Guida Completa NIS2 2025

La direttiva NIS (Network and Information Security) del 2016 è stato il primo quadro legislativo europeo dedicato alla cybersicurezza. Imponeva agli Stati membri di designare autorità competenti e di stabilire requisiti minimi di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali. Pur avendo posto le basi di un approccio comune, la sua applicazione disomogenea tra i paesi ha evidenziato significative lacune in termini di armonizzazione.

Di fronte alla rapida evoluzione delle minacce informatiche e alla persistente frammentazione tra gli Stati membri, la Commissione europea ha pubblicato la direttiva NIS2 (2022/2555) il 27 dicembre 2022. Questo testo ridisegna completamente il quadro precedente: amplia considerevolmente il perimetro delle entità soggette, rafforza gli obblighi di sicurezza, inasprisce le sanzioni ed esige una cooperazione rafforzata tra le autorità nazionali. La direttiva è entrata in vigore il 17 ottobre 2024, data entro cui gli Stati membri avrebbero dovuto recepirla nel diritto nazionale.

In Italia, il recepimento di NIS2 è guidato dall'ACN (Agenzia per la Cybersicurezza Nazionale), l'autorità nazionale competente, attraverso il decreto legislativo di recepimento. L'ACN provvederà a identificare e notificare individualmente le entità soggette. Si raccomanda tuttavia alle imprese di anticipare i tempi effettuando una valutazione dello stato attuale delle proprie pratiche di cybersicurezza.

NIS2 distingue tra due categorie di soggetti obbligati: i soggetti essenziali (SE) e i soggetti importanti (SI). Questa distinzione determina il livello di supervisione esercitato dall'ACN e l'entità delle sanzioni applicabili. I soggetti essenziali sono le grandi imprese (più di 250 dipendenti o più di 50 milioni di euro di fatturato annuo) che operano nei settori altamente critici dell'Allegato I. I soggetti importanti comprendono le medie imprese (più di 50 dipendenti o più di 10 milioni di euro di fatturato) nei settori degli Allegati I o II.

La direttiva copre 18 settori suddivisi in due allegati. L'Allegato I (settori altamente critici) comprende: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione e spazio. L'Allegato II aggiunge: servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione alimentare, fabbricazione di dispositivi medici ed elettronici, fornitori digitali e ricerca.

Anche se la vostra impresa non appartiene direttamente a un settore coperto, potreste essere interessati se fornite servizi o prodotti a un soggetto essenziale o importante. NIS2 impone infatti ai soggetti obbligati di garantire che anche i loro fornitori critici rispettino un adeguato livello di sicurezza, in pratica tramite clausole contrattuali, questionari di sicurezza e audit.

L'articolo 21 della direttiva NIS2 definisce le misure tecniche, operative e organizzative che i soggetti obbligati devono adottare. Tali misure devono essere proporzionate al livello di rischio, alle dimensioni del soggetto e alle potenziali conseguenze degli incidenti. Sono previsti otto obblighi principali.

Primo, governance e responsabilità della dirigenza: gli organi di amministrazione devono approvare le misure di cybersicurezza e rispondere personalmente in caso di grave inadempienza. Secondo, gestione del rischio: analisi periodica dei rischi, identificazione degli asset critici e politica di sicurezza documentata. Terzo, sicurezza della catena di approvvigionamento: valutazione e sorveglianza dei fornitori critici tramite clausole contrattuali, questionari e audit.

Quarto, gestione degli incidenti e notifica entro 72 ore: preallarme all'ACN entro 24 ore dalla rilevazione di un incidente significativo, notifica completa entro 72 ore e relazione finale entro un mese. Quinto, continuità operativa: piani di continuità (BCP) e di ripristino (DRP) formalizzati e testati periodicamente. Sesto, sicurezza delle risorse umane: verifiche dei precedenti per i ruoli sensibili, formazione sulla cybersicurezza e revoca immediata degli accessi in caso di cessazione del rapporto. Settimo, crittografia: cifratura dei dati sensibili in transito e a riposo, gestione documentata delle chiavi e dei certificati. Ottavo, controllo degli accessi: autenticazione a più fattori (MFA) obbligatoria per i sistemi critici e policy IAM basata sul principio del minimo privilegio.

