Tutto quello che c’è da sapere sulla direttiva NIS2

La Direttiva NIS2 (Direttiva UE 2022/2555) rappresenta l’evoluzione della precedente Direttiva NIS1 (2016/1148). Approvata il 14 dicembre 2022 e pubblicata sulla Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022, questa nuova normativa è entrata pienamente in vigore a partire da ottobre 2024, abrogando la NIS1 e introducendo un quadro normativo significativamente rafforzato per la cybersicurezza in tutta l’Unione Europea.

Perché una nuova direttiva?

La Commissione europea ha avviato il processo di revisione della Direttiva NIS1 già nel 2020, sulla base di una valutazione del suo funzionamento e del livello di sicurezza informatica raggiunto negli Stati membri. La valutazione ha messo in luce diverse limitazioni della NIS1. Tra queste, un ambito di applicazione considerato troppo ristretto in termini di settori coperti e criteri non sufficientemente chiari per l’identificazione dei soggetti rientranti nel perimetro (allora definiti Operatori di Servizi Essenziali – OSE e Fornitori di Servizi Digitali – FSD).

Un punto critico rilevato è stata l’eccessiva discrezionalità lasciata agli Stati membri nel definire i requisiti di sicurezza, le modalità di notifica degli incidenti e, soprattutto, il regime sanzionatorio. Nella NIS1 la definizione delle sanzioni era interamente demandata ai singoli Stati, con il solo richiamo ai principi di proporzionalità e dissuasività, portando a differenze significative tra i paesi e, in alcuni casi, a sanzioni considerate troppo basse.

La revisione è stata ulteriormente giustificata dall’improvviso aumento della rilevanza delle tecnologie IT osservato durante la crisi di Covid-19, che ha reso ancora più evidente la necessità di una maggiore resilienza. La Direttiva NIS2 mira a superare queste carenze, offrendo un quadro più armonizzato, dettagliato e robusto a livello europeo.

Direttiva NIS2: ambito di applicazione e settori interessati

La Direttiva NIS2 applica i suoi obblighi a soggetti pubblici o privati che rientrano in specifiche tipologie di settori e che superano determinate soglie dimensionali. La distinzione obsoleta tra Operatori di Servizi Essenziali e Fornitori di Servizi Digitali viene superata, concentrandosi su tutti i soggetti che, in base alle loro dimensioni, al loro impatto e al loro settore di attività, sono considerati come “soggetti essenziali” o “soggetti importanti”.

I settori interessati sono aumentati significativamente rispetto alla NIS1, passando a un totale di 18, e sono classificati in due allegati: l’Allegato I, che elenca i “Settori ad Alta Criticità”, e l’Allegato II, che include gli “Altri Settori Critici”.

L’Allegato I, che riprende in gran parte settori già presenti nella NIS1, comprende: Energia, Trasporti, Settore bancario, Infrastrutture dei mercati finanziari, Settore sanitario, Acqua potabile, Infrastrutture digitali. A questi si aggiungono nell’Allegato I i settori Acque reflue, Gestione dei servizi ICT (business-to-business), Pubblica amministrazione e Spazio, per un totale di 11 categorie nell’allegato ad alta criticità.

L’Allegato II aggiunge altri 7 settori critici: Servizi postali e di corriere, Gestione dei rifiuti, Fabbricazione, produzione e distribuzione di sostanze chimiche, Produzione, trasformazione e distribuzione di alimenti, Fabbricazione (con dettagli che fanno riferimento ai codici di classificazione delle attività economiche, in Italia i codici ATECO), Fornitori di servizi digitali, e Ricerca.

