La direttiva NIS2 è una delle novità più rilevanti per la sicurezza digitale di imprese, enti pubblici e organizzazioni che operano in settori critici. Non si tratta di un semplice aggiornamento normativo, né di un adempimento tecnico riservato ai reparti IT: con il recepimento italiano tramite il D.Lgs. 4 settembre 2024, n. 138, la gestione del rischio informatico entra stabilmente nella governance aziendale e coinvolge direttamente amministratori, dirigenti e responsabili organizzativi.
La logica della norma è chiara: in un contesto in cui attacchi ransomware, furti di dati, sabotaggi digitali e violazioni dei sistemi informativi possono bloccare servizi essenziali, la cybersecurity diventa un requisito di continuità operativa, tutela del patrimonio aziendale e sicurezza collettiva. Per le aziende, quindi, comprendere la NIS2 significa capire non solo “se” si rientra nel perimetro, ma anche quali misure adottare per prevenire, gestire e documentare correttamente un incidente.
Indice dei contenuti
- Cos’è la direttiva NIS2 e perché è stata introdotta
- A chi si applica la direttiva NIS2
- Gli obblighi principali previsti dalla NIS2
- Governance e responsabilità degli organi direttivi
- Notifica degli incidenti e ruolo del CSIRT Italia
- Scadenze, registrazione ACN e adeguamento
- Sanzioni NIS2: cosa rischiano aziende e dirigenti
- Conclusione: la NIS2 come strumento di resilienza aziendale
Cos’è la direttiva NIS2 e perché è stata introdotta
Per comprendere la portata della normativa, occorre partire dal suo obiettivo: rafforzare il livello comune di sicurezza informatica nell’Unione Europea. La NIS2 sostituisce la precedente direttiva NIS e amplia in modo significativo settori, obblighi e responsabilità.
Dalla NIS1 alla NIS2: cosa cambia davvero
La prima direttiva NIS aveva introdotto un quadro europeo per la sicurezza delle reti e dei sistemi informativi, ma il mutamento dello scenario digitale ha reso necessario un intervento più incisivo. La direttiva NIS2, formalmente Direttiva UE 2022/2555, nasce per rispondere a minacce sempre più evolute: attacchi contro infrastrutture critiche, campagne di phishing mirate, compromissioni della supply chain, accessi abusivi, data breach e operazioni riconducibili al cybercrime.
La differenza principale rispetto al passato è il cambio di prospettiva: la sicurezza non viene più vista come un insieme di misure tecniche isolate, ma come un sistema integrato di gestione del rischio, controllo, formazione, continuità operativa e capacità di risposta agli incidenti.
Il recepimento in Italia con il D.Lgs. 138/2024
In Italia, la NIS2 è stata recepita con il Decreto Legislativo 138/2024, entrato in vigore il 16 ottobre 2024. Il decreto individua l’Agenzia per la Cybersicurezza Nazionale, o ACN, come autorità nazionale competente NIS e punto di contatto unico. Il CSIRT Italia assume invece un ruolo centrale nella gestione tecnica delle notifiche e degli incidenti significativi.
Questo assetto rende più strutturato il rapporto tra imprese, pubbliche amministrazioni e autorità: chi rientra nel perimetro NIS2 deve registrarsi, valutare i rischi, adottare misure proporzionate e notificare gli incidenti secondo tempistiche precise.
A chi si applica la direttiva NIS2
Uno dei punti più cercati dagli utenti riguarda il perimetro di applicazione: quali aziende sono obbligate ad adeguarsi? La risposta dipende da due fattori principali: settore di attività e dimensione dell’organizzazione.
Soggetti essenziali e soggetti importanti
La NIS2 distingue tra soggetti essenziali e soggetti importanti. I primi operano in settori ad alta criticità, come energia, trasporti, sanità, banche, infrastrutture dei mercati finanziari, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione e spazio. I secondi comprendono altri settori critici, come servizi postali, gestione dei rifiuti, produzione e distribuzione alimentare, fabbricazione di sostanze chimiche, produzione di dispositivi medici, servizi digitali e organizzazioni di ricerca. L’ACN evidenzia che la nuova disciplina amplia il campo di applicazione a 18 settori, suddivisi tra altamente critici e critici.