NIS2 istituisce un regime sanzionatorio significativamente più severo rispetto al suo predecessore. Le sanzioni sono calcolate prendendo il valore più elevato tra un massimale fisso e una percentuale del fatturato annuo mondiale, per garantire efficacia deterrente indipendentemente dalle dimensioni del soggetto. Per i soggetti essenziali, la sanzione massima è di 10.000.000 € o il 2% del fatturato annuo mondiale. Per i soggetti importanti è di 7.000.000 € o l'1,4% del fatturato annuo mondiale.

Una novità rilevante rispetto a NIS1 è l'introduzione della responsabilità personale dei dirigenti in caso di grave violazione degli obblighi di cybersicurezza. Gli Stati membri possono prevedere sanzioni individuali nei confronti delle persone fisiche che esercitano funzioni dirigenziali nei soggetti essenziali, fino al divieto temporaneo di svolgere funzioni di direzione. Questa disposizione mira a responsabilizzare gli organi di governance.

L'ACN dispone di ampi poteri di controllo: audit documentali e in loco, richieste di informazioni, ingiunzioni di conformità con scadenza e pubblicazione degli inadempimenti (name and shame). Per i soggetti essenziali, i controlli possono essere avviati proattivamente senza che sia verificato un incidente precedente.

Il percorso di conformità a NIS2 è un progetto aziendale che si sviluppa nell'arco di diversi mesi. Il seguente piano in cinque fasi si basa sulle raccomandazioni dell'ACN e sulle linee guida dell'ENISA.

Fase 1 (mesi 1-2) — Mappatura degli asset: identificate e catalogate tutti gli asset digitali (server, applicazioni, apparati di rete, postazioni di lavoro, accessi cloud) e classificateli in base alla criticità per il business. Fase 2 (mesi 2-3) — Valutazione dei rischi: conducete un'analisi dei rischi identificando minacce, vulnerabilità e impatti potenziali per ciascun asset critico; la metodologia ISO 27005 o i framework ENISA sono indicati per questo esercizio. Fase 3 (mesi 3-6) — Implementazione delle misure: implementate le misure tecniche e organizzative prioritizzate dalla vostra analisi dei rischi (MFA, cifratura, segmentazione della rete, gestione delle patch, backup, rilevamento degli incidenti) e documentate ogni misura.

Fase 4 (mesi 6-9) — Formazione del personale: sensibilizzate tutti i dipendenti sui rischi cyber e sulle buone pratiche; formate specificamente i team IT sulle nuove procedure di rilevamento e notifica degli incidenti; coinvolgete il management in formazioni sulla governance e sulla responsabilità ai sensi di NIS2. Fase 5 (continua) — Audit e miglioramento continuo: pianificate audit interni ed esterni periodici, aggiornate la vostra analisi dei rischi almeno annualmente, testate il piano di continuità tramite esercitazioni di crisi e mantenete aggiornata la documentazione di tutte le attività di conformità.

Diverse risorse ufficiali vi aiuteranno ad approfondire la direttiva NIS2 e ad avviare il vostro percorso di conformità.

Il testo integrale della Direttiva (UE) 2022/2555 è disponibile su EUR-Lex, la Gazzetta Ufficiale dell'Unione Europea. L'ACN (acn.gov.it) pubblica guide pratiche, strumenti di autovalutazione e informazioni aggiornate sul recepimento italiano di NIS2. L'ENISA (Agenzia dell'UE per la Cybersicurezza) mette a disposizione linee guida tecniche e raccomandazioni di implementazione per gli Stati membri e le entità obbligate.

Per la gestione dei rischi, il framework ISO/IEC 27001 è ampiamente riconosciuto in Italia come standard di riferimento e la sua certificazione può essere valorizzata come prova di conformità nei confronti delle autorità di vigilanza. Il Cybersecurity Act europeo e le linee guida ENISA completano il quadro di riferimento tecnico per l'implementazione di NIS2.