Per quanto riguarda le soglie dimensionali, la NIS2 si applica generalmente ai soggetti che sono considerati medie imprese o che superano i massimali dimensionali per le medie imprese, come definito dalla Raccomandazione 2003/361/CE. Secondo questa raccomandazione, una media impresa è definita come un’entità con meno di 250 persone e un fatturato annuo non superiore a 50 milioni di euro o un bilancio annuo non superiore a 43 milioni di euro. Le piccole imprese e le microimprese (generalmente quelle con meno di 50 dipendenti e un fatturato annuo o bilancio inferiore a 10 milioni di euro) sono quindi escluse dall’ambito di applicazione, salvo specifiche eccezioni previste dalla direttiva per attività ritenute di importanza critica per la società, indipendentemente dalle dimensioni.

È importante notare che, per essere considerata “piccola impresa” ed essere esclusa, l’azienda deve soddisfare entrambe le condizioni relative a dipendenti e fatturato/bilancio. Se si supera anche solo una delle due soglie, l’azienda ricade nella categoria delle medie imprese e può quindi rientrare nel perimetro NIS2 se opera in uno dei settori indicati.

La NIS2 categorizza i soggetti rientranti nel suo perimetro come “essenziali” o “importanti”. I soggetti essenziali sono generalmente quelli che operano nei settori ad alta criticità dell’Allegato I, soprattutto se di grandi dimensioni. I soggetti importanti operano negli altri settori critici dell’Allegato II, o possono essere soggetti di minori dimensioni nei settori ad alta criticità, ma comunque al di sopra delle soglie per le piccole imprese. Questa classificazione influisce, tra le altre cose, sul regime di vigilanza e sulle sanzioni applicabili.

Le misure di sicurezza informatica richieste dalla Direttiva NIS2

Uno dei punti più dettagliati e prescrittivi della Direttiva NIS2 si trova nell’Articolo 21 (corrispondente all’Articolo 24 del D.Lgs. 138/2024), che definisce le misure di gestione dei rischi di cybersicurezza che i soggetti essenziali e importanti devono adottare. Queste misure sono basate su un approccio multirischio volto a proteggere i sistemi informatici e di rete e il loro ambiente fisico da incidenti e devono includere, come minimo, dieci elementi specifici.

L’analisi dei rischi

Il primo elemento fondamentale è l’adozione di politiche di analisi dei rischi e di sicurezza dei sistemi informatici. Tutte le misure successive scaturiscono da una preliminare e approfondita analisi dei rischi specifici dell’organizzazione e del suo contesto operativo.

La gestione degli incidenti

Segue la gestione degli incidenti, che richiede la definizione di processi e procedure per rilevare, analizzare, contenere e rispondere agli incidenti di cybersicurezza in modo efficace e tempestivo.

La continuità operativa

Un altro elemento essenziale è la continuità operativa, che include la gestione del backup e il ripristino in caso di disastro, oltre alla gestione delle crisi, per garantire la ripresa e la disponibilità dei servizi critici anche a seguito di un incidente grave.

La supply chain

La sicurezza della catena di approvvigionamento è un aspetto fortemente enfatizzato dalla Direttiva NIS2. I soggetti devono tenere conto delle vulnerabilità specifiche dei loro diretti fornitori e fornitori di servizi, nonché della qualità complessiva dei prodotti e delle pratiche di sicurezza informatica adottate da questi ultimi, comprese le loro procedure di sviluppo sicuro. Questo obbligo si estende anche ai fornitori non IT che hanno un’integrazione con i sistemi informativi aziendali. L’obiettivo è mitigare il rischio che un incidente in un fornitore possa avere un impatto significativo sulla continuità dei servizi forniti dal soggetto NIS2.

La gestione della rete

Le misure devono anche coprire la sicurezza dell’acquisizione, dello sviluppo e della manutenzione dei sistemi informatici e di rete, inclusa una gestione proattiva delle vulnerabilità e la loro divulgazione responsabile. È richiesta l’adozione di strategie e procedure per valutare regolarmente l’efficacia delle misure di gestione dei rischi di cybersicurezza implementate. Questo può includere attività come vulnerability assessment e penetration testing.

