Vai al contenuto principale
NIS2Certify
Torna alla panoramica

Cos'è NIS2? Tutto quello che devi sapere sulla direttiva europea sulla cybersicurezza

Di NIS2Certify
nis2conformitacybersicurezzadirettiva-uearticolo-21

NIS2 (Direttiva 2022/2555) è la direttiva aggiornata dell'Unione Europea in materia di cybersicurezza. Sostituisce la Direttiva NIS originale del 2016 e si applica alle organizzazioni in 18 settori critici in ogni Stato membro dell'UE.

In questo articolo spieghiamo cos'è NIS2, a chi si applica, cosa devi fare e quali sono le conseguenze in caso di non conformità.

Perché esiste NIS2?

Gli attacchi informatici contro ospedali, fornitori di energia e sistemi governativi hanno dimostrato che le minacce digitali possono paralizzare intere società. Un singolo attacco ransomware contro un fornitore può innescare una reazione a catena transfrontaliera e interrompere servizi da cui dipendono milioni di persone.

L'UE ha concluso che la cybersicurezza non può più essere lasciata alle singole organizzazioni o agli Stati membri. NIS2 stabilisce un livello minimo di cybersicurezza che tutti gli Stati membri devono far rispettare, eliminando gli anelli deboli affinché una vulnerabilità in un paese non comprometta l'intera Unione.

Cosa è cambiato rispetto alla Direttiva NIS originale?

  • Ambito più ampio — da pochi settori a 18
  • Requisiti più specifici — 10 categorie di misure concrete anziché linee guida vaghe
  • Applicazione più rigorosa — sanzioni fino a 10 milioni di euro e responsabilità personale dei dirigenti
  • Segnalazione incidenti più rigorosa — notifica obbligatoria entro 24 ore

A chi si applica NIS2?

NIS2 utilizza una soglia dimensionale come criterio principale. La direttiva si applica alla tua organizzazione se soddisfi entrambe le condizioni:

  • 50 o più dipendenti, o un fatturato annuo / totale di bilancio superiore a 10 milioni di euro
  • Operi in uno dei 18 settori designati

Settori ad alta criticità (Allegato I)

  • Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
  • Trasporti (aereo, ferroviario, marittimo/fluviale, stradale)
  • Settore bancario e infrastrutture dei mercati finanziari
  • Sanità
  • Acqua potabile e acque reflue
  • Infrastruttura digitale (DNS, registri TLD, cloud, data center, CDN)
  • Gestione servizi TIC (B2B — servizi gestiti, sicurezza gestita)
  • Pubblica amministrazione
  • Spazio

Altri settori critici (Allegato II)

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Industria chimica
  • Produzione e distribuzione alimentare
  • Industria manifatturiera (dispositivi medici, elettronica, macchinari, veicoli a motore)
  • Fornitori digitali (mercati online, motori di ricerca, social network)
  • Istituti di ricerca

Nota: Alcune organizzazioni rientrano nella NIS2 indipendentemente dalle dimensioni — tra cui i prestatori di servizi fiduciari qualificati, i registri dei nomi di dominio di primo livello e i fornitori di servizi DNS.

Soggetti essenziali vs. importanti

NIS2 distingue due categorie:

  • Soggetti essenziali — organizzazioni più grandi nei settori ad alta criticità. Soggetti a vigilanza proattiva: le autorità possono eseguire audit e ispezioni in qualsiasi momento.
  • Soggetti importanti — soggetti a vigilanza reattiva: le autorità intervengono solo dopo un incidente o un segnale di non conformità.

Entrambe le categorie devono implementare le stesse misure di sicurezza. La differenza sta nel modello di vigilanza e nelle sanzioni massime.

Cosa richiede NIS2? I 3 obblighi fondamentali

1. Dovere di diligenza — le 10 misure dell'articolo 21

Le organizzazioni devono adottare misure tecniche, operative e organizzative appropriate per gestire i rischi di cybersicurezza. L'articolo 21 elenca dieci categorie specifiche di misure da implementare come minimo.

Ecco una panoramica visiva di come sono organizzate le 10 misure:

Articolo 21 — 10 Misure di Cybersicurezza NIS2
Articolo 21
10 Misure di Cybersicurezza
Governance & Strategia
1Analisi dei rischi & politiche di sicurezza delle informazioni
6Valutazione dell'efficacia delle misure di sicurezza
Incidenti & Continuità
2Gestione degli incidenti & notifica
3Continuità operativa & ripristino di emergenza
Catena di Fornitura & Sistemi
4Sicurezza della catena di fornitura
5Sicurezza nello sviluppo di sistemi di rete e informativi
Controlli Tecnici
8Crittografia & cifratura
10Autenticazione a più fattori & comunicazioni sicure
Persone & Risorse
7Igiene informatica & formazione
9Sicurezza HR & controllo degli accessi

Ogni misura nel dettaglio:

