Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

la guida completa

NIS2: cos’è, quali aziende interessa, obblighi e sanzioni

Home Norme e adeguamenti
Indirizzo copiato

La NIS2 ridefinisce la cyber security aziendale in Europa con obblighi vincolanti per entità essenziali e importanti: dall’analisi del rischio alla notifica incidenti entro 24 ore, fino alla responsabilità personale dei dirigenti. La guida operativa per prepararsi alle scadenze e alla compliance

Pubblicato il 11 nov 2025
Paolo Tarsitano

Editor Cybersecurity360.it

NIS2; La Direttiva NIS2 e la gestione della sicurezza nella supply chain

NIS 2 in sintesi

  • La Direttiva NIS2 (recepita col D.lgs. 138/2024) estende la protezione cyber a 18 settori, assegna all’ACN la funzione di Autorità nazionale e impone responsabilità diretta dei vertici.
  • Obblighi principali: misure tecniche dell’articolo 24 (risk assessment, MFA, backup, sicurezza supply chain) e designazione del Referente CSIRT entro il 31/12/2025; notifiche operative da gennaio 2026, conformità completa entro ottobre 2026.
  • Sanzioni severe per EE e EI (fino a 10M€ o 2% fatturato per EE; 7M€ o 1,4% per EI); agire subito: assessment, quick wins (MFA, patch, backup), documentare e pianificare la compliance.
Riassunto generato con AI

Vi siete mai chiesti cosa succederebbe se un cyber attacco paralizzasse simultaneamente ospedali, centrali elettriche e sistemi di trasporto?

Non è fantascienza: è lo scenario che l’Unione Europea vuole prevenire con la direttiva NIS2.

Che cos’è la direttiva NIS2 e perché è stata introdotta

La Direttiva (UE) 2022/2555, meglio nota come NIS2 (Network and Information Security 2), rappresenta il più ambizioso tentativo europeo di costruire una resilienza digitale sistemica, imponendo standard di cyber security uniformi in tutti i 27 Stati membri.

In Italia, il recepimento è avvenuto con il D.lgs. 138/2024, entrato in vigore il 16 ottobre 2024, che affida all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di Autorità nazionale competente.

Ma perché proprio ora? La risposta è semplice: il panorama delle minacce è radicalmente mutato. Se la NIS1 (2016) nasceva in un’era dove il ransomware era ancora un fenomeno emergente, oggi affrontiamo attacchi alla supply chain, operazioni di spionaggio cibernetico sponsorizzate da Stati e offensive ransomware-as-a-service capaci di paralizzare intere filiere produttive.

Contestualizzare il framework nazionale di cyber security: un metodo per la conformità NIS2

Il contesto: dalla NIS1 alla NIS2

La prima direttiva NIS (2016/1148) fu pionieristica: per la prima volta l’Europa si dotava di un quadro normativo vincolante sulla cyber security.

Eppure, l’esperienza sul campo ne ha rivelato i limiti strutturali.

Copriva solo sette settori critici, lasciando fuori comparti oggi evidentemente strategici come la gestione dei rifiuti, il food supply o la produzione manifatturiera.

I criteri dimensionali escludevano migliaia di piccole e medie imprese che, pur essendo anelli essenziali delle catene di fornitura, rimanevano fuori dal perimetro regolatorio.

La NIS2 parte, invece, da una constatazione brutalmente realistica: in un ecosistema digitale interconnesso, la sicurezza del sistema è determinata dal suo anello più debole. È inutile blindare le grandi utility energetiche se il loro fornitore di componenti IoT opera senza alcun presidio di sicurezza.

Per questo la nuova direttiva estende il campo di applicazione a 18 settori (11 altamente critici e 7 critici), coinvolgendo oltre 80 tipologie di soggetti e ridefinendo i criteri dimensionali per includere medie imprese e, in alcuni casi specifici, anche PMI e microimprese.

