di gestione del rischio, e consentendo in alcuni casi l’adozione di misure compensative dove non possano essere adottate quelle indicate, richiedono comunque l’adozione delle specifiche misure entro i termini indicati dalle singole norme.

A questo riguardo, mentre per gli obblighi di base, i termini per l’adeguamento sono gennaio 2026 per la notifica degli incidenti significativi, e ottobre 2026 per le altre misure, il Regolamento 2690 non indica dei termini, e quindi dovrebbe essere di principio “immediatamente efficace”.

In realtà, la maggior parte delle aziende sta pianificando ragionevolmente l’adeguamento insieme agli obblighi di base, quindi entro le relative scadenze.

Il Regolamento 2024/2690

Esaminiamo quindi il Regolamento 2024/2690. Si può considerare diviso in due parti:

  • una prima parte specifica ulteriormente, come previsto appunto dall’art. 23 della Direttiva NIS2, i casi in cui un incidente debba essere considerato significativo
  • una seconda parte, composta essenzialmente dall’allegato 1, specifica maggiormente i requisiti corrispondenti essenzialmente a ciascuna lettera dell’art. 21 comma 2 della Direttiva NIS2, ovvero le misure di gestione dei rischi.

Per quanto riguarda la parte sulla specifica degli incidenti, è composta sostanzialmente:

  • dall’art. 3, che dà dei criteri da adottare da parte di tutti i soggetti a cui è applicabile il regolamento;
  • dall’art. 4, che indica come incidenti ricorrenti che si presentino ripetutamente con determinate caratteristiche, debbano essere considerati collettivamente un unico incidente significativo;
  • dagli articoli da 5 a 14, che definiscono ulteriormente delle casistiche di incidenti significativi per diverse categorie di soggetti ai quali si applica il Regolamento.

Al netto eventualmente dei criteri dell’art.3, è difficile che da queste casistiche di incidenti si possa dedurre qualcosa di rilevante per altre categorie di soggetti in perimetro NIS2.

Esempi su categorie di soggetti in perimetro NIS 2

La maggior parte delle categorie comprende un criterio basato sui tempi di fermo o sul rallentamento dei servizi, nella maggior parte dei casi con una soglia di 20 o 30 minuti di indisponibilità.

È chiaro che se l’indisponibilità di un servizio fiduciario pubblico può rappresentare una criticità già con 20 minuti di fermo, se, per esempio, facciamo riferimento a un soggetto del settore manifatturiero in perimetro NIS 2, sono molto pochi i servizi per i quali un fermo così breve rappresenti veramente una criticità.

Rimangono comunque criteri che le società di servizi infragruppo devono considerare per le tipologie di servizi che forniscono, in particolare tipicamente almeno quelli dell’art. 3, che si applicano anche ai fornitori di servizi gestiti.

Opportunamente, l’art. 3 non comprende criteri sui tempi di fermo, mentre la fornitura di servizi di datacenter, che fra i servizi infragruppo è abbastanza comune, una parziale indisponibilità di un’ora deve già essere segnalata.

L’allegato 1

Molto più interessante, naturalmente, l’allegato 1, che definisce le modalità di implementazione dei requisiti dell’art.21 comma 2 in modo spesso più dettagliato e impegnativo di quanto non prevedano gli obblighi di base.

A titolo esemplificativo, si parla esplicitamente di individuazione dei single point of failure, di riesami indipendenti della sicurezza, delle tipologie minime di eventi che devono essere monitorate e registrate, di struttura minima delle procedure di risposta agli incidenti.

Un’intera sezione, la 6.8 è dedicata alla segmentazione della rete. Singoli punti
possono avere un impatto rilevante sulle modalità di gestione dei sistemi e delle reti.

Per esempio, il punto 6.7.2 lettera e), richiede di “non utilizzare sistemi impiegati per l’amministrazione dell’attuazione della politica di sicurezza per altre finalità”; un requisito certamente in linea con le migliori pratiche di settore per un fornitore critico, ma che può certamente risultare oltre le normali buone pratiche per una società di servizi infragruppo.

