Da ottobre 2024 la direttiva NIS2 (Network and Information Security Directive 2) è ufficialmente entrata in vigore in tutti gli Stati membri dell'Unione Europea. In Italia il recepimento è avvenuto con il D.Lgs. 138/2024. Molte aziende italiane stanno scoprendo in questi mesi che ricadono nel perimetro di applicazione — e che gli obblighi non sono né simbolici né rinviabili.
In questa guida pratica spiego in modo chiaro chi è davvero obbligato, cosa richiede la normativa, e quali sono i passi da fare adesso se la tua impresa è coinvolta.
Chi è soggetto alla direttiva
La NIS2 amplia significativamente il perimetro rispetto alla precedente NIS1. Sono coinvolti due gruppi distinti di soggetti, con obblighi e sanzioni differenziati.
I soggetti essenziali sono aziende dei settori considerati critici: energia, trasporti, sanità, acqua potabile, infrastrutture digitali, pubblica amministrazione centrale, spazio. La soglia di applicazione è di almeno 250 dipendenti o fatturato annuo superiore a 50 milioni di euro.
I soggetti importanti includono i settori postale, gestione rifiuti, prodotti chimici, alimentare, manifattura critica, distribuzione digitale, ricerca. La soglia è più bassa: 50 dipendenti o 10 milioni di fatturato. In pratica, anche aziende di medie dimensioni che non si percepivano «critiche» si trovano ora soggette alla direttiva. Gli studi professionali con clienti pubblici possono inoltre essere coinvolti indirettamente come fornitori di soggetti regolamentati.
Cosa richiede la normativa
Gli obblighi NIS2 si articolano su due piani: tecnico e organizzativo. Sul piano tecnico, la direttiva impone misure di sicurezza proporzionate al rischio:
- Analisi e gestione del rischio informatico
- Gestione degli incidenti e business continuity
- Sicurezza della supply chain
- Sicurezza nell'acquisizione e nello sviluppo dei sistemi
- Crittografia e autenticazione multi-fattore
- Protezione dei sistemi di comunicazione vocale e video
Sul piano organizzativo, la responsabilità della conformità ricade direttamente sugli organi di gestione aziendale. Il management è personalmente responsabile della conformità e deve documentare politiche di sicurezza, percorsi di formazione e procedure di risposta agli incidenti.
La NIS2 non chiede alle aziende di essere perfette. Chiede di dimostrare che hanno fatto valutazioni di rischio serie e adottato misure proporzionate al loro contesto.
Scadenze e conseguenze del mancato adeguamento
Le sanzioni amministrative previste sono significative. Per i soggetti essenziali, fino a 10 milioni di euro o il 2% del fatturato annuo globale (la cifra più alta tra le due). Per i soggetti importanti, fino a 7 milioni o l'1,4%.
Anche le tempistiche di reazione a un incidente sono stringenti. Le segnalazioni vanno effettuate entro:
- 24 ore dalla rilevazione — prima notifica all'autorità competente
- 72 ore — valutazione iniziale dell'incidente
- 30 giorni — report finale dettagliato
Cosa fare adesso
Il primo passo è capire se la propria azienda rientra nel perimetro NIS2 — e, se sì, in quale categoria (essenziale o importante). Il secondo è condurre un assessment dell'attuale postura di sicurezza per identificare le aree di scopertura rispetto ai requisiti normativi. Il terzo è pianificare gli interventi di adeguamento secondo una scaletta di priorità basata sul rischio.
Non è un percorso che si improvvisa in poche settimane: richiede competenze tecniche specifiche, conoscenza della normativa, e una mappatura accurata dell'infrastruttura esistente. TLinformatica supporta le imprese italiane in tutte queste fasi, dall'assessment iniziale al piano di adeguamento operativo.
Se la tua azienda potrebbe rientrare nel perimetro NIS2 e vuoi capire qual è la situazione di partenza, è il momento di farne una valutazione.