Cos’è la Direttiva NIS 2 e perché è importante: ecco come adeguarsi

Che cos’è la NIS2

La direttiva NIS 2 (Network and Information Security 2) è la nuova normativa europea in materia di cybersecurity che aggiorna e sostituisce la precedente direttiva NIS del 2016. Entrata in vigore a gennaio 2023, la NIS 2 ha l’obiettivo di migliorare la resilienza e la sicurezza delle reti e dei sistemi informativi in tutta l’UE. Si tratta di un insieme di regole unificate a livello europeo per garantire un elevato livello comune di cybersicurezza, imponendo standard più elevati e misure più rigorose rispetto alla normativa precedente. In pratica, la direttiva richiede agli Stati membri di potenziare le proprie capacità di cybersecurity e introduce obblighi di gestione del rischio e di notifica degli incidenti per un numero molto più ampio di settori critici rispetto al passato. Questo significa che più organizzazioni, in diversi ambiti, sono tenute a adottare misure di sicurezza informatica adeguate e a cooperare a livello nazionale ed europeo per prevenire e gestire gli incidenti informatici.

Perché la direttiva NIS 2 è importante

La direttiva NIS 2 riveste un’importanza fondamentale perché nasce in risposta a una crescente minaccia cyber e ai potenziali gravi impatti degli attacchi informatici sulle nostre società. Negli ultimi anni l’Europa ha visto aumentare l’esposizione a cyber attacchi sofisticati, con conseguenze che vanno ben oltre il danno tecnico immediato: interruzione delle attività operative, compromissione di dati sensibili, pesanti danni reputazionali e perdite economiche o legali. I settori chiave dell’economia (energia, trasporti, sanità, finanza, ecc.) sono sempre più interconnessi e digitalizzati; quindi, un singolo incidente potrebbe avere effetti a cascata su servizi essenziali per i cittadini e le imprese. La NIS 2 è importante perché innalza il livello di sicurezza informatica in modo uniforme in tutti gli Stati membri, colmando le lacune della precedente direttiva: amplia il campo di applicazione a nuovi settori, introduce regole più chiare e poteri di vigilanza più forti, e rende i vertici aziendali direttamente responsabili della cybersecurity. Questa normativa aggiornata è considerata un pilastro per rafforzare la resilienza dell’Unione Europea contro i cyber rischi emergenti, proteggendo servizi essenziali e infrastrutture critiche da minacce sempre più sofisticate.

Chi deve rispettare la direttiva NIS 2

La direttiva NIS 2 si applica a un vasto insieme di organizzazioni pubbliche e private che operano nei settori ritenuti critici, a patto che abbiano determinate dimensioni. In generale, sono coinvolte tutte le aziende di medie e grandi dimensioni ovvero quelle con almeno 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro oppure un bilancio annuo superiore a 10 milioni di euro (come da Raccomandazione 2003/361/CE) che rientrano nei settori elencati dalla normativa.

La direttiva Nis2 distingue tra “soggetti essenziali” e “soggetti importanti”: i primi operano in settori ad alta criticità come l’energia, i trasporti, la sanità, il finanziario, le infrastrutture digitali, mentre i secondi appartengono ad altri settori critici di importanza strategica come servizi cloud e telecomunicazioni, servizi postali e logistici, settore spaziale, produzione industriale di beni critici. In pratica, un’organizzazione rientra nell’ambito NIS 2 se soddisfa tre criteri: opera nell’Unione Europea, appartiene a uno dei settori identificati come critici, ed è di dimensione medio-grande. È previsto inoltre che anche alcune imprese più piccole possano essere incluse in casi particolari: ad esempio se operano in uno dei settori critici e rivestono un ruolo chiave (come fornitori di servizi essenziali per enti più grandi) o se sono espressamente individuate dalle autorità nazionali come critiche per la sicurezza.

In Italia, il recepimento nazionale ha affidato all’Agenzia per la Cybersicurezza Nazionale (ACN) il compito di identificare e registrare le entità coinvolte. Le aziende che ricevono comunicazione ufficiale di rientrare nel campo NIS 2 saranno quindi tenute ad adeguarsi alla direttiva nei tempi stabiliti, pena le sanzioni previste.

