NIS2: cosa cambia davvero per le imprese. Guida agli obblighi, ai rischi e alla governance cybersecurity

Scritto da: Luana Giangregorio - Pubblicato su IUSTLAB



Pubblicazione legale:

Introduzione

La Direttiva (UE) 2022/2555, meglio conosciuta come "NIS2", non riguarda soltanto i soggetti critici tradizionalmente coinvolti nella NIS1, ma si estende a un numero nettamente più ampio di imprese, incluse realtà che fino a oggi non avevano mai affrontato un percorso strutturato di compliance in tema di sicurezza informatica.

1. Cos’è la Direttiva NIS2

La Direttiva (UE) 2022/2555, entrata in vigore il 16 gennaio 2023 e destinata ad essere recepita dagli Stati membri entro il 17 ottobre 2024 (con applicazione delle norme nazionali dal 2025), sostituisce integralmente la precedente Direttiva 2016/1148 (NIS1). Essa definisce un quadro armonizzato di cyber-resilience obbligatorio per un insieme molto più ampio di operatori, imponendo misure di gestione del rischio, obblighi di governance, requisiti tecnici e procedure di notifica degli incidenti.

2. Chi rientra nel perimetro NIS2: "Essential" e "Important Entities"

La NIS2 applica criteri sia settoriali sia dimensionali. Le categorie principali sono:

- Essential Entities (EE)

Tra i settori individuati (art. 3 e Allegato I):

  • Energia (elettricità, gas, petrolio, idrogeno)
  • Trasporti (aereo, marittimo, ferroviario, stradale)
  • Bancario e finanziario
  • Sanità
  • Infrastrutture digitali (DNS, cloud, CDN, data center, IXPs)
  • Pubblica amministrazione (solo per gli enti di rilevanza)
  • Acqua potabile e acque reflue

- Important Entities (IE)

Settori dell’Allegato II, tra cui:

  • Servizi digitali (marketplace, motori di ricerca, piattaforme social)
  • Manifatturiero critico (chimico, elettronico, medicale, automotive)
  • Servizi postali e logistici
  • Gestione dei rifiuti
  • Ricerca avanzata

Criteri dimensionali

Tolte alcune eccezioni, in via generale sono incluse sia le medie imprese (≥50 dipendenti o ≥10M€ fatturato) sia le grandi imprese. Sono inoltre incluse anche imprese di minori dimensioni quando:

  • forniscono servizi critici a EE/IE;
  • operano come fornitori ICT, cloud, hosting, manutenzione sistemi critici;
  • svolgono ruoli nella supply chain che, se compromessi, possono generare impatti significativi.

N.B. Occorrerà tuttavia verificare eventuali estensioni nel decreto italiano di recepimento.

3. Gli obblighi principali previsti dalla NIS2

Gli obblighi sono indicati agli artt. 20–23 della Direttiva. Di seguito una breve sintesi verificabile:

3.1 Gestione del rischio di cybersecurity

Le imprese devono adottare misure tecniche, operative e organizzative adeguate e proporzionate ai rischi. Il risk assessment deve includere:

  • identificazione degli asset critici;
  • valutazione delle minacce cyber;
  • classificazione degli impatti;
  • misure di prevenzione, rilevazione e risposta;
  • gestione della continuità operativa.

3.2 Misure tecniche e organizzative obbligatorie

L’art. 21 elenca una serie di misure minime, tra cui:

  • piani di gestione degli incidenti;
  • piani di business continuity e disaster recovery;
  • sicurezza della supply chain e dei fornitori IT;
  • misure per la sicurezza dei sistemi industriali OT;
  • gestione delle vulnerabilità;
  • cifratura e sicurezza delle comunicazioni;
  • autenticazione forte e controllo accessi.