La formazione

Un punto considerato particolarmente importante è l’implementazione di pratiche di igiene informatica di base e la fornitura di formazione in materia di cybersicurezza. L’obbligo di formazione non riguarda solo i dipendenti, ma si estende esplicitamente anche agli organi di amministrazione e direttivi.

La crittografia

Le politiche e le procedure relative all’uso della crittografia e, se del caso, della cifratura rientrano anch’esse tra le misure richieste.

Risorse umane e asset

La sicurezza delle risorse umane, le strategie di controllo dell’accesso e la gestione degli attivi informatici sono altri pilastri fondamentali.

L’autenticazione

La direttiva richiede, se del caso, l’uso di soluzioni di autenticazione a più fattori (MFA) o di autenticazione continua, nonché l’adozione di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti all’interno dell’organizzazione.

Questo elenco dettagliato di misure rappresenta un livello di specificità raramente visto nelle normative europee precedenti in questo campo e non lascia ampio margine di interpretazione sulle aree da coprire.

Gli obblighi di notifica degli incidenti

Un altro aspetto rilevante della NIS2 (Articolo 23, recepito in Italia come Articolo 25 del D.Lgs. 138/2024) riguarda gli obblighi di segnalazione degli incidenti di cybersicurezza.

I soggetti essenziali e importanti sono tenuti a notificare senza indebito ritardo al proprio CSIRT (Computer Security Incident Response Team) o, se opportuno, all’autorità competente nazionale (in Italia, l’Agenzia per la Cybersicurezza Nazionale, ACN) qualsiasi incidente che abbia o sia in grado di avere un impatto significativo sulla fornitura dei loro servizi.

L’incidente è considerato significativo se ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie considerevoli per il soggetto interessato, oppure se si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

La notifica non espone il soggetto che la effettua a una maggiore responsabilità legale.

La NIS2 stabilisce un cronoprogramma preciso e stringente per le notifiche.

La prima comunicazione è un’allerta precoce, da inviare senza indebito ritardo e comunque entro 24 ore da quando si è venuti a conoscenza dell’incidente significativo, specialmente se si sospetta o si sa che l’incidente è causato da un atto doloso o illegale, o se può avere un impatto transfrontaliero. Questo richiede che le organizzazioni dispongano di processi e capacità di rilevamento e risposta rapida agli incidenti, anche durante i fine settimana o i giorni festivi.

Successivamente è richiesta una notifica dell’incidente più dettagliata, da inviare senza indebito ritardo e comunque entro 72 ore dall’acquisizione della conoscenza dell’incidente. Questa notifica deve aggiornare le informazioni fornite nell’allerta precoce e includere una valutazione iniziale della gravità e dell’impatto dell’incidente, oltre a eventuali indicatori di compromissione. Una relazione intermedia può essere richiesta dall’autorità competente per avere aggiornamenti di stato rilevanti.

Entro un mese dalla presentazione della notifica di 72 ore, deve essere inviato un rapporto finale sull’incidente o, se l’incidente è ancora in corso, un rapporto sullo stato di avanzamento.

Il rapporto finale deve fornire una descrizione dettagliata dell’incidente, la sua gravità e l’impatto, la probabile causa principale e le misure di mitigazione applicate e in corso. Se un rapporto sullo stato di avanzamento era già stato presentato in precedenza, il rapporto finale completo deve essere inviato entro un mese dalla completa gestione dell’incidente. Questi tempi stretti sottolineano l’importanza di disporre di un piano di gestione degli incidenti ben definito e praticato.

Il quadro sanzionatorio previsto dalla Direttiva NIS2

A differenza della NIS1, che lasciava ampia libertà agli Stati membri nella definizione delle sanzioni, la Direttiva NIS2 introduce un quadro sanzionatorio molto più dettagliato e armonizzato a livello europeo (Articolo 34, ripreso dall’Articolo 38 del D.Lgs. 138/2024). Le sanzioni pecuniarie si applicano specificamente alle violazioni degli obblighi relativi alle misure di gestione dei rischi di cybersicurezza (Articolo 21/24) e agli obblighi di segnalazione degli incidenti (Articolo 23/25).

