La Direttiva NIS2 (Network and Information Security 2) è il principale atto legislativo europeo in materia di cybersicurezza per le organizzazioni, entrata in vigore il 16 gennaio 2023 e recepita in Italia con il D.Lgs. 138/2024. Sostituisce e amplia significativamente la precedente direttiva NIS, estendendo il perimetro di applicazione a molti più settori e imponendo obblighi più stringenti in materia di gestione del rischio e notifica degli incidenti.
Per molte PMI italiane — in particolare quelle che operano nella filiera di grandi aziende o in settori regolamentati — NIS2 non è un tema astratto: i requisiti di sicurezza possono diventare condizioni contrattuali richieste dai clienti enterprise o prerequisiti per partecipare a gare pubbliche.
Chi è soggetto alla NIS2
La direttiva distingue due categorie di soggetti:
| Categoria | Definizione | Esempi di settori |
|---|---|---|
| Soggetti Essenziali | Grandi aziende in settori ad alta criticità | Energia, trasporti, banche, sanità, acqua, infrastrutture digitali |
| Soggetti Importanti | Medie imprese in settori critici e altri settori | Servizi postali, gestione rifiuti, fabbricazione, distribuzione alimentare, fornitori IT/ICT |
In generale, le soglie dimensionali sono: medie imprese (50-249 dipendenti, fatturato 10-50M€) e grandi imprese (250+ dipendenti, fatturato >50M€) nei settori elencati. Le microimprese e le piccole imprese sono generalmente escluse, salvo eccezioni per settori particolarmente critici.
Gli obblighi principali della NIS2
Misure di gestione del rischio (art. 21)
Le organizzazioni soggette devono implementare misure tecniche, operative e organizzative adeguate. Il testo indica specificamente:
- Politiche di analisi dei rischi e sicurezza dei sistemi informativi
- Gestione degli incidenti (rilevamento, risposta, ripristino)
- Continuità operativa e disaster recovery
- Sicurezza della supply chain (sicurezza dei fornitori e dei partner)
- Sicurezza nell'acquisizione, sviluppo e manutenzione di sistemi informativi
- Politiche e procedure per la valutazione dell'efficacia delle misure
- Pratiche di igiene informatica di base e formazione in materia di cybersicurezza
- Uso della crittografia e, se del caso, cifratura
- Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
- Autenticazione a più fattori (MFA) o autenticazione continua
Obbligo di notifica degli incidenti
In caso di incidente significativo:
- Preallarme entro 24 ore all'ACN (Agenzia per la Cybersicurezza Nazionale)
- Notifica dettagliata entro 72 ore
- Relazione finale entro un mese
Responsabilità del management
NIS2 introduce un elemento nuovo rispetto alla precedente direttiva: i vertici aziendali (CdA, AD) sono personalmente responsabili dell'adozione delle misure di sicurezza. Possono essere sospesi temporaneamente dalla carica in caso di gravi violazioni. Devono seguire formazione specifica in materia di cybersicurezza.
NIS2 e supply chain: l'effetto a cascata sulle PMI
Anche le PMI non direttamente soggette a NIS2 possono essere indirettamente impattate: le organizzazioni obbligate devono valutare e gestire il rischio della propria supply chain, il che si traduce spesso in richieste ai fornitori di dimostrare standard di sicurezza adeguati. Avere una postura di sicurezza documentata e misure di protezione verificabili diventa un vantaggio competitivo per le PMI che lavorano con clienti enterprise.
NEO WEB supporta le aziende nel rafforzamento della sicurezza informatica dei sistemi web e digitali in linea con i requisiti NIS2. Per una valutazione della tua situazione attuale, contattaci per una consulenza specializzata.
