La cybersicurezza ha cessato di essere una questione esclusivamente tecnica per diventare una responsabilità della direzione aziendale, con sanzioni fino a 10 milioni di euro o il 2% del fatturato globale annuo. Questo cambiamento ha un nome: la Direttiva NIS2, la nuova norma europea che obbliga migliaia di aziende in settori strategici a innalzare il proprio livello di cybersicurezza. Questa guida spiega che cos'è, a chi si applica, quali obblighi impone e come prepararsi in modo concreto.
Che cos'è la Direttiva NIS2?
La Direttiva NIS2 è la Direttiva (UE) 2022/2555 del Parlamento Europeo e del Consiglio del 14 dicembre 2022, relativa a misure per un livello comune elevato di cybersicurezza nell'Unione. Sostituisce e amplia la precedente Direttiva NIS del 2016, estendendo il proprio ambito di applicazione a molti più settori, inasprendo i requisiti e introducendo misure di esecuzione e sanzioni notevolmente più severe.
Il suo obiettivo è armonizzare la cybersicurezza delle infrastrutture e dei servizi essenziali dell'UE, riducendo la frammentazione tra gli Stati membri. In pratica, NIS2 trasferisce la cybersicurezza dall'ufficio IT al consiglio di amministrazione: la direzione diventa formalmente responsabile dell'approvazione e della supervisione delle misure, con conseguenze personali in caso di inosservanza.
A quali aziende si applica NIS2? Soggetti essenziali e importanti
NIS2 si applica a soggetti appartenenti a 18 settori strategici, suddivisi in due allegati, e alle organizzazioni che superano la soglia della media impresa: almeno 50 dipendenti o 10 milioni di euro di fatturato annuo, con eccezioni che includono determinate PMI in settori particolarmente critici.
La direttiva classifica i soggetti interessati in due categorie:
| Categoria | Settori | Vigilanza |
|---|---|---|
| Soggetti essenziali (SE) | 11 settori dell'Allegato I (energia, trasporti, settore bancario, sanità, acqua, infrastrutture digitali, pubblica amministrazione …) | Più rigorosa: vigilanza proattiva |
| Soggetti importanti (SI) | 7 settori dell'Allegato II (servizi postali, gestione dei rifiuti, produzione manifatturiera, alimentazione, fornitori digitali …) | Vigilanza reattiva, in presenza di indizi di inosservanza |
La differenza pratica è rilevante: i soggetti essenziali sono soggetti a un controllo di conformità più rigoroso e proattivo, mentre i soggetti importanti vengono vigilati principalmente in presenza di indizi di inadempimento. Un aspetto cruciale che molte aziende trascurano: anche se la vostra organizzazione non appartiene direttamente a uno di questi settori, potreste essere comunque obbligati de facto qualora facciate parte della catena di approvvigionamento di un soggetto obbligato.
Obblighi fondamentali: gestione dei rischi e notifica degli incidenti
NIS2 si articola in due grandi blocchi di obblighi. Il primo è la gestione dei rischi di cybersicurezza: i soggetti devono effettuare un'analisi periodica e documentata dei rischi e adottare misure tecniche e organizzative proporzionate. Tali misure comprendono, tra le altre, politiche di sicurezza, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, cifratura e controllo degli accessi.
Il secondo blocco è la notifica di incidenti significativi all'autorità competente secondo scadenze graduate:
| Scadenza | Cosa occorre comunicare |
|---|---|
| 24 ore (allerta precoce) | Prima notifica minima: se si sospetta che l'incidente sia doloso e se potrebbe avere un impatto transfrontaliero |
| 72 ore (notifica) | Analisi preliminare: causa probabile, portata confermata, dati compromessi e azioni correttive in corso |
| 1 mese (relazione finale) | Analisi forense completa, causa originaria, misure adottate e insegnamenti tratti |
A questi si aggiunge un terzo obbligo trasversale: la sicurezza della catena di approvvigionamento, che impone di valutare e richiedere garanzie di cybersicurezza a fornitori e appaltatori.
Sanzioni e responsabilità della direzione
Qui NIS2 segna una differenza netta rispetto alle normative precedenti. Le sanzioni economiche sono significative e si graduano in base al tipo di soggetto:
- Soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo totale, applicandosi il valore più elevato.
- Soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato globale, applicandosi il valore più elevato.
Ma le multe non sono tutto. Le autorità possono sospendere temporaneamente certificazioni o autorizzazioni, vietare l'esercizio di funzioni dirigenziali alle persone responsabili dell'inadempimento (interdizione), pubblicare la sanzione in modo nominativo — con il conseguente impatto reputazionale — e imporre sanzioni pecuniarie giornaliere fino al ripristino della conformità.
La grande novità di NIS2 è la responsabilità personale dei dirigenti: non è più sufficiente delegare la cybersicurezza al team tecnico. Il consiglio deve approvare le misure, sorvegliarle e formarsi in materia, perché ne risponde direttamente.
Vale la pena guardare oltre la sanzione economica. Il costo reale di un inadempimento — o di un incidente gestito male — raramente si limita alla multa: include l'interruzione dell'attività, la perdita di contratti con clienti che richiedono garanzie di sicurezza, il danno reputazionale di una sanzione pubblicata nominativamente e, sempre più spesso, la difficoltà di accedere ad assicurazioni cyber a condizioni ragionevoli. Visto in questa prospettiva, investire nella conformità NIS2 non è un onere regolatorio, bensì una forma di protezione della continuità e della reputazione aziendale. Le organizzazioni che lo interpretano come un miglioramento della propria resilienza — e non come una casella da spuntare — sono quelle che ottengono un ritorno reale dallo sforzo.
NIS2 in Italia: stato del recepimento nel 2026
Il termine per recepire NIS2 nell'ordinamento nazionale era il 17 ottobre 2024. L'Italia ha recepito la direttiva con il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024, che designa l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità nazionale competente e punto di contatto unico nei confronti dell'UE e di ENISA.
La conclusione pratica per le aziende è chiara: il quadro normativo italiano è definito e NIS2 produce effetti giuridici vincolanti. Regulatori, operatori di infrastrutture critiche e grandi imprese industriali stanno già prendendo decisioni sulla base dei suoi principi. Attendere per iniziare a prepararsi è un errore di calcolo. Verificate sempre lo stato aggiornato della normativa, poiché il calendario legislativo può subire variazioni nelle disposizioni attuative.
NIS2 rispetto alla vecchia Direttiva NIS: cosa cambia
Capire cosa apporta NIS2 rispetto alla sua predecessora aiuta a dimensionare lo sforzo. La NIS originale del 2016 fu il primo tentativo di armonizzare la cybersicurezza europea, ma si rivelò insufficiente: copriva pochi settori, lasciava ampio margine di interpretazione a ciascuno Stato e disponeva di scarsi poteri sanzionatori. NIS2 corregge queste lacune su quattro fronti:
- Maggiore ambito di applicazione. Da una manciata di operatori di servizi essenziali a 18 settori e migliaia di soggetti, incluse le medie imprese prima escluse.
- Requisiti più concreti. Definisce un insieme minimo di misure di gestione dei rischi, invece di principi generici.
- Sanzioni reali. Introduce multe paragonabili a quelle del GDPR e, soprattutto, la responsabilità personale della direzione.
- Catena di approvvigionamento. Obbliga a considerare la sicurezza dei fornitori, aspetto praticamente assente nella norma precedente.
In sintesi, NIS2 trasforma raccomandazioni in obblighi esigibili, con conseguenze tangibili per chi non vi ottempera.
Come prepararsi alla NIS2 passo dopo passo
Adeguarsi a NIS2 è un progetto strutturato, non una corsa dell'ultimo minuto. Una roadmap realistica segue questi passaggi:
- Verificate se siete soggetti alla normativa. Analizzate il vostro settore, le dimensioni aziendali e la posizione nella catena di approvvigionamento di soggetti obbligati. Il ragionevole dubbio è già motivo sufficiente per iniziare a prepararsi, perché l'ambito di applicazione è più ampio di quanto molte aziende suppongano.
- Effettuate un'analisi delle lacune (gap analysis). Confrontate le vostre misure attuali con i requisiti della direttiva e identificate le carenze.
- Adottate misure tecniche e organizzative proporzionate al rischio: gestione degli incidenti, continuità operativa, controllo degli accessi, cifratura e sicurezza dei fornitori.
