Immagina di ricevere una comunicazione dall’ACN — l’Agenzia per la Cybersicurezza Nazionale — con una sanzione da milioni di euro perché la tua azienda non ha implementato le misure richieste dalla Direttiva NIS2. Non è fantascienza: dal 18 ottobre 2024 la normativa è in vigore in Italia, le verifiche sono in corso, e per molte organizzazioni gli obblighi concreti restano ancora poco chiari.
Cos’è la NIS2 e perché è diversa dalla NIS1
La Direttiva NIS2 (Network and Information Security 2) aggiorna la normativa europea sulla cybersicurezza del 2016. Il motivo del cambiamento è semplice: tra pandemia, guerra in Ucraina e proliferazione degli attacchi ransomware alle infrastrutture critiche europee, le regole precedenti non erano più sufficienti.
La novità principale non è solo l’ampliamento dei settori coinvolti — da 7 a 18 — ma il cambio di approccio: dalla compliance formale alla gestione concreta e continua del rischio.
Chi è soggetto alla NIS2
Soggetti Essenziali e Soggetti Importanti
La NIS2 distingue due categorie:
- Soggetti Essenziali: energia, trasporti, bancario, infrastrutture digitali, sanità, acqua, pubblica amministrazione, spazio. Sanzioni fino a 10 milioni di euro o il 2% del fatturato annuo globale.
- Soggetti Importanti: servizi postali, gestione rifiuti, chimica, alimentare, dispositivi medici, ricerca. Sanzioni fino a 7 milioni di euro o l’1,4% del fatturato.
In Italia la verifica dell’appartenenza avviene tramite registrazione sulla piattaforma ACN. Se operi in uno di questi settori e non hai ancora verificato la tua posizione, è il primo passo da fare.
Gli obblighi concreti
Governance della cybersicurezza
Il primo obbligo è organizzativo: gli organi di amministrazione devono approvare le misure di gestione del rischio cyber e sono personalmente responsabili della conformità. Non basta delegare tutto all’IT.
Misure tecniche e organizzative
- Politiche di analisi del rischio e sicurezza dei sistemi informativi
- Gestione degli incidenti (rilevamento, risposta, ripristino)
- Continuità operativa e disaster recovery
- Sicurezza della catena di approvvigionamento
- Autenticazione a più fattori e crittografia
- Formazione continua del personale
Notifica degli incidenti
Uno degli obblighi più stringenti riguarda la segnalazione al CSIRT Italia:
- Pre-notifica entro 24 ore dalla conoscenza dell’incidente
- Notifica completa entro 72 ore
- Relazione finale entro un mese
Le sanzioni
Per i Soggetti Essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo globale (si applica il valore più alto). Per i Soggetti Importanti: fino a 7 milioni di euro o l’1,4% del fatturato. La normativa prevede inoltre la possibilità di interdizione temporanea dei dirigenti responsabili per i Soggetti Essenziali.
Come prepararsi
- Verifica dell’appartenenza — capire se e in quale categoria rientra la propria organizzazione (piattaforma ACN)
- Gap analysis — confrontare la situazione attuale con i requisiti della direttiva
- Piano di remediation — implementare le misure mancanti in ordine di priorità
- Monitoraggio continuo — la NIS2 non è un progetto una tantum, ma un processo permanente
La NIS2 non è solo un adempimento normativo: è l’occasione per costruire una postura di sicurezza reale, che protegge l’operatività dell’azienda prima ancora di evitare le sanzioni.
BitAgorà supporta le aziende nel percorso di conformità NIS2: dalla registrazione ACN alla gestione degli incidenti. Scopri come su normativanis.it.