Gli obiettivi della nuova normativa europea sulla cyber security

La NIS2 non è una semplice evoluzione normativa: è un cambio di paradigma. L’obiettivo dichiarato è tripartito:

  1. Armonizzazione reale. La NIS1 lasciava troppo spazio interpretativo agli Stati membri, creando livelli di protezione disomogenei. La NIS2 introduce obblighi tecnici dettagliati, riducendo al minimo i margini di discrezionalità nazionale.
  2. Accountability dei vertici aziendali. Una delle novità più dirompenti è la responsabilità diretta degli organi di amministrazione. Non basta più delegare la cyber security al reparto IT: i consigli di amministrazione devono approvare le misure di sicurezza, garantire le risorse necessarie e sottoporsi a formazione specifica. In caso di violazioni gravi, i manager rischiano sanzioni personali e interdizione dalle funzioni direttive.
  3. Gestione del rischio di filiera. La NIS2 impone una valutazione sistemica delle vulnerabilità, estendendo gli obblighi di security ai rapporti con fornitori e subfornitori. Non è più sufficiente proteggere il proprio perimetro: bisogna governare il rischio cyber lungo l’intera catena del valore.

NIS2: chi sono i soggetti obbligati e come vengono classificati

Determinare se un’organizzazione rientra nel perimetro NIS2 è tutt’altro che banale. Il decreto italiano introduce criteri di classificazione articolati, basati su tre parametri fondamentali: settore di attività, dimensioni aziendali e criticità dei servizi erogati.

L’approccio è ibrido: per alcuni settori vige una logica di inclusione automatica (come le pubbliche amministrazioni centrali), per altri si applicano soglie dimensionali precise.

Partiamo da un dato che molte aziende stanno scoprendo solo ora: il fatto di non essere “grandi” non significa essere esclusi.

La NIS2 abbandona la logica puramente dimensionale della NIS1, introducendo il principio di rilevanza sistemica. Tradotto: se la vostra azienda erogasse servizi essenziali per il funzionamento di filiere critiche, potreste rientrare anche con un organico ridotto.

Entità essenziali (EE) e entità importanti (EI): le differenze chiave

La distinzione tra entità essenziali (EE) e entità importanti (EI) non è meramente classificatoria: determina intensità degli obblighi, frequenza dei controlli e, soprattutto, entità delle sanzioni.

Le entità essenziali operano nei settori altamente critici (energia, trasporti, sanità, infrastrutture digitali, acqua, settore bancario, mercati finanziari, spazio) e sono soggette a vigilanza rafforzata.

Per queste organizzazioni, l’ACN può disporre ispezioni in loco senza preavviso e richiedere audit straordinari.

Le entità importanti, pur operando in settori critici (servizi postali, gestione rifiuti, industria alimentare, manifattura, ricerca), godono di un regime leggermente meno stringente, ma non per questo trascurabile.

La differenza si riflette anche nell’apparato sanzionatorio: per le EE le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo; per le EI il tetto scende a 7 milioni di euro o all’1,4% del fatturato.

Attenzione: questo è l’errore che si commette più spesso. Molte aziende ritengono che, rientrando nella categoria “importanti”, possano permettersi un approccio soft alla compliance. Sbagliato. La differenza tra EE ed EI riguarda l’intensità della vigilanza, non la sostanza degli obblighi tecnici. Le misure di sicurezza richieste dall’articolo 24 del decreto attuativo della NIS 2 si applicano a entrambe le categorie con minime differenziazioni.

I settori critici coinvolti e il principio della dimensione

I 18 settori coperti dalla NIS2 rappresentano l’ossatura dell’economia europea.

Parliamo di:

  1. energia (produzione, trasmissione, distribuzione elettrica, gas, idrogeno, riscaldamento);
  2. trasporti (aerei, ferroviari, marittimi, stradali);
  3. settore bancario e mercati finanziari;
  4. sanità (ospedali, laboratori, produzione farmaceutica);
  5. acqua potabile e acque reflue;
  6. infrastrutture digitali (cloud, data center, CDN, DNS, TLD, registri digitali);
  7. spazio (operatori di infrastrutture terrestri critiche);
  8. pubblica amministrazione (centrale e regionale);
  9. servizi postali;
  10. gestione rifiuti;
  11. produzione e distribuzione alimentare;
  12. industria manifatturiera (dispositivi medici, computer ed elettronica, macchinari, veicoli e rimorchi, altri mezzi di trasporto);
  13. fornitori digitali (marketplace, motori di ricerca, social network), ricerca.