Obblighi e adempimenti previsti dalla NIS 2

La direttiva NIS 2 impone obblighi stringenti alle organizzazioni coinvolte, con l’obiettivo di costruire un approccio integrato alla sicurezza informatica. Le principali misure richieste includono:

• Analisi dei rischi e misure di sicurezza – Le aziende devono valutare periodicamente vulnerabilità e minacce, adottando contromisure proporzionate. Tra queste: firewall, sistemi di rilevamento intrusioni, antivirus aggiornati, crittografia, backup regolari e monitoraggio continuo tramite strutture come i Security Operations Center. È inoltre necessario definire policy interne e procedure per la gestione del rischio cyber.
• Notifica e gestione degli incidenti – In caso di incidenti significativi, è obbligatorio inviare una prima notifica (“early warning”) entro 24 ore, un rapporto dettagliato entro 72 ore e una relazione finale entro un mese. L’autorità competente può richiedere un report intermedio supplementare, se necessario. Le organizzazioni devono anche disporre di piani di risposta agli incidenti e continuità operativa per contenere l’impatto e ripristinare rapidamente i servizi essenziali.
• Sicurezza della supply chain – La protezione deve estendersi ai fornitori ICT e ai partner esterni. Le aziende sono tenute a valutare i livelli di sicurezza dei fornitori critici, inserire requisiti contrattuali specifici e monitorare costantemente i rischi lungo la catena di fornitura, per prevenire effetti a cascata da attacchi a terze parti.
• Formazione e sensibilizzazione del personale – Poiché il fattore umano rappresenta spesso una vulnerabilità, la direttiva impone programmi periodici di formazione per tutto il personale, inclusi dirigenti e top management. È importante sensibilizzare sui rischi più comuni (phishing, social engineering) e sulle corrette procedure di comportamento, anche attraverso simulazioni e attività di awareness.
• Controlli e audit periodici – Le autorità potranno eseguire ispezioni per verificare la conformità. Le aziende dovranno quindi essere pronte a audit ufficiali, prevedere controlli interni regolari e documentare tutte le azioni intraprese (policy, misure, formazione, incidenti gestiti). La conformità alla NIS 2 deve essere vista come un processo continuo di miglioramento, non come un obbligo una tantum.

Come adeguarsi alla direttiva NIS 2

Per le organizzazioni coinvolte, adeguarsi alla NIS 2 richiede un approccio strutturato e metodico. Non basta introdurre soluzioni tecnologiche: è necessario integrare la sicurezza informatica nella governance aziendale e nei processi operativi. Ecco i principali passaggi da seguire per conformarsi alla direttiva:

• Analisi preliminare – Verificare se l’azienda rientra tra i soggetti NIS 2 in base a settore e dimensione, e condurre un assessment dello stato attuale di cybersecurity. È essenziale identificare eventuali gap rispetto ai requisiti richiesti, come la presenza di policy di sicurezza, protezioni tecniche adeguate e formazione del personale. Questa fase di gap analysis è fondamentale per stabilire le priorità di intervento.
• Piano di intervento – Sulla base dei gap emersi, definire e attuare un piano di adeguamento. Occorre implementare le misure necessarie alla compliance: aggiornare o introdurre controlli tecnico-organizzativi (es. firewall, monitoraggio, backup, incident response), redigere le policy obbligatorie e, se necessario, nominare figure responsabili. Questo processo può richiedere investimenti e il supporto di consulenti specializzati, ma è cruciale per raggiungere livelli di sicurezza adeguati.
• Formazione e sensibilizzazione – È importante coinvolgere tutto il personale, organizzando corsi per diffondere la cultura della sicurezza informatica e spiegare le nuove procedure operative (es. segnalazione di incidenti, uso corretto degli strumenti digitali). Anche il top management va formato, poiché la NIS 2 attribuisce responsabilità dirette agli organi di vertice. Una maggiore consapevolezza riduce il rischio di errore umano e rafforza l’efficacia delle misure adottate.
• Monitoraggio e miglioramento continuo – La conformità non è un obiettivo statico: è necessario attivare sistemi di monitoraggio, procedure per la gestione degli incidenti e audit periodici. Le misure dovranno essere aggiornate in base all’evoluzione delle minacce e alle linee guida (es. ENISA, ACN). Un approccio proattivo consente di restare conformi e al contempo proteggere concretamente il business dai rischi cyber.

