1. Che cos'è NIS2?
La direttiva NIS2 (2022/2555), in vigore dal 17 ottobre 2024 (Articolo 41, Direttiva 2022/2555), estende gli obblighi di cybersicurezza a oltre 160.000 soggetti in 18 settori nell'UE. Sostituisce la NIS1 con sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo mondiale.
La direttiva NIS (Network and Information Security) del 2016 è stato il primo quadro legislativo europeo dedicato alla cybersicurezza. Imponeva agli Stati membri di designare autorità competenti e di stabilire requisiti minimi di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali. Pur avendo posto le basi di un approccio comune, la sua applicazione disomogenea tra i paesi ha evidenziato significative lacune in termini di armonizzazione.
Di fronte alla rapida evoluzione delle minacce informatiche e alla persistente frammentazione tra gli Stati membri, la Commissione europea ha pubblicato la direttiva NIS2 (2022/2555) il 27 dicembre 2022. Questo testo ridisegna completamente il quadro precedente: amplia considerevolmente il perimetro delle entità soggette — oltre 160.000 soggetti (Articolo 2, Direttiva 2022/2555) —, rafforza gli obblighi di sicurezza, inasprisce le sanzioni ed esige una cooperazione rafforzata tra le autorità nazionali. La direttiva è entrata in vigore il 17 ottobre 2024 (Articolo 41, Direttiva 2022/2555), data entro cui gli Stati membri avrebbero dovuto recepirla nel diritto nazionale.
In Italia, il recepimento di NIS2 è guidato dall'ACN (Agenzia per la Cybersicurezza Nazionale), l'autorità nazionale competente, attraverso il decreto legislativo di recepimento. L'ACN provvederà a identificare e notificare individualmente le entità soggette. Si raccomanda tuttavia alle imprese di anticipare i tempi effettuando una valutazione dello stato attuale delle proprie pratiche di cybersicurezza.
2. Chi è interessato?
La NIS2 classifica le organizzazioni in soggetti essenziali (oltre 250 dipendenti o 50 milioni di euro di fatturato) e soggetti importanti (oltre 50 dipendenti o 10 milioni di euro di fatturato) in 18 settori coperti dagli Allegati I e II della Direttiva 2022/2555, tra cui energia, sanità, trasporti e infrastrutture digitali.
Soggetti essenziali vs soggetti importanti
NIS2 distingue tra due categorie di soggetti obbligati: i soggetti essenziali (SE) e i soggetti importanti (SI). Questa distinzione determina il livello di supervisione esercitato dall'ACN e l'entità delle sanzioni applicabili. I soggetti essenziali sono le grandi imprese (più di 250 dipendenti o più di 50 milioni di euro di fatturato annuo) (Articolo 2, Direttiva 2022/2555) che operano nei settori altamente critici dell'Allegato I. I soggetti importanti comprendono le medie imprese (più di 50 dipendenti o più di 10 milioni di euro di fatturato) (Articolo 2, Direttiva 2022/2555) nei settori degli Allegati I o II.
Criteri dimensionali
Per determinare se la vostra impresa rientra come soggetto essenziale o importante, si applicano due criteri: il numero di dipendenti e il fatturato annuo. Un'impresa è considerata grande (soglia soggetto essenziale) se supera 250 dipendenti o 50 milioni di euro di fatturato (Articolo 2, Direttiva 2022/2555). È considerata media (soglia soggetto importante) se supera 50 dipendenti o 10 milioni di euro di fatturato (Articolo 2, Direttiva 2022/2555). Queste soglie si valutano a livello di persona giuridica e non di gruppo.
I 18 settori coperti
La direttiva copre 18 settori (Allegati I e II, Direttiva 2022/2555) suddivisi in due allegati. L'Allegato I comprende 11 settori altamente critici: energia — trasporti — settore bancario — infrastrutture dei mercati finanziari — salute — acqua potabile — acque reflue — infrastrutture digitali — gestione dei servizi ICT — pubblica amministrazione — spazio. L'Allegato II aggiunge 7 settori critici: servizi postali e di corriere — gestione dei rifiuti — produzione e distribuzione di sostanze chimiche — produzione e distribuzione alimentare — industria manifatturiera — fornitori digitali — ricerca.
