NIS 2: la nuova direttiva europea sulla cybersecurity — cosa cambia per le aziende

La sicurezza informatica non è più un tema riservato agli esperti IT: oggi riguarda direttamente il futuro e la competitività di tutte le imprese. Con l’entrata in vigore della Direttiva NIS 2, l’Unione Europea ha alzato l’asticella della protezione digitale, introducendo nuovi obblighi e responsabilità per organizzazioni pubbliche e private. Ma di cosa si tratta esattamente? E soprattutto, quali passi concreti devono compiere le aziende per non farsi trovare impreparate?

Che cos’è la NIS 2

La Direttiva NIS 2 (Network and Information Security Directive 2) è la normativa europea che sostituisce la prima direttiva NIS del 2016. L’obiettivo è chiaro: garantire un livello uniforme e più elevato di cybersecurity in tutta l’Unione, estendendo gli obblighi a un numero maggiore di settori e introducendo regole più severe in termini di prevenzione, gestione e comunicazione degli incidenti informatici.
Rispetto al passato, la direttiva prevede:

• un ambito di applicazione più ampio,
• obblighi più stringenti a livello di governance, supply chain e incident-response,
• un orientamento concreto al rafforzamento della resilienza digitale e della cooperazione transfrontaliera.

Le scadenze da ricordare

Il percorso di attuazione della NIS 2 prevede diverse fasi, alcune già scadute, altre ancora in corso o imminenti. Infatti, il recepimento è già avvenuto con il D.Lgs. 138/2024, entrato in vigore a settembre 2024, mentre l’implementazione delle misure e prime designazioni nel corso del 2025 e  le prime attività di vigilanza e controllo avverranno nel 2026. Per le aziende, diventa fondamentale conoscere la roadmap aggiornata e verificare a che punto si trovano.

• METÀ OTTOBRE 2024 – METÀ APRILE 2025: Prima fase attuativa
  • Entro febbraio 2025: censimento e registrazione dei soggetti
  • Entro marzo 2025: adozione dell’elenco dei soggetti NIS
  • Entro aprile 2025: notifica ai soggetti NIS
  • Entro aprile 2025: elaborazione e adozione obblighi di base
• METÀ APRILE 2025 – METÀ APRILE 2026: Seconda fase attuativa
  • A partire da gennaio 2026: obbligo di notifica di base
  • Entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi
  • Entro aprile 2026: elaborazione e adozione degli obblighi a lungo termine
  • Entro settembre 2026: completa implementazione delle misure di sicurezza di base
• DA METÀ APRILE 2026: Terza fase attuativa
  • Categorizzazione delle attività e dei servizi
  • Implementazione degli obblighi a lungo termine

Chi è coinvolto

La Direttiva NIS2 amplia in modo significativo il numero e la tipologia di soggetti obbligati rispetto alla precedente normativa, coinvolgendo un insieme molto più esteso di settori strategici e servizi essenziali, pubblici e privati, la cui interruzione potrebbe avere impatti rilevanti sulla società, sull’economia o sulla sicurezza nazionale.

Le organizzazioni sono suddivise in due categorie principali:

• Entità essenziali: includono i settori di energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflua, infrastrutture digitali (data center, reti DNS, TLD, fornitori di servizi cloud e di comunicazioni elettroniche), pubblica amministrazione centrale e fornitori di servizi ICT per enti pubblici o soggetti critici.
• Entità importanti: comprendono invece i servizi postali e di corriere, la gestione dei rifiuti, la produzione e distribuzione alimentare, l’industria chimica, manifatturiera e dei dispositivi elettronici, i fornitori di servizi digitali (piattaforme online, marketplace, motori di ricerca), la ricerca e lo sviluppo nei settori tecnologici avanzati.