Il principio dimensionale opera in modo differenziato. Per le medie imprese (50-249 dipendenti e fatturato 10-50 milioni di euro) l’inclusione è automatica se operano nei settori indicati.

Per le piccole imprese (10-49 dipendenti) e le microimprese (sotto i 10 dipendenti) l’inclusione avviene solo se sono “unici fornitori” di servizi essenziali in uno Stato membro o se un’interruzione dei loro servizi avrebbe impatti significativi su sicurezza pubblica, salute o economia.

Ecco due casi pratici che aiutano a comprendere il principio dimensionale adottato dalla NIS2: un’azienda manifatturiera da 180 dipendenti che produce componenti critici per il settore automotive si chiede se rientra. La risposta è quasi certamente sì, come entità importante. Stesso discorso per una software house da 65 persone che sviluppa piattaforme di telemedicina utilizzate da ASL: probabilmente rientra come fornitore digitale di servizi sanitari.

Gli obblighi di cyber sicurezza per le aziende

L’articolo 24 del D.lgs. 138/2024 costituisce il cuore pulsante degli obblighi NIS2 (per la Direttiva europea l’articolo di riferimento è il 21). Qui troviamo l’elenco dettagliato delle misure tecniche, operative e organizzative che i soggetti obbligati devono implementare.

Non si tratta di linee guida vaghe, ma di requisiti precisi che l’ACN può verificare in sede ispettiva.

Le misure devono essere “adeguate e proporzionate”, il che significa che vanno calibrate in base a: stato dell’arte tecnologico, costi di implementazione, probabilità e gravità degli incidenti, natura e portata dei servizi erogati.

L’ACN ha pubblicato le “specifiche di base” che rappresentano il livello minimo di conformità: un mix di controlli derivati da standard internazionali (ISO/IEC 27001, framework NIST, CIS Controls) adattati al contesto nazionale.

Ma è importante sottolinearlo: le specifiche di base sono il pavimento, non il soffitto.

Un’organizzazione che si limita al minimo sindacale potrebbe trovarsi inadeguata in caso di incident significativo.

L’analisi del rischio e l’implementazione delle misure di sicurezza

Il risk assessment non è un documento da produrre una tantum per compliance formale. Deve essere un processo continuo, da aggiornare almeno annualmente o ogni volta che si verificano cambiamenti significativi (nuove tecnologie, fusioni aziendali, ingresso in nuovi mercati).

L’analisi deve identificare: asset critici (sistemi, dati, processi), minacce plausibili (ransomware, DDoS, data exfiltration, supply chain compromise), vulnerabilità tecniche e organizzative, impatto potenziale degli scenari di rischio.

Le misure di sicurezza minime includono:

  1. policy di gestione dei rischi approvate dal vertice;
  2. gestione degli incidenti con procedure testate;
  3. business continuity e disaster recovery (con recovery time objectives documentati);
  4. sicurezza della supply chain (valutazione cyber dei fornitori);
  5. sicurezza nell’acquisizione, sviluppo e manutenzione di sistemi;
  6. policy e procedure per valutare l’efficacia delle misure;
  7. pratiche di igiene informatica e formazione (awareness ricorrente, simulazioni di phishing);
  8. crittografia e cifratura dove applicabile;
  9. sicurezza delle risorse umane (background check, clausole contrattuali);
  10. controllo degli accessi (gestione identità, MFA, principio del privilegio minimo);
  11. gestione degli asset (inventario aggiornato, classification);
  12. autenticazione multi-fattore robusta;
  13. comunicazioni sicure (VPN, crittografia end-to-end);
  14. segmentazione della rete.

Il consiglio esperto è quello di non cercare di implementare tutto contemporaneamente. Meglio prima identificare i quick win (MFA, backup testati, patching sistematico) e costruite una roadmap a 18 mesi per gli interventi strutturali.