Conseguenze e sanzioni per chi non rispetta la NIS 2

La direttiva prevede sanzioni molto severe per le organizzazioni che non adempiono ai propri obblighi di sicurezza. Il regime sanzionatorio della NIS 2 è stato fortemente irrigidito rispetto al passato, in modo simile a quanto visto con il GDPR per la protezione dati. In caso di violazioni o inadempienze, le autorità di controllo potranno comminare multe di importo significativo, proporzionate alla gravità della violazione e alla dimensione dell’ente responsabile. In particolare, sono fissati dei massimali sanzionatori differenti per soggetti essenziali e soggetti importanti:

• Per i soggetti essenziali (settori ad alta criticità), sanzioni fino a 10 milioni di euro oppure fino al 2% del fatturato mondiale annuo dell’azienda (se tale valore è superiore).
• Per i soggetti importanti (altri settori critici), sanzioni fino a 7 milioni di euro oppure fino al 1,4% del fatturato annuo globale.

Oltre alle multe pecuniarie, le autorità potranno imporre misure correttive vincolanti (ad esempio ordinare all’azienda di adottare specifiche contromisure di sicurezza entro un certo termine) e, nei casi più gravi, potrebbero arrivare a sospendere temporaneamente le attività dell’ente o a rimuovere dirigenti responsabili della violazione. Un elemento innovativo della NIS 2 è infatti l’accountability del top management: i dirigenti hanno l’obbligo di supervisionare la gestione del rischio cyber e di sottoporsi a formazione specifica, e possono essere ritenuti direttamente responsabili se l’organizzazione non rispetta i requisiti di sicurezza. In sintesi, ignorare la NIS 2 espone le imprese non solo al rischio di subire attacchi distruttivi, ma anche a pesanti conseguenze legali e finanziarie: un motivo in più per adeguarsi al più presto alla normativa.

Quando entra in vigore la NIS 2

La direttiva NIS 2 (Direttiva UE 2022/2555) è stata adottata dall’UE nel dicembre 2022 ed è entrata in vigore il 16 gennaio 2023. Da quel momento, gli Stati membri hanno avuto tempo fino al 17 ottobre 2024 per recepire le nuove disposizioni nelle rispettive normative nazionali. Dal 18 ottobre 2024, la precedente direttiva NIS del 2016 è stata formalmente abrogata e sostituita dalla NIS 2.

In Italia, il recepimento è avvenuto con il Decreto Legislativo 4 settembre 2024 n. 138, che ha aggiornato il quadro normativo nazionale sulla cybersicurezza. Il decreto affida all’Agenzia per la Cybersicurezza Nazionale (ACN) il compito di individuare e notificare formalmente le entità soggette alla NIS 2. La fase di registrazione è partita il 1° dicembre 2024; da aprile 2025, l’ACN ha iniziato a inviare le notifiche formali (es. via PEC) alle aziende coinvolte. Da quel momento decorrono tempistiche precise: 9 mesi per adottare le procedure di gestione degli incidenti e 18 mesi per implementare tutte le misure di sicurezza richieste. Le scadenze operative decorrono dalla data di notifica formale da parte di ACN: 9 mesi per l’adozione delle procedure di gestione e notifica degli incidenti, e 18 mesi per l’attuazione delle misure minime di sicurezza. Per molti soggetti notificati nel 2025, i progetti di adeguamento dovranno concludersi entro il 2026. Le aziende che non rispettano le tempistiche o gli obblighi previsti rischiano sanzioni. Per questo, la NIS 2 è già una realtà concreta: dal quarto trimestre 2024, è attiva e pienamente applicabile.