4. Governance e responsabilità del management

La NIS2 prevede un ruolo attivo e verificabile degli organi apicali

Obblighi principali della direzione

  • Approvare la politica di cybersecurity dell’organizzazione
  • Sovrintendere alla sua attuazione
  • Effettuare formazione specifica
  • Assicurare risorse adeguate
  • Gestire la supervisione sui fornitori critici

Responsabilità 

Le autorità possono imporre sanzioni amministrative e misure correttive direttamente ai membri del management.

5. Continuità operativa e risposta agli incidenti

La cyber-resilience diventa un requisito di legge, non più solo una best practice. Le imprese devono, infatti, predisporre:

  • piani di continuità operativa;
  • procedure di ripristino;
  • misure per la disponibilità dei dati;
  • backup testati e segregati;
  • sistemi di detection per valutare rapidamente l’impatto.

6. Sicurezza della supply chain

L’art. 21, par. 2, lett. d), impone una valutazione strutturata dei fornitori essenziali, soprattutto se erogano servizi ICT o gestiscono funzioni critiche. In pratica occorre:

  • una qualificazione dei fornitori;
  • predisporre contratti con requisiti minimi di cybersecurity;
  • una verifica di sub-fornitori critici;
  • un monitoraggio continuo delle prestazioni di sicurezza.

Ad esempio, supponiamo un'azienda manifatturiera che utilizza un fornitore esterno per la gestione del suo sistema MES potrebbe essere soggetta a NIS2 anche se non lo sa: se il servizio è critico per la produzione, la supply chain rientra negli obblighi.

7. Incident reporting: obblighi e tempistiche

L’art. 23 introduce un modello a tre livelli di notifica.

- Early Warning – entro 24 ore

Comunicazione preliminare alle autorità competenti (CSIRT o autorità NIS nazionale) per incidenti significativi.

- Incident Notification – entro 72 ore

Notifica più dettagliata con informazioni su:

  • natura dell’incidente;
  • impatti;
  • indicatori di compromissione;
  • prime misure attuate.

- Final Report – entro 1 mese

Include:

  • analisi forense;
  • cause dell’incidente;
  • misure adottate;
  • azioni di remediation.

8. Supervisione ed enforcement

Gli artt. 29–32 prevedono poteri significativi per le autorità competenti, tra cui:

  • ispezioni;
  • audit;
  • richieste documentali;
  • test di sicurezza;
  • ordini di adeguamento;
  • misure correttive immediate in caso di rischio grave.

Le autorità potranno imporre:

  • sospensione temporanea delle attività IT;
  • obbligo di adottare specifiche misure;
  • limitazioni operative.

9. Sanzioni previste

Secondo l’art. 34, le sanzioni possono arrivare fino a:

  • 10 milioni di euro o 2% del fatturato (EE)
  • 7 milioni di euro o 1,4% del fatturato (IE)

Sono inoltre previste:

  • sanzioni per i membri del management;
  • obblighi di adeguamento immediato;
  • pubblicazione delle sanzioni (misure reputazionali).

10. Perché molte aziende italiane saranno coinvolte anche senza saperlo

La NIS2 non riguarda solo infrastrutture critiche o grandi gruppi. Molte imprese rientreranno per effetto di:

  • criteri dimensionali (medie imprese);
  • ruolo nella supply chain;
  • clienti europei soggetti a NIS2;
  • servizi ICT considerati critici;
  • manifattura tecnologicamente avanzata.

Ad esempio, anche solo un'azienda da 60 dipendenti che produce componenti elettronici per automotive potrebbe essere automaticamente considerata important entity (Allegato II, settore manifatturiero critico), con obblighi completi NIS2.

Conclusioni

La Direttiva NIS2 rappresenta un cambio di paradigma: introduce requisiti stringenti, amplia il numero di soggetti coinvolti e impone responsabilità dirette al management. Le imprese che iniziano ora un percorso di valutazione preliminare avranno maggiori margini per un adeguamento sostenibile, riducendo rischi sanzionatori, operativi e reputazionali.



Pubblicato da:


Avvocato Luana Giangregorio a Meolo
Luana Giangregorio

Avvocato