La distinzione è importante perché incide sul livello di vigilanza e sulle sanzioni. I soggetti essenziali sono sottoposti a controlli più stringenti; i soggetti importanti, pur con un regime generalmente meno invasivo, restano comunque vincolati agli obblighi di sicurezza e notifica.
I criteri dimensionali
In linea generale, la direttiva riguarda medie e grandi imprese. Sono normalmente incluse le organizzazioni con almeno 50 dipendenti e un fatturato annuo o bilancio superiore a 10 milioni di euro, purché operino nei settori previsti. Tuttavia, alcune realtà più piccole possono essere coinvolte se svolgono funzioni particolarmente rilevanti o se una loro interruzione potrebbe produrre effetti significativi su servizi essenziali.
Questo punto è decisivo anche per le PMI: un’impresa può non essere direttamente obbligata, ma diventare comunque destinataria di requisiti contrattuali se lavora come fornitore di un soggetto essenziale o importante.
Gli obblighi principali previsti dalla NIS2
La direttiva non chiede alle aziende soltanto di installare strumenti di sicurezza. Richiede invece un sistema dimostrabile, aggiornato e proporzionato ai rischi. Il D.Lgs. 138/2024 parla espressamente di misure tecniche, operative e organizzative adeguate.
Analisi del rischio e misure tecniche
Ogni soggetto obbligato deve adottare politiche di analisi dei rischi, sicurezza dei sistemi informativi, gestione degli asset, controllo degli accessi, autenticazione a più fattori, crittografia, sicurezza delle comunicazioni, gestione delle vulnerabilità e formazione del personale. Non basta dichiarare di essere “protetti”: occorre poter dimostrare che le misure sono coerenti con i rischi reali, con il settore di appartenenza e con l’impatto potenziale di un incidente.
In una prospettiva investigativa e forense, questo significa anche conservare correttamente log, evidenze digitali, tracciamenti e documentazione tecnica. In caso di attacco, tali elementi possono diventare determinanti per ricostruire la dinamica dei fatti, individuare eventuali responsabilità e supportare azioni legali connesse a reati informatici.
Continuità operativa, backup e disaster recovery
La NIS2 insiste sulla business continuity: un’organizzazione deve essere in grado di continuare a erogare servizi o ripristinarli rapidamente dopo un incidente. Backup, disaster recovery, gestione delle crisi e procedure di emergenza non sono più elementi accessori, ma componenti essenziali della conformità.
Il punto non è soltanto evitare il danno, ma ridurre l’impatto operativo, economico e reputazionale. Un attacco informatico può bloccare produzione, logistica, pagamenti, accessi ai dati, rapporti con clienti e fornitori. Per questo la resilienza digitale deve essere pianificata prima dell’evento, non improvvisata durante l’emergenza.
Sicurezza della supply chain
Uno degli aspetti più delicati riguarda la supply chain security. Il decreto richiede di valutare le vulnerabilità specifiche dei fornitori diretti e dei prestatori di servizi, considerando anche la qualità complessiva dei prodotti e delle pratiche di sicurezza adottate.
In concreto, le aziende dovranno rivedere contratti, clausole di sicurezza, procedure di audit, requisiti minimi per fornitori ICT, cloud provider, data center, software house e consulenti esterni. Una vulnerabilità di terze parti può diventare la porta d’ingresso per un attacco all’intera organizzazione.
Governance e responsabilità degli organi direttivi
La vera svolta della direttiva NIS2 riguarda la responsabilità dei vertici. La sicurezza informatica non può più essere relegata alla “server room”: entra nel Consiglio di Amministrazione.
Il ruolo del CdA e dei dirigenti
L’articolo 23 del D.Lgs. 138/2024 stabilisce che gli organi di amministrazione e direttivi devono approvare le modalità di implementazione delle misure di gestione del rischio, sovrintendere agli obblighi e rispondere delle violazioni. Devono inoltre seguire formazione specifica in materia di sicurezza informatica e promuovere formazione coerente per il personale.
Questo rende la NIS2 un tema di corporate governance. Il board deve comprendere il rischio cyber, allocare risorse, verificare l’efficacia delle misure e ricevere aggiornamenti periodici sugli incidenti. La delega tecnica resta possibile, ma la responsabilità strategica non può essere semplicemente trasferita.
