NIS2: Cos’è, a chi si applica e cosa cambia davvero per le aziende italiane

Introduzione

Questa guida approfondita ha lo scopo di offrirti informazioni dettagliate, aiutandoti a comprendere l’impatto della direttiva NIS 2 sulla tua organizzazione e le azioni concrete da intraprendere. Tuttavia, questa guida non intende in alcun modo sostituire il testo ufficiale della direttiva, che resta il riferimento normativo primario e può essere consultato integralmente sul sito dell’Unione Europea in Inglese o in Italiano (eur-lex.europa.eu).

Comprendere il contenuto della direttiva e pianificare per tempo le misure di adeguamento non è solo una questione normativa: si tratta di una leva per aumentare la resilienza, la fiducia dei clienti e la continuità operativa.

Direttiva NIS 2: Cos’è e perché è importante

La direttiva (UE) 2022/2555, nota come NIS2, è il nuovo quadro normativo europeo sulla cibersicurezza che sostituisce la precedente direttiva NIS1 (2016/1148), migliorandone e ampliandone il contenuto.

L’obiettivo è garantire un livello comune elevato di sicurezza delle reti e dei sistemi informativi in tutta l’Unione Europea. Questo significa che tutti gli Stati membri devono armonizzare le proprie normative, rafforzare la collaborazione transfrontaliera e imporre standard minimi di sicurezza per le infrastrutture digitali e i servizi essenziali.

NIS2 nasce in risposta al forte aumento degli attacchi informatici, alla crescente digitalizzazione dei servizi, alla dipendenza critica dalle infrastrutture tecnologiche e all’interconnessione tra settori pubblici e privati. In un contesto in cui gli attacchi informatici colpiscono indistintamente aziende sanitarie, enti locali e imprese produttive, una risposta coordinata e strutturata non è più rimandabile.

Le novità introdotte rispetto alla NIS1

La NIS1 aveva segnato un primo passo importante verso la costruzione di un ecosistema digitale più sicuro, ma aveva anche rivelato diverse criticità. Tra queste, la frammentazione nella sua applicazione tra i vari Stati membri, la mancanza di omogeneità nei criteri di identificazione degli operatori essenziali e i limiti nei poteri ispettivi delle autorità.

Con la NIS2, l’Unione Europea punta a colmare queste lacune. L’ambito di applicazione viene ampliato: ora rientrano anche settori che fino a poco fa non erano coperti, come i servizi postali, i fornitori di servizi cloud, i produttori di tecnologie critiche e alcune categorie della pubblica amministrazione. Vengono introdotti criteri di inclusione oggettivi, basati su dimensioni e impatto, con regole uguali in tutta Europa.

Gli obblighi di gestione del rischio si fanno più dettagliati: ogni organizzazione deve disporre di piani per la risposta agli incidenti, protezione della supply chain, sicurezza nella gestione delle vulnerabilità e formazione continua del personale. Cambiano anche le modalità e le tempistiche di notifica: ogni evento significativo deve essere segnalato entro 24 ore e seguito da un report dettagliato.

Inoltre, vengono rafforzati i poteri delle autorità nazionali, che potranno effettuare ispezioni, richiedere documentazioni e imporre sanzioni che, come nel caso del GDPR, possono arrivare fino al 2% del fatturato globale annuo o a 10 milioni di euro, a seconda della gravità delle violazioni.

NIS2: a chi si applica

La direttiva si applica principalmente a due categorie di soggetti: entità essenziali ed entità importanti.

Le prime comprendono organizzazioni che operano in settori critici per la sicurezza nazionale e per la stabilità socioeconomica, come:

• L’energia
• I trasporti
• La sanità
• Il settore finanziario
• Le infrastrutture digitali

Le seconde includono soggetti che forniscono servizi di supporto o complementari, come:

• Aziende ICT
• Operatori postali
• Manifatture high-tech
• Gestori di centri dati

Il criterio di inclusione non si basa più solo sulla valutazione soggettiva degli Stati membri, ma su parametri oggettivi: sono coinvolte tutte le imprese con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro. Tuttavia, la direttiva permette agli Stati di includere anche imprese più piccole, qualora forniscano servizi considerati strategici.

È importante sottolineare che NIS2 non riguarda solo il settore privato: alcune categorie della pubblica amministrazione, come le agenzie centrali con competenze chiave in materia di sanità, sicurezza o trasporti, sono incluse nel campo di applicazione.

Quando entra in vigore la normativa NIS 2

La direttiva è stata pubblicata in Gazzetta Ufficiale il 27 dicembre 2022 (link ufficiale NIS2) ed è entrata formalmente in vigore il 16 gennaio 2023.

Gli Stati membri hanno tempo fino al 17 ottobre 2024 per recepirla nel proprio ordinamento nazionale. Le imprese italiane coinvolte devono ora dimostrare la loro piena conformità ai nuovi obblighi. È essenziale non procrastinare, poiché l’adeguamento richiede tempo e risorse, specialmente per le aziende che partono da una situazione non strutturata o priva di processi formalizzati.