- Definite il processo di notifica degli incidenti con le scadenze di 24 e 72 ore e assegnate responsabilità chiare.
- Coinvolgete la direzione. Formate il consiglio di amministrazione e definite il suo ruolo nell'approvazione e nella supervisione delle misure, perché la responsabilità è sua.
In Technova Partners aiutiamo le aziende ad affrontare questo percorso con metodo, collegando la conformità a una strategia di cybersicurezza sostenibile. Potete iniziare dalla nostra guida alla cybersicurezza per le aziende e, se la vostra organizzazione utilizza anche l'IA, dalla regolamentazione dell'IA e l'AI Act per le aziende, una normativa complementare.
Domande frequenti sulla Direttiva NIS2
La mia azienda è obbligata a rispettare NIS2? Dipende dal vostro settore e dalle dimensioni aziendali. Si applica ai soggetti di 18 settori strategici che superano la soglia della media impresa (50 dipendenti o 10 milioni di euro di fatturato), con eccezioni per le PMI in settori critici. Inoltre, potreste essere interessati indirettamente se siete fornitori di un soggetto obbligato.
Quali sono le scadenze per notificare un incidente? Tre fasi: un'allerta precoce entro 24 ore, una notifica dettagliata entro 72 ore e una relazione finale entro un mese dalla rilevazione dell'incidente significativo.
Chi è responsabile della conformità all'interno dell'azienda? L'alta direzione. NIS2 stabilisce che gli organi direttivi devono approvare e supervisionare le misure di cybersicurezza, e possono essere interdetti dall'esercizio di funzioni dirigenziali in caso di grave inadempimento. La cybersicurezza non è più esclusivo appannaggio del reparto tecnico.
Che relazione c'è tra NIS2 e ISO 27001? Sono complementari. La ISO 27001 è uno standard di gestione della sicurezza delle informazioni che, correttamente implementato, copre buona parte delle misure tecniche e organizzative richieste da NIS2. Disporre di un sistema di gestione basato su ISO 27001 facilita enormemente la dimostrazione della conformità alla direttiva, pur non sostituendola automaticamente.
NIS2 riguarda la mia azienda anche se sono solo fornitore di un soggetto obbligato? Sì, indirettamente. NIS2 attribuisce grande importanza alla sicurezza della catena di approvvigionamento, per cui i soggetti obbligati trasmettono requisiti di cybersicurezza ai propri fornitori per via contrattuale. Anche se la vostra azienda non rientra direttamente nell'ambito della norma, potrebbe dover soddisfare requisiti equivalenti per mantenere i propri clienti.
Quale relazione c'è tra NIS2 e il GDPR? Entrambi sono regolamenti europei con significative potenzialità sanzionatorie e responsabilità personale della direzione. Il GDPR disciplina la protezione dei dati personali; NIS2 disciplina la sicurezza delle reti e dei sistemi informativi. Le aziende che hanno già costruito una solida conformità al GDPR dispongono di una buona base di partenza, ma NIS2 va oltre in diversi ambiti.
Conclusione
La Direttiva NIS2 ridefinisce la cybersicurezza come obbligo di governance con conseguenze reali. In sintesi:
- Si applica a 18 settori strategici e alle aziende che superano la soglia della media impresa, nonché alla loro catena di approvvigionamento.
- Impone la gestione dei rischi e la notifica degli incidenti entro 24 ore, 72 ore e un mese.
- Le sanzioni raggiungono i 10 milioni di euro o il 2% del fatturato globale, con responsabilità personale della direzione.
- In Italia il recepimento è completato nel 2026 e NIS2 produce già effetti vincolanti: attendere non è un'opzione.
Il momento giusto per agire non è quando verrà pubblicato il provvedimento definitivo né quando arriverà la prima richiesta di un cliente, ma prima: una cybersicurezza solida si costruisce con il tempo, non sotto pressione. Volete sapere se la vostra azienda è soggetta a NIS2 e sviluppare un piano di conformità realistico? Parlate con il nostro team e vi aiuteremo a trasformare l'obbligo regolatorio in una cybersicurezza più solida e in un vantaggio competitivo.
