Giugno 12, 2025

Direttiva NIS2: cos’è, a chi si applica, requisiti

Consulenza Informatica
0 Comments
Direttiva NIS2 cybersecurity: cos'è, a chi si applica

La NIS2 è una Direttiva che vuole innalzare il livello di cybersicurezza delle imprese e delle organizzazioni dei vari stati dell’Unione Europea. A seguito del numero sempre più crescente di attacchi informatici e violazioni dei dati, la NIS2 si presenta come una versione aggiornata della precedente NIS. Nello specifico, la NIS2 si applica ad un numero maggiore di soggetti e stabilisce obblighi più stringenti per garantire la continuità dei servizi essenziali. È quindi fondamentale che le aziende, soprattutto quelle che rientrano nei cosiddetti ‘settori ad alta criticità’, si adeguino alle nuove normative in maniera tempestiva per migliorare la resilienza digitale complessiva e per evitare sanzioni.

In questo articolo andremo a vedere a chi si rivolge la NIS2 e quali sono i requisiti richiesti.

NIS2: cos’è

La direttiva NIS2 è una normativa a livello europeo che impone, ad ogni stato membro dell’UE, di adottare una strategia in materia di cybersicurezza, al fine di proteggere le infrastrutture digitali dai sempre più crescenti attacchi informatici.
La NIS2 è un aggiornamento della NIS (Network and Information Security), la versione precedente della medesima direttiva, risalente al 2016.
In buona sostanza, la NIS2 è una legge aggiornata a livello europeo in materia di cybersecurity.

Qual è l’obiettivo della Direttiva NIS2

Considerando il numero sempre più crescente di attacchi informatici, come i ransomware, e le violazioni dei dati, e tenendo altresì conto del fatto che questi impattano notevolmente sulle imprese e sulle organizzazioni di tutta Europa, l’obiettivo principale della Direttiva NIS2 è quello di aumentare la resilienza e la sicurezza delle reti e dei sistemi informativi delle aziende che operano all’interno dell’Unione Europea, stabilendo dei precisi requisiti da rispettare, al fine di garantire una maggiore efficacia ed uniformità nell’applicazione delle norme di sicurezza informatica. All’atto pratico, ciò si traduce in nuovi obblighi di sicurezza per le aziende che rientrano nei cosiddetti ‘settori critici’ (es. sanità, energia, trasporti…), così da garantire una maggiore protezione alle stesse.
Nel panorama della cybersecurity, adeguarsi alla nuova Direttiva NIS2 significa migliorare la cooperazione tra le imprese dell’UE, che potranno affidarsi a standard di sicurezza informatica comuni.

Quali sono le principali differenze tra NIS e NIS2

A differenza di quanto previsto dalla precedente Direttiva NIS (2016/1148, in Italia D.lgs. 65 del 2018, ora abrogata), la NIS2 presenta delle novità importanti e delle modifiche. Nello specifico la versione aggiornata NIS2:

  • coinvolge un numero più ampio di soggetti obbligati

  • richiede un approccio basato sul rischio, richiedendo quindi un’analisi più approfondita dei potenziali rischi

  • oltre alla sicurezza, comprende anche altre aree, come la continuità aziendale, la gestione delle vulnerabilità e delle crisi, e la divulgazione e l’autenticazione multifattore

  • stabilisce che le misure di sicurezza da adottare siano proporzionate al contesto

La Direttiva NIS2

Oltre a considerare il rischio della sicurezza informatica, la Direttiva NIS2 considera anche altri tipi di minacce, come i rischi fisici, logici e di governance, adottando così, di fatto, un approccio multirischio. Rientrano quindi nell’elenco dei rischi anche i furti, i sabotaggi, le calamità naturali, le interruzioni di corrente elettrica, i problemi di telecomunicazioni, le azioni malevole, gli errori umani e qualsiasi genere di accesso fisico non autorizzato, che possa in qualche maniera interrompere o compromettere la disponibilità, l’integrità, l’autenticità o la riservatezza dei dati o dei servizi offerti dai sistemi informativi e di rete.
In tal senso, la Direttiva NIS2 richiede che ogni Stato membro dell’UE sviluppi una Strategia Nazionale per la Cybersecurity entro 3 mesi dall’adozione della normativa, e che questa strategia comprenda:

