NIS2, perché Italia, Francia e Germania seguono strade diverse

Introduzione alla Direttiva NIS2

La Direttiva NIS2 nasce con un obiettivo comune: innalzare il livello di cybersecurity e resilienza dei soggetti essenziali e importanti all’interno dell’Unione Europea. Tuttavia, l’attuazione nazionale mostra differenze significative tra Italia, Francia e Germania.

Diversità di applicazione nei tre Paesi

L’Italia ha scelto un modello fortemente amministrativo, centrato su ACN, portale, registrazione, categorizzazione dei servizi e mappatura dei fornitori rilevanti.

La Francia sembra orientarsi verso un approccio più dottrinale, guidato da ANSSI, con strumenti di autovalutazione e integrazione con il più ampio tema della resilienza critica.

La Germania, invece, si muove secondo un’impostazione più industriale e regolatoria, affidata al BSI, con forte attenzione a documentazione, prove di conformità, registrazione e responsabilità manageriale.

Le basi comuni e le diversità nell’implementazione

LaNIS2 è una direttiva europea, ma la sua concreta applicazione dipende fortemente dal modo in cui ciascuno Stato membro la recepisce, la interpreta e la rende operativa, ed è proprio qui che emergono differenze sostanziali tra Italia, Francia e Germania.

Sulla carta, l’obiettivo è comune: rafforzare la sicurezza dei sistemi informativi e di rete, migliorare la capacità di prevenzione e gestione degli incidenti, aumentare la resilienza dei servizi essenziali e rendere più uniforme il livello di cybersicurezza nell’UE.

Modelli applicativi nazionali

I tre Paesi stanno costruendo modelli molto diversi:

• L’Italia punta su un impianto fortemente amministrativo con portale, autodichiarazione, elenchi e scadenze.
• La Francia appare più orientata a un modello di accompagnamento strategico, centrato su ANSSI e strumenti di autovalutazione.
• La Germania adotta un’impostazione strutturata tecnica, con BSI come autorità centrale.

L’Italia: approccio amministrativo

L’Italia ha recepito la NIS2 con il D.Lgs. 138/2024. ACN è stata individuata come Autorità nazionale competente NIS e punto di contatto unico.

Da quel momento, il modello italiano si è sviluppato intorno a un’infrastruttura regolatoria molto articolata: Portale ACN, registrazione dei soggetti, aggiornamento delle informazioni, elencazione e categorizzazione di attività e servizi.

Il tratto distintivo italiano è quindi la costruzione di un vero e proprio sistema nazionale di censimento, classificazione e governo amministrativo del perimetro NIS.

La Francia: modello dottrinale e di accompagnamento

La Francia si trova in una posizione diversa, pur essendo uno dei Paesi europei più maturi in materia di cybersecurity istituzionale. ANSSI ha comunque già avviato strumenti di accompagnamento come MonEspaceNIS2 e ReCyF, il Référentiel Cyber France, pensato per tradurre gli obiettivi della direttiva in misure operative raccomandate.

La Germania: un impianto industriale

La Germania ha recepito la NIS2 attraverso il NIS2-Umsetzungsgesetz, con entrata in vigore nel dicembre 2025. Il cuore dell’attuazione tedesca è il nuovo impianto del BSI Act / BSIG, con il BSI come autorità centrale.

Dal momento dell’entrata in vigore, gli obblighi di registrazione e reporting passano attraverso il portale BSI, seguendo una logica molto strutturata e formalizzata.

Differenze culturali e regolatorie

La differenza non è solo normativa, è culturale. In Italia, ACN costruisce un modello “amministrativo-catalografico”, richiedendo un’ampia quantità di dati. In Francia, ANSSI mantiene un ruolo più di guida tecnica e strategica. In Germania, il BSI agisce come regolatore industriale tecnico, richiedendo documentazione e conformità verificabile.

La questione della registrazione

La registrazione è uno degli elementi in cui le differenze diventano più evidenti.

• In Italia, il Portale ACN diventa il punto di accesso e governo del rapporto tra soggetto NIS e autorità.
• In Francia, la registrazione si inserisce in un percorso più accompagnato, con strumenti digitali e référentiel.
• In Germania, il portale BSI è il canale operativo per la registrazione e il reporting.

Il perimetro comune

La base europea comune include 18 settori, con distinzione tra entità essenziali e importanti, criteri dimensionali e eccezioni.

Tuttavia, il modo in cui ciascun Paese gestisce questo perimetro varia:

L’Italia ha dato centralità all’identificazione del soggetto e alla successiva categorizzazione.

La Francia mantiene un legame forte con la sua tradizione degli opérateurs d’importance vitale, legandosi al tema della resilienza delle infrastrutture.

La Germania integra la NIS2 con la propria tradizione KRITIS, distingendo tra entità essenziali e importanti in base a settore, dimensione e rilevanza sistemica.

Le misure di sicurezza

Emerge una visione diversa del tema delle misure di sicurezza nei tre Paesi.

In Italia, ACN ha prodotto linee guida e specifiche di base, distinguendo i requisiti applicabili ai soggetti essenziali e importanti.

Il modello italiano cerca di rendere operativi gli obblighi, ma rimane fortemente legato al percorso formale.

La Francia, invece, sembra privilegiare modelli di accompagnamento e strumenti di autovalutazione, con l’auspicio di coerenza col piano strategico nazionale di resilienza.

In Germania, le misure di sicurezza vengono valutate in termini di conformità verificabile e tracciabilità, in base a criteri regolatori chiari.