La normativa NIS2 è un tassello fondamentale del framework europeo per la cybersecurity. Il suo scopo è quello di rafforzare e ampliare gli obblighi introdotti dalla direttiva NIS del 2016, estendendo il perimetro dei soggetti coinvolti e alzando l’asticella delle misure tecniche e organizzative richieste per prevenire e gestire gli incidenti informatici.
A chi si rivolge NIS2: soggetti essenziali, importanti e criteri di inclusione
La normativa NIS2 è entrata in vigore nel 2023 ed è stata recepita dagli stati UE a ottobre 2024, iniziando in quel momento un iter che in Italia si concluderà a ottobre 2026. Qualche mese fa, quindi, le imprese interessate hanno iniziato a lavorare per allinearsi ai nuovi standard di sicurezza, secondo tempistiche e modalità coordinate dall’ACN, l’Agenzia per la Cybersicurezza Nazionale.
Uno degli aspetti chiave della normativa NIS2 è l’ampliamento del perimetro applicativo rispetto alla precedente NIS. La norma non si applica indistintamente a tutte le imprese, ma individua con precisione quelle realtà che, per settore di attività e dimensioni, rivestono un ruolo strategico per il funzionamento della società e dell’economia.
Dimensioni, fatturato e rilevanza delle attività svolte
Per rientrare nel campo di applicazione diretta, un’organizzazione deve impiegare almeno 50 dipendenti e registrare un fatturato annuo pari o superiore a 10 milioni di euro, rendendo la norma indirizzata ad organizzazioni di dimensioni medie e grandi. A partire dal criterio dimensionale, poi, la norma distingue tra soggetti essenziali e soggetti importanti, in base alla rilevanza delle attività svolte.
I soggetti essenziali sono tipicamente attivi in settori ad alta criticità sistemica come energia, trasporti, sanità, infrastrutture digitali, finanza e amministrazioni pubbliche, mentre i soggetti importanti operano in ambiti rilevanti ma meno critici, come la gestione dei rifiuti, i servizi postali e di corriere, la manifattura di apparecchiature chimiche e medicali. Anche per queste imprese, la normativa NIS2 impone l’adozione di misure tecniche e organizzative idonee a gestire i rischi cyber e a notificare eventuali incidenti, ma il meccanismo di controllo è meno invasivo e le sanzioni ridotte.
I nuovi obblighi previsti dalla normativa NIS2
Gli obblighi introdotti dalla normativa NIS2 sono numerosi, articolati e riguardano diversi livelli dell’organizzazione, dalla sicurezza tecnica alla gestione dei fornitori. La direttiva non cita misure tecniche specifiche, lasciando l’onere agli organi nazionali, ma impone una trasformazione concreta dei modelli di gestione della sicurezza e prevede un regime sanzionatorio significativo, che può arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo.
Un approccio strutturato alla gestione del rischio
L’elemento centrale del nuovo impianto normativo è l’adozione di un sistema di cybersecurity end-to-end, capace di coprire l’intero ciclo di vita della protezione: prevenzione, rilevamento, risposta e ripristino. Le imprese interessate devono dotarsi di misure tecniche e organizzative adeguate, in grado di garantire la resilienza delle attività critiche e la capacità di reagire rapidamente a eventi imprevisti.
In particolare, l’articolo 21 della Direttiva individua dieci aree chiave da presidiare:
- politiche di analisi dei rischi e di sicurezza dei sistemi informativi;
- gestione degli incidenti;
- continuità operativa, come la gestione del backup e il ripristino in caso di disastro, e gestione delle crisi;
- sicurezza della catena di approvvigionamento, compresi aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi;
- sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informativi e di rete, compresa la gestione e la divulgazione delle vulnerabilità;
- strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza;
- pratiche di igiene informatica di base e formazione in materia di cybersicurezza;
- politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura;
- sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi;
- uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso.
È importante sottolineare che le aziende interessate dalla Direttiva non partono da zero: nella maggior parte dei casi dispongono già di un framework di sicurezza in essere. Il vero passaggio richiesto dalla normativa NIS2 è quindi l’esecuzione di una gap analysis approfondita, per confrontare il livello di maturità attuale con gli standard richiesti e colmare eventuali carenze. Solo così è possibile impostare una roadmap realistica ed efficace verso la piena compliance.
La centralità della business continuity
Tra le aree più sensibili citate dalla NIS2 spicca la continuità operativa, elemento centrale per garantire la resilienza di un’organizzazione. La Direttiva richiede che le imprese siano in grado di garantire l’erogazione dei propri servizi anche in caso di eventi critici, come attacchi informatici, guasti infrastrutturali o interruzioni della supply chain.
Questo significa dover implementare strategie di backup sicure, procedure di disaster recovery efficaci, e soprattutto piani di gestione delle crisi che siano aggiornati, testati e integrati nei processi aziendali. L’obiettivo non è solo ripristinare la normale operatività, ma farlo in tempi compatibili con la criticità dei servizi offerti, riducendo al minimo l’impatto economico e reputazionale. Anche in questo ambito, la NIS2 richiede un salto di qualità: dalla reattività occasionale a una vera cultura della resilienza digitale.
