Cos'è la direttiva NIS2
La NIS2 (Network and Information Security Directive 2) è la normativa europea 2022/2555, recepita in Italia con il D.Lgs. 138/2024, che amplia enormemente il perimetro della NIS originale. Introduce obblighi di cybersecurity per decine di migliaia di aziende italiane che prima erano fuori dal radar normativo.
Il principio è semplice: se operi in un settore critico o importante per il funzionamento della società, devi dimostrare di sapere proteggere te stesso e la tua supply chain. Il resto sono i dettagli — ed è lì che inizia la confusione operativa.
La NIS2 richiede misure tecniche e organizzative, gestione incidenti con notifica entro 24/72 ore, supply chain sotto controllo e responsabilità diretta del board. Le sanzioni arrivano a 10 milioni di euro o il 2% del fatturato globale.
A chi si applica
La direttiva distingue due categorie: soggetti essenziali (energia, trasporti, salute, finanza, PA, acqua, digitale) e soggetti importanti (servizi postali, rifiuti, chimica, alimentare, manifatturiero critico, ricerca, provider digitali).
Le soglie dimensionali:
- Medie imprese (50-249 dipendenti oppure fatturato tra 10M e 50M) → soggetti importanti
- Grandi imprese (>250 dipendenti o >50M fatturato) → soggetti essenziali
- Microimprese e PMI sotto soglia possono rientrare comunque se fornitori critici di un soggetto essenziale
L'effetto supply chain
Questo è il punto che molti sottovalutano. Anche se la tua azienda è sotto soglia, se lavori come fornitore di un ospedale, di una utility o di una banca soggetta a NIS2, il tuo cliente ti chiederà evidenze di conformità. E se non le hai, ti sostituisce.
Cosa devi fare concretamente
La norma elenca 10 aree di misure minime. Tradotte in pratica sono queste:
- Analisi dei rischi e politiche di sicurezza formalizzate e aggiornate
- Gestione incidenti con procedure testate e notifica (24h pre-allerta, 72h notifica completa)
- Continuità operativa: backup, disaster recovery, crisis management
- Sicurezza della supply chain: valutazione fornitori e contratti
- Sviluppo sicuro: gestione vulnerabilità, patch management
- Valutazione dell'efficacia delle misure adottate
- Pratiche di igiene: MFA, cifratura, formazione
- Crittografia dove applicabile
- Sicurezza del personale: controlli, accessi, awareness
- Autenticazione forte e gestione accessi
Le scadenze che contano
- 17 ottobre 2024 — scadenza di recepimento UE (passata)
- 28 febbraio 2025 — registrazione sul portale ACN italiano per i soggetti identificati
- Entro 9 mesi dalla registrazione — notifica incidenti operativa
- Entro 18 mesi — misure tecniche e organizzative pienamente adottate
Chi non si registra rischia sanzioni anche solo per quello. Chi si registra ma non agisce si mette in posizione peggiore: c'è una lista di aziende che hanno dichiarato di essere in ambito ma non stanno facendo nulla.
Sanzioni e responsabilità del board
Le sanzioni amministrative arrivano a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali (7M / 1.4% per quelli importanti). Ma la novità più pesante è un'altra: la responsabilità personale del top management.
Gli amministratori possono essere ritenuti personalmente responsabili in caso di violazioni gravi. Devono partecipare a formazione dedicata e approvare formalmente le politiche di sicurezza. Non è più "il problema dell'IT".
Gli errori che vediamo più spesso
Errore 1 — "Abbiamo già la ISO 27001, siamo a posto"
La ISO è un'ottima base ma non copre tutti i requisiti NIS2. In particolare sulla supply chain, la notifica incidenti e la responsabilità del board servono adempimenti specifici.
Errore 2 — "Lo facciamo fare al legale"
Il legale traduce la norma, non la implementa. Servono competenze tecniche per scegliere i controlli, configurarli e misurarli. Serve qualcuno che parli entrambe le lingue.
Errore 3 — "Compriamo un tool che ci mette a norma"
Nessun tool rende conforme. I tool automatizzano alcuni controlli, ma la NIS2 chiede un sistema di gestione. Prima i processi, poi i tool.
La maggior parte delle aziende che si dichiara "in corso di adeguamento" ha prodotto documenti ma non ha cambiato comportamenti. L'auditor ACN se ne accorge in 10 minuti.
Come lavoriamo sulla NIS2
Dopo la call gratuita di 30 minuti, se ha senso procedere insieme, il percorso tipico è:
- Gap analysis (2-4 settimane): fotografia dello stato attuale vs requisiti NIS2, con priorità e stime di effort
- Roadmap: piano operativo con milestone, responsabilità e budget
- Implementazione guidata: documenti, processi, controlli tecnici
- Supporto continuativo: aggiornamenti normativi, gestione incidenti, audit interni
Pronto a fare chiarezza?
30 minuti. Gratis. Ti diciamo dove sei davvero e cosa cambieremmo per primo.
Prenota la call →