E soprattutto: documentate tutto. In caso di ispezione ACN, la mancanza di evidenze documentali pesa quanto la mancanza delle misure stesse.

La gestione degli incidenti: tempi e procedure di notifica all’ACN

La gestione degli incidenti è probabilmente l’area più complessa e fraintesa della NIS2. L’obbligo di notifica scatta solo per incidenti “significativi”, ma la definizione di significatività è articolata.

Un incidente è significativo se:

  1. causa interruzione grave dei servizi erogati;
  2. comporta perdite economiche rilevanti;
  3. colpisce un numero elevato di utenti;
  4. ha impatto su altri Stati membri;
  5. genera ampia copertura mediatica.

Il processo di notifica segue uno schema a tre fasi temporalmente scandito.

  1. Avviso preliminare (entro 24 ore): notifica iniziale al CSIRT Italia appena si ha consapevolezza dell’incidente. Deve contenere: indicazione se l’incidente è sospetto cyber attacco, natura presunta (malware, DDoS, data breach), primi indicatori tecnici disponibili. Non è richiesta certezza: meglio notificare in eccesso che in difetto.
  2. Notifica dettagliata (entro 72 ore): aggiornamento strutturato con descrizione dettagliata dell’incidente, gravità e impatto sui servizi, indicatori di compromissione tecnici (IoC), misure di mitigazione adottate, eventuale cross-border impact. Qui serve già un’analisi forensic preliminare.
  3. Rapporto finale (entro 1 mese): relazione conclusiva con timeline dettagliata dell’incident, root cause analysis, impatto finale quantificato, efficacia delle misure di contenimento, lesson learned e azioni correttive. Questo documento deve essere approvato dal vertice aziendale.
NIS 2 come sicurezza misurabile: come riconoscere un incidente significativo

La figura del Referente CSIRT

Una novità rilevante introdotta con Determinazione ACN è l’obbligo di designare un Referente CSIRT entro il 31 dicembre 2025.

Si tratta di una persona fisica (interna o esterna) che funge da interfaccia operativa tra l’organizzazione e il CSIRT Italia, gestendo le notifiche e coordinando la risposta agli incidenti.

Questa figura richiede competenze tecniche di base in cyber security, conoscenza approfondita dei sistemi aziendali e capacità di operare sotto pressione.

L’assenza di un Referente CSIRT designato nei termini espone a sanzioni per violazione degli obblighi di comunicazione.

Sicurezza della supply chain e la gestione dei rapporti con i fornitori

La supply chain è il tallone d’Achille della cyber security moderna. L’attacco a SolarWinds (2020) o quello recente a Kaseya hanno dimostrato che compromettere un fornitore strategico può essere più efficace che attaccare direttamente il target.

Per questo la NIS2 dedica ampio spazio alla supply chain security.

Gli obblighi specifici includono:

  • mappatura dei fornitori critici: identificare i fornitori che, se compromessi, potrebbero impattare la continuità dei vostri servizi essenziali. Non tutti i fornitori sono uguali: focus su chi gestisce dati sensibili, ha accesso remoto ai vostri sistemi, fornisce componenti software embedded;
  • due diligence cyber: prima di stipulare contratti con nuovi fornitori, valutarne la postura di sicurezza (certificazioni ISO 27001, SOC 2, policy di incident response, track record di breach);
  • clausole contrattuali vincolanti: i contratti devono prevedere obblighi espliciti di sicurezza, diritto di audit, obbligo di notifica tempestiva di incidenti che potrebbero impattarvi, responsabilità in caso di data breach;
  • monitoraggio continuo: la supply chain security non finisce con la firma del contratto, ma richiede verifiche periodiche (almeno annuali) sulla conformità dei fornitori.

Formazione del personale e misure di igiene informatica

L’errore umano resta la prima causa di incidenti cyber: phishing, uso di password deboli, mancato aggiornamento di software.

Per questo la NIS2 dedica attenzione specifica alla security awareness.