Obblighi della normativa NIS 2

Le imprese interessate dalla NIS2 sono chiamate ad adottare misure tecniche e organizzative di sicurezza informatica che siano proporzionate ai rischi, ma anche coerenti con il settore e la dimensione dell’organizzazione.

Tra i principali obblighi, troviamo:

• l’identificazione e la valutazione dei rischi
• la protezione dei dati e delle infrastrutture critiche
• la gestione delle vulnerabilità
• la continuità operativa e la formazione continua del personale

In caso di incidenti significativi, la direttiva prevede un processo di notifica articolato in tre fasi:

• un primo alert entro 24 ore
• una notifica dettagliata entro 72 ore
• e un report finale entro un mese

Le autorità nazionali avranno ampi poteri ispettivi e potranno applicare sanzioni severe a chi non rispetta gli obblighi. L’attenzione sarà rivolta non solo alla reattività in caso di incidente, ma anche alla capacità preventiva delle aziende: l’assenza di processi, di piani di continuità o di tracciabilità degli interventi sarà considerata una violazione.

NIS2 in Italia: a che punto siamo

Il recepimento della NIS2 in Italia è affidato all’ACN – Agenzia per la Cybersicurezza Nazionale, che sta svolgendo un ruolo di coordinamento e indirizzo. La nuova strategia nazionale per la cybersicurezza, aggiornata nel 2023, include obiettivi legati al recepimento della direttiva, alla sensibilizzazione degli operatori e allo sviluppo delle competenze digitali.

Sono già state pubblicate linee guida provvisorie, aperti tavoli tecnici con le imprese e avviate collaborazioni interministeriali. Tuttavia, emerge una forte necessità di accelerare la consapevolezza tra le PMI, molte delle quali non conoscono nemmeno il fatto di essere potenzialmente coinvolte dalla normativa.

Come adeguarsi alla NIS2

Prepararsi alla NIS2 significa innanzitutto acquisire consapevolezza del proprio ruolo all’interno della filiera digitale. Ogni azienda deve partire da un assessment iniziale: capire se rientra nei criteri della direttiva, analizzare il livello attuale di maturità in ambito cyber e identificare le lacune.

Successivamente, è fondamentale costruire un piano d’azione su più livelli: governance, strumenti tecnologici, formazione del personale e gestione dei fornitori. L’introduzione di policy formali, la nomina di figure responsabili della sicurezza, la definizione di processi di incident response e l’adozione di strumenti per la tracciabilità sono tutti elementi chiave.

Affidarsi a partner competenti, con esperienza in ambito di compliance normativa e sicurezza IT, può fare la differenza in termini di efficacia e rapidità.

NIS2 e altri riferimenti normativi

La NIS2 non si colloca in un vuoto normativo, ma va letta in coordinamento con altri testi europei di grande rilievo. Il GDPR continua a disciplinare la protezione dei dati personali e si intreccia spesso con le misure di sicurezza richieste dalla NIS2. Il regolamento DORA, che entrerà in vigore nel 2025, si occupa della resilienza digitale degli operatori finanziari. La direttiva CER mira a proteggere le infrastrutture critiche anche sotto il profilo fisico.

Per le aziende, ciò significa adottare una visione integrata della conformità, che tenga conto dei diversi obblighi ma anche delle sinergie possibili: un buon sistema di gestione della sicurezza può coprire più normative contemporaneamente, razionalizzando gli sforzi.

Scarica la NIS2 in formato PDF

Puoi consultare il testo completo della direttiva direttamente da questo link alla Gazzetta Ufficiale anche in Italiano. Per chi volesse fare un confronto con la versione precedente, a questo link potete trovare anche la direttiva NIS1.

Conclusione

La NIS2 rappresenta una svolta normativa e strategica nella protezione dei sistemi informativi e delle infrastrutture digitali europee. Le aziende italiane sono chiamate a un salto di qualità nella gestione della sicurezza, non più intesa come semplice difesa tecnica, ma come leva per la continuità del business e la fiducia del mercato.

Come Deepser può aiutare nella gestione degli incidenti

Uno degli obblighi centrali previsti dalla NIS2 è la gestione tempestiva ed efficace degli incidenti di sicurezza informatica. Per rispettare i tempi stringenti della notifica e garantire una risposta coordinata, è essenziale disporre di strumenti che traccino ogni evento e azione.

Deepser è una soluzione completa di IT Service Management (ITSM) che consente alle aziende di gestire in modo efficiente tutti gli aspetti del servizio informatico, inclusi gli incidenti.

Grazie alla possibilità di integrare Deepser con altri sistemi aziendali, alla disponibilità di dashboard intuitive e al supporto avanzato per la gestione degli SLA, le aziende possono garantire una risposta rapida e conforme agli obblighi della normativa NIS2, migliorando al contempo l’efficienza operativa e la resilienza del sistema IT.