Evolve - System Integrator
Torna al blog
Cybersecurity

Direttiva NIS2: cosa devono fare le imprese italiane

La Direttiva (UE) 2022/2555 (NIS2) è stata recepita in Italia con il D.Lgs. 138/2024. Una guida ragionata su ambito di applicazione, obblighi e responsabilità basata esclusivamente su fonti istituzionali (EUR-Lex, ACN, ENISA).

Team Evolve13 aprile 20268 min di lettura
Scudo dorato e stelle UE su sfondo blu di circuiti elettronici

La cybersecurity in Europa ha cambiato passo con la Direttiva (UE) 2022/2555, nota come NIS2, che sostituisce la precedente Direttiva NIS (2016/1148). In Italia il recepimento è avvenuto con il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. Questo articolo riepiloga, sulla base del testo normativo e delle indicazioni dell'Agenzia per la Cybersicurezza Nazionale (ACN), cosa devono fare le imprese italiane.

Fonti utilizzate: testo della Direttiva (UE) 2022/2555 su EUR-Lex, D.Lgs. 138/2024 su Normattiva, comunicazioni ufficiali di ACN e linee guida ENISA.

1. Cosa cambia rispetto a NIS1

NIS2 nasce per superare i limiti emersi con la prima direttiva NIS, in particolare la frammentazione applicativa tra Stati membri e l'ambito troppo ristretto. I principali cambiamenti rispetto a NIS1 sono:

  • Ambito di applicazione molto più ampio: nuovi settori (es. pubblica amministrazione, gestione rifiuti, produzione e distribuzione di alimenti, servizi postali, fornitori di servizi digitali, ricerca, manifattura di prodotti critici).
  • Classificazione binaria dei soggetti regolati in essenziali e importanti, in sostituzione di operatori di servizi essenziali / fornitori di servizi digitali.
  • Obblighi minimi armonizzati in materia di gestione del rischio (art. 21) e notifica degli incidenti (art. 23).
  • Responsabilità diretta degli organi di gestione (art. 20): il management deve approvare e supervisionare le misure di gestione del rischio.
  • Sanzioni amministrative significative, con tetti massimi differenziati per soggetti essenziali e importanti.

2. Chi rientra nell'ambito (in sintesi)

L'art. 2 della Direttiva e gli allegati I e II individuano i settori interessati. La logica generale è la seguente:

  • Sono soggetti essenziali le entità che operano nei settori dell'allegato I (es. energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione centrale) e che superano determinate soglie dimensionali.
  • Sono soggetti importanti le entità degli allegati I e II che non rientrano nella categoria precedente ma superano le soglie dimensionali stabilite.
  • Esistono eccezioni soggettive che possono includere entità anche al di sotto delle soglie quando svolgono un ruolo critico (es. fornitori unici, infrastrutture nazionali rilevanti).

Per la classificazione puntuale, ACN ha pubblicato sul proprio portale uno strumento di autoclassificazione e una procedura di registrazione obbligatoria per i soggetti che ritengono di rientrare nell'ambito. È il riferimento ufficiale: www.acn.gov.it.

⚠️ Non riportiamo qui stime numeriche sulla platea dei soggetti coinvolti: i dati ufficiali sono consolidati progressivamente da ACN man mano che la registrazione procede. Le stime di settore circolate sulla stampa specializzata non costituiscono un dato istituzionale.

3. Obblighi in materia di gestione del rischio (art. 21)

L'art. 21 della Direttiva impone misure tecniche, operative e organizzative proporzionate al rischio. L'elenco minimo include:

  1. Politiche di analisi dei rischi e sicurezza dei sistemi informativi.
  2. Gestione degli incidenti.
  3. Continuità operativa, gestione dei backup e ripristino dopo disastri.
  4. Sicurezza della catena di approvvigionamento (supply chain).
  5. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi.
  6. Politiche e procedure per valutare l'efficacia delle misure.
  7. Pratiche di igiene informatica e formazione.
  8. Politiche relative all'uso della crittografia.
  9. Sicurezza del personale, controllo degli accessi e gestione degli asset.
  10. Uso di soluzioni di autenticazione a più fattori o autenticazione continua, comunicazioni sicure di voce, video, testo e sistemi di comunicazione di emergenza.