Quali settori sono coinvolti dalla direttiva NIS 2

La direttiva NIS 2 estende significativamente il proprio ambito rispetto alla versione precedente, coinvolgendo un numero molto più ampio di settori considerati critici per il funzionamento della società e dell’economia. Rientrano nel perimetro sia le infrastrutture tradizionali (come energia, trasporti, sanità) sia nuovi ambiti legati all’evoluzione digitale, come piattaforme online, servizi cloud, telecomunicazioni e pubblica amministrazione. In pratica, sono coinvolte tutte le realtà, pubbliche e private, il cui corretto funzionamento è essenziale per garantire la continuità di servizi fondamentali e la sicurezza collettiva.

Settori coinvolti dalla direttiva NIS 2

La direttiva NIS 2 amplia in modo significativo il campo di applicazione rispetto alla precedente, estendendosi a 18 settori critici dell’economia e della società. I settori sono suddivisi in due categorie principali, settori ad alta criticità e settori critici.

Settori ad alta criticità (soggetti essenziali) – Includono attività il cui corretto funzionamento è vitale e la cui interruzione avrebbe impatti rilevanti sulla collettività. Rientrano in questa categoria:

• Energia (elettricità, gas, petrolio, idrogeno);
• Trasporti (aereo, ferroviario, marittimo, stradale);
• Servizi finanziari (banche, mercati finanziari);
• Sanità (ospedali, fornitori di servizi medici, farmaci e dispositivi critici, laboratori);
• Fornitura idrica (acqua potabile e acque reflue);
• Infrastrutture digitali e telecomunicazioni (data center, reti pubbliche e servizi di comunicazione);
• Servizi ICT gestiti per terzi (es. provider di sicurezza o cloud per altre aziende);
• Settore spazio (operatori satellitari, lanciatori, infrastrutture spaziali);
• Pubblica amministrazione (enti centrali e regionali, esclusi quelli impegnati in attività relative alla difesa, all’ordine pubblico, alla giustizia o alla sicurezza nazionale).

Altri settori critici (soggetti importanti) – Ritenuti strategici, sono soggetti a obblighi simili ma con un regime di vigilanza meno stringente. Comprendono:

• Servizi postali e di corriere;
• Gestione dei rifiuti;
• Industria chimica (produzione, miscelazione e distribuzione di sostanze chimiche);
• Industria alimentare e agroalimentare;
• Manifattura di prodotti critici (dispositivi medicali, elettronica, mezzi di trasporto);
• Piattaforme digitali (marketplace, social network, motori di ricerca);
• Centri di ricerca (organismi scientifici e tecnologici rilevanti).

L’elenco copre un ampio spettro di infrastrutture fisiche e digitali. Rispetto alla prima NIS, la NIS 2 aggiunge settori come telecomunicazioni, piattaforme online, settore spaziale, pubblica amministrazione, gestione rifiuti, servizi postali e produzione di beni critici. In sostanza, quasi tutte le attività che svolgono un ruolo strategico per la società e l’economia rientrano ora, direttamente o indirettamente, nel perimetro della cybersicurezza comune europea.

NIS2 settore energia

Le organizzazioni attive nella produzione, trasmissione e distribuzione di energia devono basarsi su un’analisi del rischio per proteggere le reti di controllo industriale (SCADA/OT) e assicurare la continuità del servizio. Misure esemplificative, da adeguare al contesto specifico, includono:

• segmentazione logica tra reti di controllo e reti aziendali (es. zone di sicurezza e DMZ dedicate)
• ove appropriato, autenticazione a più fattori per tutti gli accessi privilegiati
• definizione di strategie di backup e piani di disaster recovery proporzionati al livello di criticità
• monitoraggio continuo, analisi delle anomalie e test periodici delle contromisure

procedure documentate di incident response con playbook operativi e esercitazioni regolari
Tutti gli incidenti significativi devono essere notificati secondo i termini NIS 2: early warning entro 24 h, rapporto dettagliato entro 72 h, relazione finale entro 1 mese (con facoltà per l’autorità competente di richiedere un report intermedio).

