In un panorama digitale dove gli attacchi informatici si fanno sempre più sofisticati e mirati, la cybersecurity è cruciale per aziende e pubbliche amministrazioni.
Per creare un livello comune di cybersicurezza in tutti gli Stati membri, l’Unione Europea ha introdotto la Direttiva NIS2 (Network and Information Security 2) che ne potenzia quindi lo scudo normativo a vantaggio di una sicurezza informatica assolutamente urgente e prioritaria oggi.
L’Italia, in particolare, ha recepito e attuato gli obblighi della Direttiva NIS2 nel proprio ordinamento giuridico attraverso il Decreto Legislativo n. 138/2024, pubblicato in Gazzetta Ufficiale il primo ottobre 2024 ed entrato in vigore il 16 ottobre 2024.
COSA INTRODUCE LA DIRETTIVA NIS2?
La NIS2 ha l’obiettivo di innalzare la cyber-resilienza delle organizzazioni che forniscono servizi essenziali o importanti per l’economia e la società, favorendo al contempo una risposta coordinata e armonizzata a livello UE in caso di crisi informatica.
Impone infatti agli Stati membri di rafforzare le loro capacità in materia di cibersicurezza, introducendo nel contempo misure di gestione dei rischi e obblighi di segnalazione ai soggetti di un maggior numero di settori e stabilendo norme per la cooperazione, la condivisione delle informazioni, la vigilanza e l’applicazione delle misure di sicurezza informativa.
Le principali novità della NIS2 sono:
- l’estensione a interi settori economici (come il manifatturiero e la gestione dei rifiuti) e a quasi tutte le medie e grandi imprese che vi operano;
- l’obbligo esplicito di gestire il rischio cyber posto dai fornitori (supply chain);
- l’approvazione e la supervisione delle misure di sicurezza da parte dell’organo di gestione aziendale (Consiglio di Amministrazione o Direzione), che su questo tema deve anche ricevere formazione adeguata : la cybersecurity diventa quindi una priorità gestionale, non solo IT;
- un elenco di misure di sicurezza più dettagliate e obbligatorie, che includono l’uso dell’autenticazione a più fattori (MFA), l’adozione della crittografia e solidi piani di Business Continuity;
- sanzioni più incisive per la non conformità (fino al 2% del fatturato annuo globale per le violazioni più gravi).
A CHI VIENE APPLICATA IN PARTICOLARE?
La NIS2 viene applicata ad un numero maggiore di settori e filiere produttive, classificando le organizzazioni in due macro-categorie a seconda del settore in cui operano e della loro rilevanza:
Entità Importanti (EI): sono le medie e grandi imprese che operano in Altri Settori Critici (≥ 50 dipendenti o Fatturato > 10M€), tra cui manifatturiero e fornitori di servizi figitali (es. marketplace online, motori di ricerca).
Entità Essenziali (EE): sono le organizzazioni che operano nei settori considerati ad alta criticità e che generalmente superano la soglia di grande impresa (≥ 250 dipendenti o fatturato > 50 milioni di euro), tra cui energia, trasporti, bancario e finanziario, sanità, infrastrutture digitali (data center, cloud computing, servizi DNS), Pubblica Amministrazione (centrale e regionale), Acqua.
Adeguarsi alla NIS2 significa scegliere la strada dell’innovazione sicura, proteggendo la propria azienda e la sua continuità operativa in un mercato sempre più esposto ai rischi informatici.
COME SI DEVONO ADEGUARE LE AZIENDE
Per adeguarsi alla NIS2 le aziende devono implementare misure tecniche e organizzative:
- Gestione del rischio, risk management: sviluppare e adottare policy di analisi dei rischi e di sicurezza dei sistemi informatici; introdurre un approccio di sicurezza specifico per la supply chain;
predisporre piani di Business Continuity (BCP) e Disaster Recovery (DRP) per garantire il ripristino delle operazioni in caso di grave incidente; utilizzare la crittografia e l’autenticazione a più fattori (MFA) per proteggere dati e accessi. - Notifica degli incidenti: definire procedure chiare per la prevenzione, il rilevamento e la risposta agli incidenti; notificare all’Autorità competente, con un preallarme entro 24 ore e la notifica completa entro 72 ore dall’identificazione dell’incidente significativo.
- Governance e formazione: il management deve ricevere formazione e partecipare attivamente alla supervisione della strategia di cybersicurezza; implementare una solida cyber-igiene e programmi di formazione continua per tutti i dipendenti.
La mancata osservanza di questi obblighi di gestione del rischio e di notifica può comportare l’applicazione delle sanzioni previste dalla Direttiva (fino al 2% del fatturato annuo globale).
Le sanzioni sono determinate in base alla gravità della violazione, alla durata, alla natura dell’incidente e al livello di cooperazione con l’Autorità competente.
A CHI SPETTA FAR RISPETTARE LA NIS2?
In Italia l’autorità di riferimento per la vigilanza sulla corretta applicazione della NIS2 è l’Agenzia per la Cybersicurezza Nazionale (ACN).
L’ACN ha il compito di coordinare l’applicazione della Direttiva, vigilare sull’adempimento degli obblighi e imporre sanzioni in caso di violazioni.
L’ACN esercita la vigilanza attraverso ispezioni, audit di sicurezza e richieste di informazioni specifiche. Per le Entità Essenziali (EE), i controlli sono proattivi; per le Entità Importanti (EI), sono reattivi (ad esempio, dopo un incidente significativo).
A livello di Unione Europea l’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza) è il centro di competenza per la cibersicurezza. Il suo ruolo principale non è l’applicazione diretta (che spetta alle autorità nazionali come l’ACN), ma supportare l’UE e gli Stati membri per raggiungere un livello comune elevato di cibersicurezza in tutta Europa.
Il 27 giugno 2025 ENISA ha pubblicato la “Guida tecnica all’implementazione del Regolamento di esecuzione (UE) 2024/2690“: definisce in modo operativo le misure di sicurezza che le aziende devono adottare. Questa guida è pensata in particolare anche per i fornitori di servizi digitali essenziali (cloud, data center, DNS, CDN, marketplace, social network) e software house.
Non è giuridicamente vincolante, ma al di là della conformità, il suo principale obiettivo è quello di promuovere una cultura della sicurezza proattiva.
Le aziende che scelgono di adottare queste misure possono ridurre il rischio operativo e reputazionale, migliorare la fiducia di clienti e partner ed essere pronte a gestire e affrontare eventuali attacchi nel futuro. ENISA, inoltre, accompagna la Guida con una mappatura dei ruoli e competenze richieste secondo il framework europeo ECSF. Tra i profili chiave anche il risk manager IT.
E’ possibile consultare e scaricare la guida sul sito ufficiale di Enisa: enisa.europa.eu a questo link
NEXEEVA PER LA SICUREZZA DELLA TUA AZIENDA
Adeguarsi alla NIS2 non è solo una questione di conformità, ma una scelta strategica.
Significa proteggere i propri asset, i dati dei clienti e la reputazione aziendale, costruendo un business più solido e affidabile.
Un eccellente esempio di come l’innovazione tecnologica e la consulenza esperta possano trasformare un obbligo normativo in un vantaggio competitivo e in una reale tutela della sicurezza dei dati e delle informazioni aziendali.
Nexeeva supporta le aziende a superare la complessità tecnica e normativa con soluzioni su misura e all’avanguardia.
Contattaci per saperne di più e per dare il via al tuo progetto di cybersicurezza