Dal 17 ottobre 2024 è entrata pienamente in vigore in Italia la Direttiva NIS2 (Network and Information Security 2, Direttiva UE 2022/2555), recepita con il D.Lgs. 138/2024. Si tratta del più importante aggiornamento normativo in materia di cybersicurezza degli ultimi anni, che amplia significativamente la platea di aziende soggette a obblighi specifici di sicurezza informatica. Se la prima direttiva NIS riguardava solo i grandi operatori di infrastrutture critiche, la NIS2 scende fino alle medie e piccole imprese che operano in settori considerati essenziali o importanti per l'economia e la società.
Chi È Soggetto alla NIS2? I Settori Coinvolti
La direttiva distingue tra soggetti essenziali e soggetti importanti, con obblighi simili ma regimi sanzionatori differenti. I settori interessati sono stati notevolmente ampliati rispetto alla NIS1:
| Settori Essenziali (Alta Criticità) | Settori Importanti |
|---|---|
| Energia (elettricità, gas, idrogeno, petrolio) | Servizi postali e corrieri |
| Trasporti (aereo, ferroviario, acqua, stradale) | Gestione rifiuti |
| Banche e infrastrutture finanziarie | Produzione chimica |
| Sanità (ospedali, laboratori, R&D farmaceutico) | Produzione/distribuzione alimentare |
| Acqua potabile e acque reflue | Manifattura (medicali, elettronici, veicoli, macchinari) |
| Infrastrutture digitali (DNS, cloud, datacenter, CDN) | Fornitori digitali (marketplace, motori di ricerca, social) |
| Pubblica Amministrazione | Ricerca scientifica |
Come Capire se la Tua Azienda È Soggetta alla NIS2
Per rientrare nell'ambito applicativo della NIS2, un'azienda deve soddisfare due condizioni cumulative: operare in uno dei settori elencati E superare determinate soglie dimensionali. I soggetti essenziali hanno in genere almeno 250 dipendenti o un fatturato superiore a 50 milioni di euro. I soggetti importanti includono anche imprese di medie dimensioni (da 50 dipendenti o fatturato tra 10 e 50 milioni di euro) che operano nei settori rilevanti.
Tuttavia, alcune categorie sono soggette indipendentemente dalle dimensioni: fornitori di reti o servizi di comunicazione elettronica pubblica, prestatori di servizi fiduciari, registri dei nomi di dominio (TLD), ecc.
Gli Obblighi Principali per i Soggetti NIS2
Le aziende soggette alla direttiva devono adottare misure di sicurezza proporzionate al rischio e rispettare precisi obblighi operativi:
- Registrazione su piattaforma ACN: le aziende devono registrarsi all'Agenzia per la Cybersicurezza Nazionale entro le scadenze previste (il processo è già avviato nel 2024-2025)
- Analisi e gestione del rischio: adozione di politiche formali di risk management per la sicurezza informatica
- Sicurezza della supply chain: valutazione della sicurezza di fornitori e partner (incluse le web agency e i provider cloud)
- Gestione degli incidenti: procedure documentate di risposta agli incidenti, con notifica obbligatoria all'ACN entro 24 ore per gli incidenti significativi e report completo entro 72 ore
- Business continuity: piani di continuità operativa, backup e disaster recovery
- Crittografia: utilizzo di crittografia e cifratura end-to-end dove appropriato
- Sicurezza delle risorse umane: formazione del personale e politiche di controllo degli accessi
- Autenticazione multifattore (MFA): obbligatoria per tutti gli accessi remoti e ai sistemi critici
NIS2 e Sito Web: Il Ruolo dei Fornitori Digitali
Uno degli aspetti più rilevanti per le aziende che operano online è la responsabilità estesa alla supply chain digitale. Le organizzazioni soggette a NIS2 devono verificare e documentare le misure di sicurezza dei propri fornitori IT, inclusi:
- Provider di hosting e cloud
- Web agency e sviluppatori che accedono ai sistemi
- Fornitori di CRM, ERP e software gestionali
- Provider di email e comunicazioni
Questo significa che anche se la tua azienda non è direttamente soggetta a NIS2, i tuoi clienti che lo sono potrebbero chiederti documentazione sulle tue misure di sicurezza come condizione per continuare a lavorare insieme.
Le Differenze tra NIS2 e GDPR
NIS2 e GDPR sono normative complementari, non alternative. Il GDPR riguarda la protezione dei dati personali, mentre la NIS2 si concentra sulla resilienza e sicurezza delle reti e dei sistemi informativi. In pratica, molte misure tecniche si sovrappongono (crittografia, backup, controllo degli accessi, gestione incidenti), ma le finalità e i soggetti vigilanti sono diversi: il GDPR è vigilato dal Garante Privacy, la NIS2 dall'ACN (Agenzia per la Cybersicurezza Nazionale).
Le Sanzioni Previste
Le sanzioni per i soggetti essenziali arrivano fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Per i soggetti importanti fino a 7 milioni di euro o l'1,4% del fatturato. Oltre alle sanzioni pecuniarie, è prevista la possibilità di sospensione temporanea delle attività e, per i soggetti essenziali, l'interdizione temporanea dei dirigenti responsabili.
Come Prepararsi: I Primi Passi
Se ritieni che la tua azienda possa rientrare nell'ambito NIS2, il percorso di adeguamento parte da una gap analysis sullo stato attuale della sicurezza informatica aziendale. Sul fronte digitale, NEO WEB può supportarti nell'implementazione delle misure tecniche richieste: dalla sicurezza dei siti web e dei certificati SSL alla progettazione di web application sicure by design. Per gli aspetti legali e di compliance, ti consigliamo di rivolgerti a un consulente specializzato in cybersecurity law. Contattaci per valutare insieme la tua situazione.