I massimali delle sanzioni pecuniarie previsti dalla NIS2 sono significativi e variano in base alla categoria del soggetto.

Per i soggetti essenziali, le sanzioni possono raggiungere i 10 milioni di euro o il 2% del loro fatturato annuo globale, se quest’ultimo è superiore.

Per i soggetti importanti, i massimali sono fissati a 7 milioni di euro o all’1,4% del loro fatturato annuo globale, se quest’ultimo è superiore.

Queste sanzioni devono essere effettive, proporzionate e dissuasive, prendendo in considerazione le circostanze specifiche di ogni violazione. È importante sottolineare che queste sanzioni pecuniarie sono imposte in aggiunta ad altre eventuali misure previste dalla direttiva, come ordini di conformità o specifiche azioni correttive.

Un elemento particolarmente “forte”, non presente nella NIS1 e introdotto dal D.Lgs. 138/2024 all’Articolo 38, comma 6, è la previsione di sanzioni amministrative accessorie. Queste possono includere l’incapacità per gli organi di amministrazione e direttivi di svolgere funzioni dirigenziali all’interno del soggetto in caso di violazioni significative della direttiva. L’Autorità nazionale competente NIS (l’ACN in Italia) ha quindi la facoltà di “esautorare” o “rimuovere temporaneamente” i soggetti con ruoli direttivi dall’azienda. Questa misura mira a responsabilizzare direttamente il management sulla questione della cybersicurezza.

Anche la mancata iscrizione sulla piattaforma digitale dell’ACN, un obbligo previsto dal recepimento italiano, è soggetta a sanzioni pecuniarie ai sensi dell’Articolo 38. Sebbene i valori siano percentuali minori del fatturato annuo globale (0,1% per i soggetti essenziali e 0,07% per gli importanti), rappresentano comunque una penalità per la non conformità agli obblighi procedurali.

Il recepimento in Italia: il D.Lgs. 138/2024

Essendo la NIS2 una direttiva europea, era richiesto il recepimento nel diritto nazionale di ciascuno Stato membro entro la scadenza del 17 ottobre 2024. L’Italia si è distinta per la sua puntualità nel processo di recepimento.

Il decreto legislativo che recepisce la direttiva è il Decreto Legislativo 4 settembre 2024, n. 138, che è stato presentato per il parere parlamentare già il 17 giugno 2024, ben prima della scadenza europea, ed è stato successivamente approvato e pubblicato sulla Gazzetta Ufficiale il 1° ottobre 2024.

Il D.Lgs. 138/2024 si applica a decorrere dal 18 ottobre 2024 e, a partire dalla stessa data, abroga il precedente decreto legislativo 18 maggio 2018, n. 65, che recepiva la NIS1. Il decreto designa l’Agenzia per la Cybersicurezza Nazionale (ACN) come l’Autorità nazionale competente NIS, attribuendole le funzioni di coordinamento a livello nazionale, come previsto dalla direttiva. L’ACN assume quindi un ruolo centrale come punto di riferimento principale per l’applicazione, il monitoraggio e l’esercizio delle funzioni di controllo e sanzionatorie previste dalla NIS2. Le Autorità di settore NIS, già individuate con la NIS1 e menzionate all’Articolo 11 del nuovo decreto, mantengono un ruolo, ma con un’importanza ridotta rispetto all’ACN.

Il cronoprogramma e le scadenze

Il D.Lgs. 138/2024 definisce un cronoprogramma preciso per gli adempimenti richiesti ai soggetti rientranti nel perimetro NIS2, articolato in passi annuali e scadenze specifiche per la fase di prima applicazione.