La formazione deve essere:

  1. strutturata e ricorrente: non basta un corso annuale generico, serve formazione differenziata per ruoli (utenti finali, amministratori di sistema, sviluppatori) con refresh periodici;
  2. pratica e contestualizzata: simulazioni di phishing, tabletop exercises per testare la risposta a incidenti, workshop su scenari realistici;
  3. misurabile: tracciare tassi di partecipazione, risultati dei test di phishing simulato, tempo medio di detection di anomalie da parte degli utenti.

Le misure di igiene informatica includono pratiche che dovrebbero essere scontate ma spesso non lo sono:

  1. gestione delle patch: protocolli sistematici per applicare aggiornamenti di sicurezza entro tempi definiti (critico: 72 ore; alto: 7 giorni; medio: 30 giorni);
  2. gestione delle password: policy stringenti (lunghezza minima 12 caratteri, complessità, rotazione per account privilegiati), uso di password manager aziendali;
  3. gestione dei dispositivi: inventario completo di asset IT/OT, procedure di hardening per workstation e server, gestione sicura degli endpoint (MDM/UEM per dispositivi mobili);
  4. backup e recovery: strategia 3-2-1 (tre copie, due media diversi, una offsite), test periodici di restore, backup immutabili per proteggersi da ransomware.

La responsabilità dei dirigenti e le sanzioni previste dalla NIS2

Qui arriviamo al punto che sta facendo sudare freddo molti CEO e consigli di amministrazione: la responsabilità personale.

L’articolo 2 della Determinazione ACN del 14 aprile 2025, implementando le prescrizioni dell’art. 23 del D.lgs.138/2024, afferma con nettezza un principio rivoluzionario: le misure di sicurezza di base sono a carico degli organi di amministrazione e direttivi.

Quindi, il CdA e il C-Level devonoassumere il controllo operativo e la responsabilità formale.

Tradotto senza giri di parole: i vertici aziendali non possono più dire “non sapevo”, “l’IT non mi aveva informato”, “pensavo fosse tutto a posto”. Devono dimostrare di aver compreso i rischi cyber, allocato risorse adeguate, approvato formalmente le misure di sicurezza e vigilato sulla loro corretta implementazione.

L’ACN può richiedere evidenza documentale di riunioni consiliari dedicate alla cyber security, delibere di approvazione del budget security, attestazioni di partecipazione a formazione specifica.

Le conseguenze del mancato adeguamento: multe e impatto sul fatturato

L’apparato sanzionatorio della NIS2 è stato disegnato per fare male. Le sanzioni amministrative pecuniarie sono calcolate sul fatturato mondiale, non quello italiano: un criterio che colpisce duramente gruppi multinazionali.

Per le entità essenziali, le violazioni degli obblighi di sicurezza (art. 21-26) possono costare fino a 10.000.000 di euro o, se superiore, il 2% del fatturato mondiale totale annuo. Anche la mancata registrazione o le omissioni informative minori partono da 0,1% del fatturato mondiale.

Per le entità importanti, il regime è leggermente meno severo ma comunque rilevante: fino a 7.000.000 di euro o 1,4% del fatturato mondiale per violazioni gravi, 0,07% per inadempimenti formali come la registrazione tardiva. Le pubbliche amministrazioni hanno un regime diverso, con sanzioni fisse che vanno da 10.000 a 50.000 euro per le PA locali, fino a 100.000 euro per quelle centrali.

Ma c’è di più. L’articolo 38 del decreto attuativo prevede sanzioni accessorie che possono essere devastanti:

  1. interdizione temporanea dalle funzioni direttive: i membri degli organi di gestione possono essere interdetti dallo svolgimento delle loro funzioni per tutto il periodo di inadempimento;
  2. sospensione di certificazioni: sospensione temporanea delle autorizzazioni o certificazioni necessarie per operare, fino al completamento delle misure correttive;
  3. pubblicazione delle sanzioni: l’ACN può disporre la pubblicazione sul proprio sito delle sanzioni irrogate, con evidente danno reputazionale.