Settore sanitario e NIS2

Ospedali, cliniche e laboratori devono trattare i sistemi clinici e i dati dei pazienti come asset critici, implementando:

• separazione delle reti operative (es. VLAN dedicate per RIS/PACS)
• crittografia dei dati a riposo e in transito conformemente alle best practice
• piani di continuità delle cure anche in scenari offline
• programmi di formazione e simulazioni antiphishing
• procedure formali per la gestione degli incidenti e notifica alle autorità nei tempi previsti dalla direttiva

NIS2 e settore trasporti

Operatori ferroviari, aerei, marittimi e stradali devono garantire la resilienza sia delle reti IT sia di quelle OT di segnalamento e controllo, adottando:

• isolamento tra network operativi e network di supporto amministrativo
• capacità di operare in “fallback” manuale in caso di interruzione dei sistemi digitali
• autenticazione avanzata per sistemi di prenotazione e controllo del traffico
• monitoraggio 24/7 delle infrastrutture critiche e analisi dei log
• procedure di backup e ripristino testate periodicamente
• notifica tempestiva alle autorità nazionali ed europee secondo le scadenze NIS 2

NIS2 per settore finanziario e bancario

Banche e mercati finanziari devono mitigare il rischio cyber proteggendo transazioni e dati clienti attraverso:

• crittografia end‑to‑end e controllo degli accessi privilegiati
• soluzioni di continuous authentication e behavioral analytics
• programmi regolari di penetration test e vulnerability assessment
• piani di disaster recovery con obiettivi di ripristino definiti (RTO/RPO)
• oversight del consiglio di amministrazione sulle policy di cybersecurity
• notifiche di incidenti significativi a ACN, Banca d’Italia e Consob entro i termini normativi

Settore delle infrastrutture digitali e NIS2

Provider di servizi cloud, data center, IXP e gestori DNS devono assicurare elevati livelli di sicurezza e disponibilità, mediante:

• architetture multi‑tenant con crittografia e backup geografici
• autenticazione forte per console di gestione e API
• sistemi anti‑DDoS e monitoraggio delle anomalie di traffico
• audit periodici (es. ISO/IEC 27001) con gap remediation
• partecipazione a iniziative europee (es. EUCyCLONe) e notifiche CSIRT entro 24 h

Settore idrico e NIS2

Gestori di acquedotti e impianti di trattamento devono proteggere SCADA e sensori, garantendo:

• isolamento dei sistemi di controllo con gateway sicuri e VPN dedicate
• autenticazione a più fattori per telecontrollo di pompe e valvole
• controlli di integrità sui database qualità acqua e backup regolari
• piani di emergenza coordinati con ASL e Protezione Civile
• test annuali di disaster recovery e notifiche ACN/locali secondo NIS 2

Settore gestione rifiuti e NIS2

Operatori di raccolta e smaltimento devono mettere in sicurezza logistica e impianti, adottando:

• protezione dei sistemi di scheduling e controllo industriale
• segmentazione delle reti PLC e access control rigoroso
• business continuity planning per garantire la raccolta in caso di attacco
• audit sui fornitori e simulazioni di scenario di interruzione
• segnalazione puntuale alle autorità in caso di interruzioni critiche

PA e NIS2 adempimenti

Enti centrali e regionali devono applicare policy uniformi per la protezione di portali e database sensibili:

• firewall di nuova generazione e sistemi IDS/IPS su tutte le reti PA
• autenticazione a più fattori per accesso ai servizi istituzionali
• crittografia dei dati cittadini e backup strutturati
• piani di disaster recovery e business continuity per servizi digitali essenziali
• formazione obbligatoria su phishing e NIS 2 per tutto il personale
• notifica degli incidenti a CERT‑AgID e ACN entro 24  ore, con aggiornamenti successivi secondo le tempistiche della direttiva

Tutti gli esempi sopra devono essere calibrati in base all’analisi del rischio condotta dall’organizzazione; la direttiva NIS 2 fissa i requisiti generali e le tempistiche di notifica, mentre lo specifico mix di controlli tecnici e organizzativi è «appropriato e proporzionato» al contesto di rischio di ciascun soggetto.