La Direttiva NIS 2 (Network and Information Security) rappresenta l’evoluzione della precedente normativa europea sui sistemi informativi, entrata in vigore a gennaio 2023. Gli Stati membri hanno avuto fino al 2024 per integrarla nelle proprie leggi, e in Italia è stata recepita con il Decreto Legislativo 138 del 2024. La normativa aggiorna e rafforza gli standard di sicurezza, obbligando le aziende dei settori critici a un piano completo per prevenire, monitorare e affrontare gli incidenti informatici.
Campo di applicazione e soggetti coinvolti
La NIS 2 applica obblighi a due categorie principali: soggetti essenziali e soggetti importanti. I primi operano in settori ad alta criticità (energia, sanità, finanza, infrastrutture digitali), mentre i secondi rientrano in ambiti strategici (telecomunicazioni, logistica, prodotti industriali critici). Per essere inclusi sono necessari tre criteri: presenza nell’Unione Europea, appartenenza a uno dei settori elencati, e dimensione medio-grande (50 dipendenti o fatturato annuo superiore a 10 milioni di euro). In casi rari, le PMI possono essere coinvolte se svolgono un ruolo chiave in una catena di fornitura.
Settori interessati
La direttiva coinvolge un numero esteso di settori, tra cui:
- Energia
- Trasporti e logistica
- Salute e servizi medici
- Finanza e assicurazioni
- Telecomunicazioni e digitali
- Industria spaziale e produzione critiche
Obblighi principali per le aziende
Un’azienda sottoposta a NIS 2 deve adottare misure minime di sicurezza e gestire il rischio cyber. Queste includono:
- Politiche di sicurezza informatica formali
- Accesso controllato ai sistemi (multi-factor authentication)
- Backup e protezione dei dati
- Rilevamento e controllo degli accessi alla rete
- Gestione delle vulnerabilità tramite aggiornamenti e patch
- Formazione del personale
Per i soggetti essenziali, i requisiti sono più rigorosi, come l’uso di strumenti di analisi avanzata e l’implementazione di una struttura di risposta agli incidenti.
Tempi di adeguamento
In Italia, il processo di conformità ha iniziato da dicembre 2024 con la registrazione formale da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN). Le aziende ricevono notifica formale e devono rispettare i seguenti termini:
- 9 mesi per implementare procedure di gestione degli incidenti e report
- 18 mesi per completare tutte le misure di sicurezza richieste
Per le aziende notificate nel 2025, il completamento dovrà avvenire entro il 2026.
Sanzioni e responsabilità
Le violazioni comportano multe che possono raggiungere fino al 2% del fatturato annuo globale per gli entity essenziali o fino al 1,5% per gli soggetti importanti. In caso di negligenza da parte dei vertici aziendali, i dirigenti possono essere ritenuti direttamente responsabili. Le sanzioni includono anche:
- Ordini per correggere le misure di sicurezza
- Sospendere temporaneamente l’attività
- Rimozione di dirigenti coinvolti
Importanza della compliance
La Direttiva NIS 2 mira a proteggere servizi essenziali come elettricità, trasporti e sanità, prevenendo interruzioni che possono colpire milioni di persone. La normativa rafforza anche la cooperazione tra gli Stati membri e stabilisce linee guida uniche per affrontare le emergenze cyber a livello UE.
Rischi per le aziende non conformi
Le aziende che non si adeguano rischiano:
- Gravi problemi finanziari a causa di multe e perdite reputazionali
- Sospensione delle attività
- Potenziali ricorsi legali
Piano di azione per le aziende
Un piano strutturato per conformità NIS 2 deve includere i seguenti passaggi:
- Audit delle attuali misure di sicurezza
- Analisi dei rischi e identificazione delle criticità
- Implementazione di strumenti di rilevamento e protezione
- Formazione del personale e dei