Il meccanismo della reiterazione aggrava ulteriormente il quadro: chi commette violazioni simili nell’arco di cinque anni vede le sanzioni raddoppiate o triplicate. Un’azienda sanzionata nel 2025 per inadeguatezza delle misure di incident response che nel 2028 subisce un nuovo incidente per carenze analoghe rischia sanzioni triplicate.

Scadenze principali e come prepararsi alla compliance NIS2

Il percorso di adeguamento alla NIS2 segue una roadmap precisa con scadenze scaglionate secondo logica di gradualità. Superate le prime due tappe strategiche:

  • 28 febbraio 2025: registrazione sulla piattaforma ACN e designazione del Punto di Contatto. Questa scadenza è già passata per molte organizzazioni, ma l’ACN ha concesso proroghe fino al 31 luglio 2025 per chi ha aperto ticket di supporto. La mancata registrazione comporta sanzioni immediate (0,1% o 0,07% del fatturato);
  • 31 maggio 2025: aggiornamento annuale delle informazioni registrate. I soggetti già registrati devono confermare o modificare i dati precedentemente comunicati;

ecco le altre milestone critiche:

  • 20 novembre – 31 dicembre 2025: designazione del Referente CSIRT. Questa è una delle novità più recenti e rilevanti: ogni soggetto NIS deve nominare tramite procedura telematica sul Portale ACN una persona fisica (interna o esterna) che fungerà da interfaccia operativa con il CSIRT Italia. È possibile designare anche sostituti per garantire continuità. La mancata designazione nei termini espone a sanzioni per violazione degli obblighi di comunicazione.
  • Gennaio 2026: obbligo di notifica degli incidenti significativi al CSIRT Italia. Da questo momento scatta operativamente il regime di incident notification con le tempistiche a tre fasi (24h-72h-1 mese) descritte in precedenza.
  • Ottobre 2026: adozione completa delle misure di sicurezza di base e istituzione degli organi di governance cyber security. Questo è il termine ultimo per implementare tutte le misure tecniche e organizzative richieste dall’articolo 21 e per formalizzare l’assetto di governance (organismi di gestione amministrativa e direttivi per la cyber security).

Come prepararsi efficacemente:

Fase 1 – Assessment immediato (ora): verificate se rientrate nel perimetro NIS2 (settore, dimensioni, criticità servizi), fate un gap analysis rispetto alle specifiche di base ACN, identificate le carenze critiche più esposte a sanzioni.

Fase 2 – Quick wins (entro 3 mesi): implementate controlli ad alto impatto/basso sforzo (MFA, patching policy, backup testati, segmentazione base), documentate le procedure esistenti (spesso le organizzazioni fanno più di quanto credano, ma manca evidenza formale), nominate il Referente CSIRT identificando la persona giusta (con competenze tecniche, conoscenza del business, capacità di crisis management).

Fase 3 – Consolidamento (6-12 mesi): costruite o rafforzate il Security Operations Center (anche in outsourcing), implementate SIEM/SOAR per correlation e response automatizzata, testate incident response plan con tabletop exercises, avviate programma di security awareness strutturato, conducete audit di supply chain sui fornitori critici.

Fase 4 – Maturità (12-18 mesi): certificate ISO 27001 o framework equivalenti (non obbligatorio ma fortemente raccomandato), implementate threat intelligence e vulnerability management continuo, avviate programmi di penetration testing periodico, costruite metriche di efficacia delle misure (MTTR, detection rate, patch compliance).

La NIS2 come abilitatore strategico

Il mio consiglio finale: non affrontate la NIS2 come ennesimo adempimento burocratico. È un’opportunità per trasformare la cyber security da cost center a enabler strategico. Le aziende che sapranno comunicare ai clienti e al mercato la propria conformità NIS2 guadagneranno vantaggio competitivo.

Quelle che la subiscono passivamente rischiano non solo multe salate, ma perdita di competitività in un mercato sempre più attento alla cyber resilience dei partner. E ricordate: l’ACN ha poteri ispettivi ampi e sta costruendo capacità di enforcement.