  • obiettivi e priorità per i settori considerati “critici” e “altamente critici”

  • un quadro di governance, con ruoli e responsabilità definiti

  • un quadro strategico per il coordinamento fra le autorità nazionali e quelle previste dalla Direttiva NIS2 dell’UE

  • un progetto volto ad aumentare il livello di consapevolezza in materia di Cybersecurity da parte dei cittadini

  • la notifica tempestiva (entro 24 ore dalla verifica dell’evento) al proprio CSIRT o alla competente autorità, da parte dei soggetti essenziali designati, di qualsiasi incidente significativo. In Italia, l’autorità competente a cui fare riferimento è l’Agenzia per la Cybersicurezza Nazionale (ACN)

NIS2: i requisiti

La Direttiva NIS2 ha stabilito 5 aree all’interno delle quali rientrano le linee guida che le imprese devono seguire per creare un ambiente digitale più sicuro e rafforzare la resilienza complessiva delle infrastrutture critiche.

  1. Gestione dei rischi, attraverso l’implementazione delle misure di sicurezza per proteggere i sistemi informatici e monitorandone periodicamente l’efficacia

  2. Continuità operativa, riducendo al minimo le interruzioni delle attività aziendali

  3. Gestione degli incidenti, con segnalazione tempestiva degli stessi ed attuazione di un piano di risposta per la relativa gestione

  4. Modelli di Governance che includono programmi di formazione per tutti i dipendenti e la responsabilizzazione della dirigenza

  5. Sicurezza della supply chain così che la sicurezza dell’intera catena di approvvigionamento e dei rapporti con i fornitori sia garantita

NIS2: quali sono le misure di cybersicurezza richieste

Le principali misure di cybersicurezza richieste dalla Direttiva NIS2 sono:

  • analisi dei rischi

  • gestione completa degli incidenti, con procedure e strumenti per eseguire le notifiche obbligatorie

  • policy di sicurezza delle informazioni

  • gestione della crisi e della continuità operativa (compreso il back up e il ripristino dei dati)

  • sicurezza della rete estesa

  • sicurezza della catena di approvvigionamento (protezione dei rapporti tra azienda e fornitori)

  • valutazione dell’efficacia delle misure di gestione dei rischi

  • sicurezza della supply chain, considerando le vulnerabilità di ogni fornitore, la qualità dei loro prodotti e delle pratiche di sicurezza informatica

  • sicurezza e affidabilità del personale, con politiche di controllo degli accessi

  • utilizzo della crittografia e della cifratura

  • utilizzo dell’autenticazione a più fattori

NIS2: a chi si applica

La NIS2 si applica a tutte le aziende che operano all’interno dell’Unione Europea, compresi “tutti gli enti pubblici e privati nel mercato interno, che svolgono funzioni importanti per l’economia e la società nel suo insieme“.

L’applicabilità della Direttiva è determinata dai settori di appartenenza e dalla dimensione dell’azienda, che deve avere più di 50 dipendenti e un fatturato superiore a 10 milioni di euro.

Per quanto riguarda il monitoraggio della conformità, gli obblighi di segnalazione degli incidenti e le eventuali sanzioni, le aziende che sono soggette alla NIS2 vengono distinte in 2 categorie:

  • Entità essenziali o essential entities: sanità, energia, trasporto, banking, servizi idrici

  • Entità importanti o important entities: alimenti, servizi postali, produzione e trattamenti chimici, servizi di spedizione, fornitori di servizi digitali, gestione dei rifiuti

NIS2: registrazioni

Rispetto alla precedente NIS, in cui era l’autorità nazionale ad identificare le aziende soggette alla Direttiva stessa, ora, con la NIS2, è onere delle stesse aziende verificare la loro compatibilità (o meno) con i criteri di applicabilità stabiliti, e poi registrarsi sulla piattaforma fornita dall’Agenzia per la Cybersicurezza Nazionale (ACN).