Perché la documentazione diventa prova di diligenza
In caso di incidente, non sarà sufficiente affermare di aver adottato buone pratiche. Sarà necessario mostrare policy, verbali, assessment, piani di remediation, report di audit, prove di formazione, registri degli incidenti e procedure di notifica. La qualità della documentazione può incidere sulla valutazione della diligenza dell’organizzazione e dei suoi amministratori.
Notifica degli incidenti e ruolo del CSIRT Italia
La NIS2 introduce un sistema di notifica rapido e scandito da tempi precisi. L’obiettivo è consentire alle autorità di valutare l’impatto dell’incidente, anche a livello transfrontaliero, e coordinare eventuali misure di risposta.
Quando un incidente è significativo
Un incidente è significativo quando causa, o può causare, una grave perturbazione operativa dei servizi o perdite finanziarie, oppure quando produce o può produrre ripercussioni rilevanti su persone fisiche o giuridiche, con danni materiali o immateriali considerevoli.
La norma considera quindi sia gli effetti già verificati sia quelli potenziali. Questo approccio impone alle imprese di avere sistemi di detection e classificazione degli eventi sufficientemente maturi.
Le tempistiche: 24 ore, 72 ore, un mese
Il soggetto obbligato deve trasmettere al CSIRT Italia una pre-notifica entro 24 ore dalla conoscenza dell’incidente significativo, una notifica entro 72 ore con valutazione iniziale di gravità e impatto, e una relazione finale entro un mese dalla notifica. In caso di incidente ancora in corso, possono essere richieste relazioni intermedie o mensili.
Queste tempistiche rendono indispensabile una procedura interna già pronta: ruoli, escalation, raccolta delle evidenze, comunicazione con consulenti, legali, autorità e stakeholder devono essere definiti prima della crisi.
Scadenze, registrazione ACN e adeguamento
La registrazione sulla piattaforma ACN è uno degli adempimenti centrali. L’ACN indica che i soggetti pubblici e privati a cui si applica la NIS devono manifestarsi all’autorità registrandosi; la finestra ordinaria va dal 1° dicembre al 28 febbraio di ogni anno.
Per i soggetti già coinvolti nella prima fase applicativa, la scadenza principale di registrazione era il 28 febbraio 2025. Successivamente, l’ACN ha avviato le fasi relative all’elenco dei soggetti NIS e all’adozione delle misure richieste. Per le misure di sicurezza di base, le indicazioni ACN richiamano un termine di 18 mesi, con piena operatività attesa nell’orizzonte di ottobre 2026 per molti soggetti già inseriti.
Sanzioni NIS2: cosa rischiano aziende e dirigenti
Il regime sanzionatorio è uno dei motivi per cui la direttiva NIS2 è oggi al centro dell’attenzione di imprese e amministratori. Per i soggetti essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. Per i soggetti importanti, fino a 7 milioni di euro o all’1,4% del fatturato annuo mondiale. Per alcune pubbliche amministrazioni sono previste soglie specifiche, fino a 125.000 euro.
Il decreto prevede inoltre responsabilità per le persone fisiche che rappresentano o controllano il soggetto e, in caso di inadempimento alle diffide, anche misure accessorie come l’incapacità temporanea a svolgere funzioni dirigenziali all’interno del medesimo soggetto.
Conclusione: la NIS2 come strumento di resilienza aziendale
La direttiva NIS2 non deve essere interpretata come un obbligo burocratico, ma come un sistema di protezione per continuità operativa, patrimonio informativo, reputazione e responsabilità degli amministratori. Adeguarsi significa conoscere i propri asset, misurare i rischi, formare il personale, controllare i fornitori, predisporre procedure di risposta e conservare evidenze utili in caso di incidente.
Per imprese e organizzazioni esposte a minacce digitali, la differenza tra una crisi gestita e una crisi subita dipende dalla preparazione. In questo scenario, competenze investigative, analisi tecnica e digital forensics possono svolgere un ruolo decisivo: non solo per reagire a un attacco, ma per ricostruire i fatti, proteggere le prove e supportare decisioni aziendali e legali fondate su elementi verificabili.