Le prime sanzioni significative arriveranno probabilmente tra fine 2026 e inizio 2027, quando scadranno i periodi di grace.

Meglio arrivare pronti che giocare alla roulette russa con il 2% del fatturato.

FAQ: NIS2

La Direttiva europea 2024/2555 (NIS2) e il D.lgs. 138/2024, che la recepisce nell’ordinamento italiano, hanno introdotto obblighi specifici in materia di cybersicurezza per garantire un livello elevato di sicurezza informatica nell’ambito dell’Unione Europea. Questi obblighi si applicano a soggetti pubblici e privati operanti in settori ritenuti essenziali o importanti. La NIS2 impone l’adozione di un sistema integrato di gestione del rischio che include la sicurezza della catena di approvvigionamento e gli aspetti relativi ai rapporti tra ciascun soggetto e i suoi fornitori di servizi.

La NIS2 impone l’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi alla sicurezza delle reti e dei sistemi informativi. Tra gli obblighi principali figurano: la gestione del rischio di cybersicurezza, inclusa la sicurezza della supply chain; la notifica degli incidenti significativi; l’implementazione di politiche di sicurezza; la valutazione periodica dei rischi; la formazione del personale; e la supervisione diretta da parte degli organi di amministrazione e direttivi, che sono chiamati a riesaminare periodicamente le misure adottate, verificarne l’adeguatezza e aggiornarle quando necessario.

La NIS2 richiede una gestione sicura della catena di approvvigionamento attraverso un processo strutturato che copre l’intero ciclo di vita della fornitura. Questo include: la fase precontrattuale (con risk assessment, due diligence e qualifica dei fornitori); la fase contrattuale (con clausole specifiche che garantiscono il soggetto dall’esposizione al rischio); la fase di monitoraggio (con controlli periodici sulla sicurezza dei fornitori); e la fase di uscita (con clausole di way out e procedure per la cancellazione sicura e restituzione dei dati). I soggetti devono inoltre mantenere un inventario aggiornato dei fornitori con potenziale impatto sulla sicurezza dei sistemi informativi.

La NIS2 si applica a soggetti pubblici e privati operanti in settori ritenuti essenziali o importanti. La proposta COM(2026) 13 ha rivisto gli Allegati I e II della NIS2, che definiscono i settori e i tipi di entità soggette alla direttiva, introducendo criteri più precisi per alcuni settori critici. Tra i settori coinvolti figurano energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, servizi cloud, settore alimentare e altri servizi essenziali per il mantenimento di attività sociali ed economiche fondamentali.

Con la NIS2, la sicurezza informatica diventa materia di governo societario. Gli organi di amministrazione e direttivi hanno obblighi di supervisione e responsabilità diretta sulla cybersicurezza. Sono chiamati ad approvare formalmente documenti chiave come politiche di sicurezza, valutazioni del rischio, piani di trattamento, gestione delle vulnerabilità, continuità operativa e disaster recovery. Questa approvazione rappresenta una dichiarazione di consapevolezza: il vertice attesta di aver preso atto delle minacce individuate e di ritenere adeguate le misure proposte. La responsabilità non si esaurisce in un atto iniziale ma è continua, con l’obbligo di riesaminare periodicamente le misure adottate.

Per identificare un incidente significativo secondo la NIS2, le organizzazioni devono prima definire e documentare i livelli di servizio attesi (SL) dei propri servizi e attività. Secondo le Linee guida NIS dell’ACN, un evento viene classificato come “incidente significativo” quando viola almeno uno dei criteri oggettivi previsti, tra cui il criterio IS-3 che cita espressamente la “violazione dei livelli di servizio attesi”. Questo approccio trasforma la sicurezza in un elemento misurabile: non si tratta solo di rilevare anomalie, ma di misurare deviazioni rispetto a soglie di tolleranza predefinite. Senza SL definiti e monitorabili, un’organizzazione non è in grado di riconoscere un incidente significativo.