Sulla base delle registrazioni, gli Stati membri compilano quindi una lista ufficiale che comprende tutte le aziende soggette alla NIS2.

NIS2: le scadenze

Le principali scadenze del NIS2 sono fissate nel biennio 2025-2026. Le riportiamo qui di seguito.

  • 17 Gennaio 2025. Registrazione sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) da parte delle aziende che ritengono di avere i requisiti per rientrare nella NIS2

  • 15 Aprile 2025. Conferma da parte dell’ACN del fatto che il soggetto registrato rientri fra quelli a cui applicare la Direttiva NIS2

  • 1° Gennaio 2026. Implementazione, da parte delle aziende registrate, di un processo per la gestione degli incidenti di sicurezza (come previsto dall’articolo 25)

  • 1° Gennaio 2026. Aggiornamento annuale delle informazioni sulla piattaforma ACN, inserendo l’elenco delle attività e dei servizi offerti, con relative descrizione (come stabilito dall’articolo 30)

  • Ottobre 2026. Implementazione dei dati riguardanti la gestione dei rischi, le responsabilità degli organi direttivi e la gestione della banca dati dei nomi a dominio (artt. 23, 24 e 29)

Quali sono le sanzioni per la mancata iscrizione al NIS2

La mancata conformità alla NIS2, da parte di imprese ed organizzazioni, comporta sanzioni del seguente tenore:

  • fino a 10 milioni di euro o al 2% del fatturato annuo per le Entità essenziali

  • fino a 7 milioni di euro o all’1,4% del fatturato annuo per le entità importanti

NIS2: come prepararsi

Per adeguarsi alla Direttiva NIS2 è necessario:

  1. esaminare i requisiti stabiliti per garantire la conformità (articolo 21)

  2. verificare se l’azienda o l’organizzazione ha istituito un Security Operations Center (SOC) ed assicurarsi che le pratiche di sicurezza siano allineate coi requisiti minimi richiesti dalla NIS2

  3. fare una valutazione dei rischi, analizzando le potenziali vulnerabilità, sia malevole che accidentali

  4. analizzare lo stato di sicurezza attuale per identificare eventuali punti deboli e vulnerabilità

  5. adottare misure di sicurezza informatica più sofisticate e all’avanguardia, come l’approccio Zero Trust Architecture

  6. mappare i propri fornitori e capire se, e come, i loro servizi possono influire sulla sicurezza della supply chain

  7. sviluppare e promuovere una cultura aziendale circa la consapevolezza dei rischi informatici, facendo partecipare i dipendenti a corsi formativi ed aggiornamenti

Gianpaolo Minardi della CIP Informatica – Consulenza Informatica e Progettazione: il consulente a cui affidarti per adeguare la tua azienda alla Direttiva NIS2

Per ridurre i rischi a dati e sistemi, la Direttiva NIS2 impone ad imprese ed organizzazioni l’applicazione di una serie di misure di cybersicurezza e gestione del rischio riconosciute a livello europeo. Oltre a rafforzare la sicurezza aziendale e a migliorare la sua resilienza digitale, il corretto adeguamento di quanto previsto dal NIS2 permette anche di migliorare la competitività ed aumentare la fiducia da parte dei clienti. Va altresì ricordato che, le organizzazioni che non si adeguano a quanto prescritto dalla Direttiva, vanno incontro a sanzioni pecuniarie anche molto salate.

Per avere chiaro il piano della sicurezza della tua azienda e poter stabilire le procedure da implementare per migliorare il livello di sicurezza, affidati ad un consulente informatico professionista, come Gianpaolo Minardi della CIP – Consulenza Informatica e Progettazione, specializzato in servizi di consulenza e assistenza informatica, anche da remoto. Dopo un check-up e una approfondita valutazione dei rischi, Gianpaolo Minardi della CIP Informatica è in grado di suggerire ed attuare una serie di servizi di cyber security completi e personalizzati, per proteggere la tua aziende da minacce informatiche e garantire al tempo stesso la piena conformità alla Direttiva NIS2.

Contatta subito Gianpaolo Minardi per fissare una consulenza.