Le misure devono seguire un approccio "all-hazard" e tenere conto dello stato dell'arte e degli standard europei e internazionali pertinenti (cfr. considerando 79 della Direttiva).

4. Notifica degli incidenti (art. 23)

NIS2 introduce un meccanismo di notifica articolato in più fasi per gli incidenti significativi:

  • Pre-allerta entro 24 ore dalla conoscenza dell'incidente.
  • Notifica vera e propria entro 72 ore.
  • Relazione finale entro un mese.

Un incidente è qualificato come significativo se ha causato o è in grado di causare gravi perturbazioni operative o perdite finanziarie, oppure se ha avuto un impatto considerevole su altre persone fisiche o giuridiche (art. 23, par. 3).

5. Responsabilità degli organi di gestione (art. 20)

Una delle novità più rilevanti è l'accountability esplicita del top management. Gli organi direttivi devono:

  • approvare le misure di gestione del rischio;
  • supervisionarne l'attuazione;
  • seguire formazione per acquisire conoscenze e competenze adeguate a identificare i rischi.

In caso di violazioni gli Stati membri devono prevedere la possibilità di responsabilità personale dei dirigenti, secondo modalità definite nell'ordinamento nazionale.

6. Sanzioni

La Direttiva (art. 34) e il D.Lgs. 138/2024 prevedono sanzioni amministrative pecuniarie con massimali differenziati:

  • Soggetti essenziali: fino a 10.000.000 € o al 2% del fatturato annuo mondiale, se superiore.
  • Soggetti importanti: fino a 7.000.000 € o all'1,4% del fatturato annuo mondiale, se superiore.

Sono previste anche misure non pecuniarie (richiami, ordini di conformarsi, sospensioni temporanee).

7. Tempistiche di adempimento

Il D.Lgs. 138/2024 stabilisce un percorso graduale di entrata a regime degli obblighi. Le scadenze esatte (in particolare per registrazione, adozione delle misure e notifica degli incidenti) sono pubblicate da ACN e aggiornate nelle determinazioni del Direttore generale. Si raccomanda di consultare direttamente il portale ACN per le scadenze applicabili al proprio profilo.

8. Cosa fare in concreto

Sulla base del testo normativo, un percorso ragionevole per un'organizzazione che ritiene di rientrare nell'ambito è:

  1. Verificare l'applicabilità tramite gli strumenti messi a disposizione da ACN.
  2. Registrarsi nei termini stabiliti, se soggetto regolato.
  3. Effettuare un assessment dello stato attuale rispetto alle misure dell'art. 21, anche utilizzando framework riconosciuti (es. ISO/IEC 27001, NIST CSF 2.0, misure minime AGID per la PA).
  4. Pianificare un percorso di adeguamento documentato, con responsabilità assegnate al top management.
  5. Implementare procedure di notifica degli incidenti coerenti con le tempistiche dell'art. 23.
  6. Estendere il controllo alla supply chain critica.

Riferimenti

Questo articolo ha finalità informative e non costituisce parere legale. Per la valutazione dell'applicabilità al proprio caso si raccomanda di consultare professionisti qualificati e i documenti ufficiali ACN.

Condividi questo articolo
LinkedInX

Articoli correlati

Diagramma astratto a esagoni interconnessi che richiama le funzioni del NIST CSF
Cybersecurity

NIST Cybersecurity Framework 2.0: una guida pratica per le PMI

La versione 2.0 del NIST CSF aggiunge la funzione Govern e diventa più adatta alle PMI. Come usarla per costruire un programma di sicurezza realistico, anche senza grandi budget.

20 aprile 20267 min

Vuoi applicare queste idee nella tua azienda?

Parliamone. In 30 minuti capiamo se possiamo aiutarti davvero.

Richiedi una consulenza