Il 2026 segna l’inizio del conto alla rovescia operativo per la NIS2 con scadenze ben definite: a gennaio si riapre la piattaforma NIS per la registrazione dei nuovi soggetti e il rinnovo per quelli già registrati; tra febbraio e settembre l’ACN pubblicherà gradualmente le linee guida settoriali per le diverse tipologie di misure; entro il 31 ottobre 2026 tutte le misure di base devono essere implementate e operative, dopo di che l’ACN potrà avviare attività ispettive. Questa data non rappresenta la fine del percorso ma la conclusione della prima fase, seguita dalla definizione delle misure a lungo termine, più approfondite e con maggiore perimetro.

GDPR e NIS2 rappresentano due facce della stessa medaglia nella protezione digitale. Mentre il GDPR si concentra sulla protezione dei dati personali, la NIS2 amplia la prospettiva alla sicurezza complessiva delle reti e dei sistemi informativi. L’integrazione tra i due regolamenti GDPR e NIS 2 crea sinergie significative: entrambi adottano un approccio basato sul rischio, richiedono misure tecniche e organizzative adeguate, prevedono obblighi di notifica in caso di violazioni/incidenti e impongono responsabilità diretta ai vertici organizzativi. Un’implementazione integrata permette di ottimizzare risorse e processi, evitando duplicazioni e garantendo una protezione più completa e coerente.

La proposta COM(2026) 13, presentata il 20 gennaio 2026, avvia una revisione mirata della NIS2 nell’ambito del più ampio pacchetto Cybersecurity Act 2. Le principali novità includono: la revisione degli Allegati I e II con criteri più precisi per definire il perimetro di applicazione; l’introduzione formale della categoria delle small mid-cap enterprises, inquadrate come “important entities” con un regime di supervisione alleggerito; il riconoscimento della certificazione europea di cybersecurity come strumento per dimostrare la conformità agli obblighi NIS2; l’armonizzazione dei questionari per i fornitori per ridurre il carico amministrativo; una raccolta standardizzata di dati sugli attacchi ransomware; l’inclusione della migrazione verso algoritmi post-quantum nella strategia nazionale; e un rafforzamento del ruolo di ENISA come facilitatore della cooperazione tra Stati membri.

Il fattore umano rappresenta un elemento cruciale nella roadmap NIS2, passando da semplice adempimento formale a vero asset strategico per la costruzione di una corretta postura cyber aziendale. La resilienza non si ottiene solo attraverso l’acquisto di tecnologie ma si coltiva attraverso la cultura organizzativa. La NIS2 riconosce che la sicurezza informatica dipende in larga misura dalla consapevolezza e dal comportamento delle persone all’interno dell’organizzazione. Per questo motivo, la formazione e la sensibilizzazione del personale sono elementi fondamentali per garantire l’efficacia delle misure tecniche e organizzative implementate.

FAQ generate con l'AI, a cura della Redazione
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Paolo Tarsitano
Editor Cybersecurity360.it

Ingegnere informatico, formatore, esperto di cyber security e consulente privacy. Da un po’ di tempo ormai condivide le sue conoscenze scrivendo e divulgando articoli di informatica e tecnologia per aiutare lettori e curiosi a costruirsi una coscienza critica sul mondo hi-tech che ci circonda. Cittadino digitale a tempo pieno, appena può si diverte con le altre due sue grandi passioni: il modellismo e i fumetti.

Seguimi su

Leggi anche:

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Contestualizzazione del FNCDP 2.1, un metodo per essere conformi alla NIS2: occorre partire dal NIST CSF 2.0

  • L'ANALISI

    NIS 2: da ENISA la guida tecnica per applicare correttamente le misure di sicurezza

    30 Giu 2025

    di Giuseppe Alverone e Monica Perego

    Condividi
  • IA e rischio d’impresa guida EDPS

  • l'analisi

    IA e rischio d’impresa: la guida EDPS parla anche alle aziende

    10 Dic 2025

    di Tania Orrù

    Condividi
  • Attacchi cyber e outage informatici nel settore aereo

  • cyberspazio

    Cyber attacco filo-ucraino contro Aeroflot: un punto di svolta nella guerra cibernetica

    29 Lug 2025

    di Mirella Castigli

    Condividi