  1. Analisi dei rischi e politiche di sicurezza dell'informazione — valutazioni documentate dei rischi e politiche di sicurezza per i sistemi informativi
  2. Gestione degli incidenti — processi di rilevamento, risposta e ripristino in caso di incidenti di sicurezza
  3. Continuità operativa e gestione delle crisi — strategie di backup, disaster recovery e procedure di gestione delle crisi
  4. Sicurezza della catena di approvvigionamento — requisiti di sicurezza per fornitori e prestatori di servizi, comprese le disposizioni contrattuali
  5. Acquisizione, sviluppo e manutenzione sicuri — sicurezza nel ciclo di vita delle reti e dei sistemi informativi, compresa la gestione delle vulnerabilità
  6. Valutazione dell'efficacia — politiche e procedure per valutare se le misure di cybersicurezza funzionano effettivamente
  7. Igiene informatica e formazione — pratiche di base di cybersicurezza per tutto il personale, oltre a programmi di formazione mirati
  8. Crittografia e cifratura — politiche sull'uso di controlli crittografici e cifratura
  9. Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset — verifica del personale, controlli di accesso basati sui ruoli e inventario aggiornato degli asset
  10. Autenticazione a più fattori e comunicazioni protette — MFA per sistemi critici, comunicazioni interne cifrate e canali di comunicazione di emergenza protetti

2. Obbligo di notifica (Articolo 23)

In caso di incidente significativo, devi segnalarlo in tre fasi:

TermineCosa devi presentare
Entro 24 oreNotifica iniziale all'autorità di vigilanza e al CSIRT nazionale — era doloso? Possibile impatto transfrontaliero?
Entro 72 oreRelazione di follow-up con valutazione iniziale di gravità, impatto e indicatori di compromissione
Entro 1 meseRelazione finale con descrizione dettagliata, analisi delle cause e misure correttive applicate

3. Obbligo di registrazione

Le organizzazioni soggette a NIS2 devono registrarsi presso la propria autorità nazionale di vigilanza. Scadenze e portali di registrazione variano da paese a paese.

Cosa succede in caso di non conformità?

Le conseguenze sono significative — sia per l'organizzazione che per i singoli dirigenti.

Sanzioni finanziarie

  • Soggetti essenziali: sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale (il più elevato dei due)
  • Soggetti importanti: sanzioni fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale

Responsabilità personale dei dirigenti

È qui che NIS2 va oltre la maggior parte delle normative. L'articolo 20 pone la responsabilità della cybersicurezza esplicitamente in capo all'organo di gestione:

  • I dirigenti devono approvare le misure di gestione del rischio
  • I dirigenti devono supervisionare la loro attuazione
  • I dirigenti possono essere ritenuti personalmente responsabili in caso di inadempienza
  • I dirigenti sono tenuti a seguire una formazione in cybersicurezza

Non si tratta solo di firmare un documento di policy. NIS2 si aspetta che la direzione comprenda attivamente il panorama dei rischi dell'organizzazione e prenda decisioni informate.

Calendario di attuazione di NIS2 nell'UE

NIS2 è entrata in vigore a livello UE nel gennaio 2023. Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale. Tuttavia, le tempistiche variano notevolmente:

PaeseStato
BelgioPienamente in vigore da ottobre 2024 — tra i primi
GermaniaNIS2UmsuCG approvata a novembre 2025; registrazione al BSI richiesta entro aprile 2026
Paesi BassiCyberbeveiligingswet presentata al parlamento a giugno 2025; prevista per T2 2026
FranciaRecepimento in corso; legge nazionale prevista per il 2026
ItaliaDecreto legislativo adottato; attuazione in corso
SpagnaRecepimento in corso
PoloniaProgetto di legge in esame parlamentare

In sintesi: Indipendentemente dal calendario del tuo paese, la direzione è chiara. Le organizzazioni che iniziano a prepararsi ora avranno un vantaggio significativo.

Come iniziare con la conformità NIS2?

Prepararsi per NIS2 non deve essere opprimente. Segui questi cinque passaggi:

  1. Determina se NIS2 si applica a te — verifica la soglia dimensionale (50+ dipendenti o €10M+ di fatturato) e conferma il tuo settore
  2. Valuta la tua situazione attuale — mappa le tue misure esistenti rispetto alle 10 categorie dell'articolo 21 e identifica le lacune
  3. Dai priorità e implementa — affronta prima le lacune a rischio più elevato; non cercare di fare tutto in una volta
  4. Documenta tutto — NIS2 richiede conformità dimostrabile. Ciò che non puoi dimostrare non conta
  5. Coinvolgi la tua direzione — assicurati che il management comprenda la propria responsabilità personale e approvi l'approccio di gestione del rischio

Inizia con un quickscan NIS2 gratuito

Non sai a che punto si trova la tua organizzazione? Il nostro quickscan NIS2 gratuito ti offre una prima valutazione della tua preparazione in pochi minuti.

Lo scan copre tutte le 10 categorie di misure dell'articolo 21 e ti mostra esattamente dove devi intervenire — senza impegno.

Leggi anche

Fai il quickscan gratuito →

    Cos'è NIS2? Tutto quello che devi sapere sulla direttiva europea sulla cybersicurezza — NIS2Certify