Anche se la vostra impresa non appartiene direttamente a un settore coperto, potreste essere interessati se fornite servizi o prodotti a un soggetto essenziale o importante. NIS2 impone infatti ai soggetti obbligati di garantire che anche i loro fornitori critici rispettino un adeguato livello di sicurezza, in pratica tramite clausole contrattuali, questionari di sicurezza e audit.
3. Gli obblighi concreti
L'articolo 21 della Direttiva 2022/2555 impone otto obblighi fondamentali: governance, gestione del rischio, sicurezza della catena di approvvigionamento, notifica degli incidenti entro 24 h/72 h (Articolo 23), continuità operativa, sicurezza HR, crittografia e controllo degli accessi (MFA).
L'articolo 21 della direttiva NIS2 definisce le misure tecniche, operative e organizzative che i soggetti obbligati devono adottare. Tali misure devono essere proporzionate al livello di rischio, alle dimensioni del soggetto e alle potenziali conseguenze degli incidenti. Sono previsti otto obblighi principali.
Governance e responsabilità
Primo, governance e responsabilità della dirigenza: gli organi di amministrazione devono approvare le misure di cybersicurezza e rispondere personalmente in caso di grave inadempienza. Secondo, gestione del rischio: analisi periodica dei rischi, identificazione degli asset critici e politica di sicurezza documentata. Terzo, sicurezza della catena di approvvigionamento: valutazione e sorveglianza dei fornitori critici tramite clausole contrattuali, questionari e audit.
Notifica degli incidenti
Quarto, gestione degli incidenti e notifica entro 72 ore (Articolo 23, Direttiva 2022/2555): preallarme all'ACN entro 24 ore (Articolo 23, Direttiva 2022/2555) dalla rilevazione di un incidente significativo, notifica completa entro 72 ore e relazione finale entro un mese.
Continuità operativa
Quinto, continuità operativa: piani di continuità (BCP) e di ripristino (DRP) formalizzati e testati periodicamente.
Gestione dei rischi
Sesto, sicurezza delle risorse umane: verifiche dei precedenti per i ruoli sensibili, formazione sulla cybersicurezza e revoca immediata degli accessi in caso di cessazione del rapporto. Settimo, crittografia: cifratura dei dati sensibili in transito e a riposo, gestione documentata delle chiavi e dei certificati. Ottavo, controllo degli accessi: autenticazione a più fattori (MFA) obbligatoria per i sistemi critici e policy IAM basata sul principio del minimo privilegio.
4. Sanzioni e controlli
Le sanzioni NIS2 raggiungono i 10.000.000 € o il 2% del fatturato annuo mondiale per i soggetti essenziali, e 7.000.000 € o l'1,4% per i soggetti importanti (Articolo 34, Direttiva 2022/2555). I dirigenti rispondono personalmente fino al divieto temporaneo di svolgere funzioni di direzione.
NIS2 istituisce un regime sanzionatorio significativamente più severo rispetto al suo predecessore. Le sanzioni sono calcolate prendendo il valore più elevato tra un massimale fisso e una percentuale del fatturato annuo mondiale, per garantire efficacia deterrente indipendentemente dalle dimensioni del soggetto. Per i soggetti essenziali, la sanzione massima è di 10.000.000 € o il 2% del fatturato annuo mondiale (Articolo 34, Direttiva 2022/2555). Per i soggetti importanti è di 7.000.000 € o l'1,4% del fatturato annuo mondiale (Articolo 34, Direttiva 2022/2555).
Una novità rilevante rispetto a NIS1 è l'introduzione della responsabilità personale dei dirigenti in caso di grave violazione degli obblighi di cybersicurezza. Gli Stati membri possono prevedere sanzioni individuali nei confronti delle persone fisiche che esercitano funzioni dirigenziali nei soggetti essenziali, fino al divieto temporaneo di svolgere funzioni di direzione. Questa disposizione mira a responsabilizzare gli organi di governance.