Ogni anno, dal 1° gennaio al 28 febbraio, i soggetti che rientrano nell’ambito di applicazione della NIS2 devono registrarsi o aggiornare le proprie informazioni sulla piattaforma digitale creata dall’ACN. Questa registrazione richiede di fornire dettagli fondamentali come la ragione sociale, il settore di appartenenza e un punto di contatto.

Entro il 31 marzo di ogni anno l’ACN pubblica l’elenco aggiornato dei soggetti registrati e comunica ufficialmente a ciascuno di essi se sono inclusi o esclusi dall’elenco dei soggetti regolamentati.

Tra il 1° aprile e il 15 aprile l’ACN comunica ai soggetti registrati il loro inserimento nell’elenco dei soggetti essenziali o importanti, specificando la categoria di appartenenza.

Dal 15 aprile al 31 maggio i soggetti che hanno ricevuto la comunicazione dall’ACN devono fornire o aggiornare sulla piattaforma digitale dell’ACN una serie di dati, inclusi gli indirizzi IP pubblici, i nomi di dominio in uso, l’elenco degli Stati membri in cui forniscono servizi rientranti nell’ambito del decreto, i responsabili ai sensi dell’articolo 38, comma 5, e un sostituto del punto di contatto.

Tra il 1° maggio e il 30 giugno le aziende devono fornire informazioni sui servizi e sulle attività svolte (secondo l’Articolo 24, commi 1 e 2 del decreto) per consentire alle autorità competenti una corretta categorizzazione. L’ACN fornisce un riscontro sulla conformità entro 90 giorni; in assenza di riscontro, la conformità si considera convalidata. Questo cronoprogramma è specificato all’Articolo 7 del decreto 138.

Per quanto riguarda la fase iniziale di applicazione, l’Articolo 42 del D.Lgs. 138 stabilisce scadenze specifiche per l’adeguamento a determinati obblighi, riconoscendo la necessità di un periodo di transizione. Entro il 1° gennaio 2026, i soggetti a cui si applica la NIS2 devono adeguarsi all’articolo 25 (Obblighi in materia di notifica di incidente), il che richiede come minimo di aver stabilito il processo di gestione degli incidenti. Sempre entro il 1° gennaio 2026, devono adeguarsi all’articolo 30, relativo all’aggiornamento annuale delle informazioni richieste dalla piattaforma ACN.

La scadenza più ampia riguarda l’adeguamento a obblighi più strutturali: entro il 1° ottobre 2026 (diciotto mesi dalla comunicazione che ACN effettuerà entro il 31 marzo 2025 confermando l’inclusione nell’elenco), i soggetti devono essere conformi agli articoli 23 (sugli obblighi degli organi di amministrazione e direttivi, inclusa la formazione del management), 24 (sugli obblighi in materia di misure di gestione dei rischi per la sicurezza informatica e implementazione delle misure di sicurezza) e 29 (relativo alla banca dati dei nomi a dominio).

Il ruolo di ACN e il Framework Nazionale

L’Agenzia per la Cybersicurezza Nazionale (ACN) riveste un ruolo centrale nell’implementazione e nella vigilanza della NIS2 in Italia. L’ACN sta attivamente comunicando con i soggetti potenzialmente interessati, inviando PEC per notificare l’inclusione negli elenchi dei soggetti essenziali o importanti ai sensi dell’Articolo 7 del D.Lgs. 138. Il portale web dell’ACN rappresenta una risorsa fondamentale, contenente informazioni dettagliate sull’ambito di applicazione, FAQ molto utili per chiarire dubbi sulla propria inclusione nel perimetro normativo, e le Determinazioni pubblicate dall’Autorità.