Oltre alla classificazione settoriale, la NIS2 introduce anche criteri dimensionali: la normativa si applica in generale a organizzazioni con almeno 50 dipendenti o un fatturato annuo di almeno 10 milioni di euro, che operano nei settori indicati. Tuttavia, anche imprese più piccole possono rientrare nel campo di applicazione se svolgono funzioni critiche o sono fornitori unici di un servizio essenziale, la cui interruzione avrebbe un impatto significativo sulla sicurezza pubblica o sulla stabilità del Paese.

In Italia, il D.Lgs. 138/2024 — che recepisce la direttiva — definisce nel dettaglio le modalità di individuazione delle entità soggette e attribuisce all’Agenzia per la Cybersicurezza Nazionale (ACN) il compito di notificare i soggetti interessati e gestire il registro nazionale delle entità essenziali e importanti.

Obblighi principali per le imprese

Per chi rientra nell’ambito della NIS 2, gli obblighi sono concreti e articolati. Tra i principali:

• adottare misure tecniche e organizzative per ridurre i rischi informatici, anche lungo la supply chain;
• garantire la notifica degli incidenti con tempistiche definite (ad esempio entro 24 ore la segnalazione iniziale, entro 72 ore un aggiornamento, e relazione finale entro un mese) — anche se attenzione: le modalità possono variare a livello nazionale.
• effettuare audit periodici, rafforzare la governance della sicurezza (nominare figure responsabili, definire ruoli, coinvolgere direzione);
• predisporre piani di risposta agli incidenti, attività di formazione interna e consapevolezza;
• mantenere documentazione e registri aggiornati: inventari asset, mappatura fornitori, piani di continuità, piani di vulnerabilità, ecc.

Sanzioni in caso di inadempienza

Le sanzioni previste sono significative:

• fino a 10 milioni di euro oppure al 2% del fatturato globale per le entità essenziali;
• fino a 7 milioni di euro oppure all’1,4% del fatturato globale per le entità importanti.
  Non si tratta quindi solo di un adempimento burocratico: la mancata conformità può avere impatti economici e reputazionali molto pesanti.

Come prepararsi

Adeguarsi alla NIS 2 non deve essere visto come un ostacolo, ma come un’opportunità per rafforzare la resilienza dell’azienda. Alcune azioni chiave da avviare subito se non già fatte:

1. Mappatura e gestione del rischio
   • identificare il perimetro aziendale (asset, servizi, processi)
   • analisi e valutazione del rischio cyber
2. Governance e organizzazione interna
   • designazione di ruoli e responsabilità (CISO, responsabile incidenti, team cross-funzionali)
   • definizione di politiche e procedure interne in linea con NIS 2
   • coinvolgimento attivo del vertice aziendale, che la direttiva considera responsabile della sicurezza informatica
3. Misure tecniche di sicurezza
   • implementazione di controlli (controllo accessi, backup, monitoraggio, gestione fornitori)
   • adeguamento della supply chain e dei fornitori rispetto ai requisiti cyber
4. Gestione degli incidenti e risposta
   • predisporre piano di risposta agli incidenti, testarlo con esercitazioni
   • implementare procedura di notifica interna ed esterna secondo requisiti NIS 2
5. Formazione e consapevolezza del personale
   • programmi di training continui sulla cybersecurity per tutto il personale
   • simulazioni phishing, esercitazioni, sensibilizzazione
6. Documentazione e conformità
   • tenuta di registri, inventari, piani, audit di verifica, report interni
   • preparazione alla supervisione da parte dell’autorità nazionale competente

Conclusione

La Direttiva NIS 2 rappresenta una svolta importante per la sicurezza digitale in Europa. Per le aziende significa nuove responsabilità, ma anche la possibilità di trasformare la cybersecurity in un vero vantaggio competitivo. Prepararsi per tempo significa non solo evitare sanzioni, ma soprattutto costruire fiducia con clienti e partner, e garantire continuità operativa anche in un contesto di minacce sempre più sofisticate.

Scopri i nostri servizi di Compliance