La guida di Enisa su NIS e fornitori critici

In relazione a queste misure, l’agenzia europea ENISA, coerentemente con il proprio mandato e con le indicazioni della Direttiva NIS2, che prevede che su molti temi assista la Commissione europea con la propria competenza tecnica, ha pubblicato una guida di implementazione tecnica (Technical implemetation guidance 5 ) relativa appunto al Regolamento 2690.

Questa guida fornisce quindi indicazioni metodologiche e implementative, riprendendo i punti dell’allegato 1 e fornendo per ciascuno una guida implementativa (“guidance”) e un elenco di esempi di evidenze.

La guida è quindi ancora più dettagliata, anche se non sempre è immediato ricondurre i punti delle sezioni di guida ai singoli requisiti posti dal regolamento, né ne facilita sempre realmente la comprensione.

Per esempio, la guida implementativa relativa al punto 6.7.2 sopra citato non sembra di grande aiuto nell’interpretazione della corretta implementazione della citata lettera e).

In effetti, sembrerebbe che tutti i punti da a) a i) siano coperti dai primi tre bullet della guida implementativa.

Fra questi, il terzo bullet indica di considerare un accesso alla rete zero-trust, concetto che viene ampliato in una nota a pié di pagina, arrivando al concetto di microsegmentazione, ma senza supportare una valutazione di cosa sia realmente richiesto per soddisfare specificamente il punto e).

Fortunatamente, per molte delle misure più impegnative viene appunto indicato di “considerarne” l’adozione, il che lascia spazio alla scelta di non farlo, purché vi sia una adeguata e documentata motivazione.

Dobbiamo sempre ricordare infatti, che in presenza di requisiti di conformità normativa, la documentazione delle valutazioni e delle scelte fatte è fondamentale, per poter dare evidenza della loro coerenza con le norme e con le valutazioni di rischio.

NIST Cybersecurity Framework 2.0

Il documento, nella sezione di introduzione, riprende le norme tecniche citate dal Regolamento 2690, aggiungendo però anche il Framework CSF 2.0 del NIST, sul quale è basato il nostro framework nazionale, e fornisce anche una mappatura dei requisiti del regolamento con diversi framework.

Tuttavia, nelle note a piè di pagina, fa riferimento a molti altri standard e buone pratiche, internazionali e non.

Una guida puramente consultiva

È bene precisare comunque che il disclaimer della guida indica chiaramente che la guida non è legalmente vincolante (legally binding) ed ha carattere puramente consultivo.

Nonostante ciò, la Technical implementation guidance di ENISA non può non essere un documento cardine per chi debba adeguarsi al Regolamento 2690, quantomeno per assicurarsi di aver “considerato” tutte le misure indicate: dove vi sia una guida da parte di un’agenzia europea relativa a buone pratiche nell’implementazione di una norma europea infatti, decidere di ignorarla espone a dover poi, magari in occasione di un incidente, dimostrare che le proprie scelte difformi siano state corrette, per quanto magari non efficaci sull’incidente specifico.

Meglio in generale considerare la guida e dare evidenza di come le eventuali scelte difformi siano state a priori ponderate in relazione ai rischi, ai costi ed all’efficacia.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Claudio Telmon
Senior Partner – Information & Cyber Security, P4I – Partners4Innovation – Membro del comitato direttivo di Clusit

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • GDPR AI assicurazioni

  • la riflessione

    GDPR e intelligenza artificiale: ecco una “bussola” per il mondo assicurativo

    07 Mar 2025

    di Stefano Petrussi

    Condividi
  • CryptPad e il paradigma zero-knowledge: un binomio vincente - La fiducia come capitale: la conformità al Gdpr e alla NIS 2 diventa un vantaggio competitivo

  • responsabilità proattiva

    La fiducia come capitale: la conformità a GDPR e NIS 2 diventa un vantaggio competitivo

    31 Ott 2025

    di Giuseppe Alverone

    Condividi
  • Direttiva NIS 2 in sanità

  • settore sanitario

    Direttiva NIS 2, una leva normativa per rendere sicuri i dispositivi medicali

    23 Apr 2025

    di Michele Liberti e Michele Onorato

    Condividi