In parallelo all’entrata in vigore della NIS2 e al processo di recepimento, l’ACN ha collaborato con il CINI e l’Università della Sapienza per la pubblicazione del Framework Nazionale per la Cybersecurity e la Data Protection – Edizione 2025 (FNCDP v2.1). Questo framework aggiorna la versione precedente e si allinea concettualmente al NIST Cybersecurity Framework 2.0. Il FNCDP v2.1 è strutturato in sei Funzioni (Govern, Identify, Protect, Detect, Respond, Recover), con un’enfasi particolare sulla funzione “Govern”, aggiunta e sottolineata anche dalla NIS2. All’interno di queste funzioni sono definite 23 Categorie e 114 Sottocategorie, che rappresentano i controlli specifici che le organizzazioni devono considerare per verificare il proprio livello di sicurezza. Il framework include anche riferimenti informativi (Informative References) per ciascuna sottocategoria, indicando collegamenti a standard internazionali (come NIST SP 800-53, norme ISO/IEC 27000, CIS Controls, Cloud Security Alliance CCM) e normative (come il GDPR).

Le Determinazioni pubblicate dall’ACN, come la Determinazione n. 164179 del 14 aprile 2025, definiscono le specifiche di base per l’adempimento agli obblighi del decreto NIS relativi alle misure di cybersicurezza e alla gestione degli incidenti significativi. Queste Determinazioni si completano con allegati tecnici (Allegati 1-4) che forniscono indicazioni operative e fanno esplicito riferimento alle categorie e sottocategorie del FNCDP v2.1 come base per l’implementazione delle misure richieste dalla NIS2, differenziando i requisiti tra soggetti essenziali e importanti. Sebbene l’uso del FNCDP v2.1 non sia presentato come l’unica via possibile, le Determinazioni ACN che lo richiamano lo rendono uno strumento di riferimento pratico e caldamente consigliato per le organizzazioni soggette alla NIS2, fornendo una “lista della spesa” dei controlli necessari.

La cyber sicurezza come questione strategica

La Direttiva NIS2 invia un messaggio chiaro alle organizzazioni: la cybersicurezza non è più un problema confinato all’ambito tecnico dell’IT, ma è una questione che riguarda l’intera organizzazione e che deve essere gestita a livello strategico. Gli organi di amministrazione e direttivi hanno una responsabilità diretta e sono tenuti a seguire una formazione specifica in materia. Devono inoltre promuovere attivamente l’offerta periodica di formazione in cybersicurezza per tutti i dipendenti.

Le misure tecniche, operative e organizzative adottate dai soggetti rientranti nel perimetro normativo devono essere adeguate e proporzionate ai rischi specifici identificati. L’obiettivo principale di queste misure è proteggere i sistemi informatici e di rete da attacchi, prevenire o ridurre al minimo l’impatto di eventuali incidenti e garantire la continuità dei servizi erogati. Come evidenziato nell’Articolo 21, le misure di gestione dei rischi devono essere comprensive, partendo sempre dall’analisi dei rischi, e includendo la gestione degli incidenti, i piani di continuità operativa, la sicurezza della catena di approvvigionamento e le pratiche di igiene informatica, inclusa la formazione.

La valutazione e la gestione della sicurezza all’interno della catena di approvvigionamento diventano parte integrante e fondamentale degli obblighi di cybersicurezza. Anche i fornitori che non rientrerebbero autonomamente nel perimetro NIS2 potrebbero trovarsi a dover implementare specifiche misure di sicurezza per soddisfare i requisiti dei loro clienti che, invece, sono soggetti alla direttiva. Questo crea un impatto normativo indiretto su un numero molto più ampio di aziende.

Se un’organizzazione rientra nell’ambito di applicazione della Direttiva NIS2, è opportuno che inizi quanto prima a programmare e implementare gli interventi di cybersicurezza necessari, senza necessariamente attendere le scadenze legali. Queste misure dovrebbero essere considerate non solo un obbligo normativo, ma una componente necessaria per la salute, la resilienza e la sopravvivenza stessa dell’organizzazione in un panorama di cyber minacce in continua evoluzione.