L'ACN dispone di ampi poteri di controllo: audit documentali e in loco, richieste di informazioni, ingiunzioni di conformità con scadenza e pubblicazione degli inadempimenti (name and shame). Per i soggetti essenziali, i controlli possono essere avviati proattivamente senza che sia verificato un incidente precedente.
5. Come conformarsi
La conformità NIS2 si sviluppa in 5 fasi su almeno 9 mesi: mappatura degli asset, valutazione dei rischi (ISO 27005 o framework ENISA), implementazione delle misure tecniche, formazione del personale e audit continuo. La dirigenza deve guidare il progetto aziendale.
Il percorso di conformità a NIS2 è un progetto aziendale che si sviluppa nell'arco di diversi mesi. Il seguente piano in cinque fasi si basa sulle raccomandazioni dell'ACN e sulle linee guida dell'ENISA.
Fase 1: Mappare gli asset
Fase 1 (mesi 1-2) — Mappatura degli asset: identificate e catalogate tutti gli asset digitali (server, applicazioni, apparati di rete, postazioni di lavoro, accessi cloud) e classificateli in base alla criticità per il business.
Fase 2: Valutare i rischi
Fase 2 (mesi 2-3) — Valutazione dei rischi: conducete un'analisi dei rischi identificando minacce, vulnerabilità e impatti potenziali per ciascun asset critico; la metodologia ISO 27005 o i framework ENISA sono indicati per questo esercizio.
Fase 3: Implementare le misure
Fase 3 (mesi 3-6) — Implementazione delle misure: implementate le misure tecniche e organizzative prioritizzate dalla vostra analisi dei rischi (MFA, cifratura, segmentazione della rete, gestione delle patch, backup, rilevamento degli incidenti) e documentate ogni misura.
Fase 4: Formare il personale
Fase 4 (mesi 6-9) — Formazione del personale: sensibilizzate tutti i dipendenti sui rischi cyber e sulle buone pratiche; formate specificamente i team IT sulle nuove procedure di rilevamento e notifica degli incidenti; coinvolgete il management in formazioni sulla governance e sulla responsabilità ai sensi di NIS2.
Fase 5: Auditare e migliorare continuamente
Fase 5 (continua) — Audit e miglioramento continuo: pianificate audit interni ed esterni periodici, aggiornate la vostra analisi dei rischi almeno annualmente, testate il piano di continuità tramite esercitazioni di crisi e mantenete aggiornata la documentazione di tutte le attività di conformità.
6. Risorse ufficiali
Le risorse essenziali per la conformità NIS2 includono il testo ufficiale su EUR-Lex, le guide pratiche dell'ACN (acn.gov.it), le linee guida dell'ENISA e la norma ISO/IEC 27001 per l'analisi dei rischi richiesta dall'articolo 21.
Diverse risorse ufficiali vi aiuteranno ad approfondire la direttiva NIS2 e ad avviare il vostro percorso di conformità.
Il testo integrale della Direttiva (UE) 2022/2555 è disponibile su EUR-Lex, la Gazzetta Ufficiale dell'Unione Europea. L'ACN (acn.gov.it) pubblica guide pratiche, strumenti di autovalutazione e informazioni aggiornate sul recepimento italiano di NIS2. L'ENISA (Agenzia dell'UE per la Cybersicurezza) mette a disposizione linee guida tecniche e raccomandazioni di implementazione per gli Stati membri e le entità obbligate.
Per la gestione dei rischi, il framework ISO/IEC 27001 è ampiamente riconosciuto in Italia come standard di riferimento e la sua certificazione può essere valorizzata come prova di conformità nei confronti delle autorità di vigilanza. Il Cybersecurity Act europeo e le linee guida ENISA completano il quadro di riferimento tecnico per l'implementazione di NIS2.