NIS2: cos’è e cosa cambia per le aziende
La normativa NIS2 (Network and Information Security 2) rappresenta il pilastro fondamentale della nuova strategia di difesa digitale dell’Unione Europea. Sostituendo la precedente direttiva del 2016, la NIS2 introduce standard di sicurezza molto più elevati e uniformi per tutti i 27 Stati membri. L’obiettivo della NIS2 è costruire una resilienza sistemica capace di proteggere le infrastrutture critiche da attacchi sempre più sofisticati, come il ransomware e le offensive alla supply chain.
Chi sono i soggetti obbligati dalla NIS2
L’ambito di applicazione della NIS2 è estremamente più vasto di prima, e coinvolge settori che prima ne erano esclusi. La NIS2 distingue tra Entità Essenziali ed Entità Importanti: le aziende che rientrano nel perimetro della NIS2 sono classificate in base alla criticità del servizio offerto e alle loro dimensioni. Settori come energia, trasporti, sanità e banche sono considerati essenziali dalla NIS2, mentre comparti come la gestione dei rifiuti, l’alimentare e il manifatturiero sono definiti importanti dalla NIS2. Non manca l’estensione del perimetro anche a comparti come le infrastrutture digitali e i fornitori di servizi cloud e data center, la gestione dei servizi ICT business-to-business, la pubblica amministrazione e il settore spaziale. L’inquadramento non è banale, dato che vi sono anche fattori dimensionali da considerare e alcune eccezioni previste dalla normativa.
Gli obblighi di sicurezza previsti dalla NIS2
Le organizzazioni soggette alla NIS2 devono implementare misure tecniche e organizzative rigorose. La NIS2 impone l’analisi dei rischi (con relative misure di sicurezza tecniche-organizzative), la gestione degli incidenti e la continuità operativa.
Un punto fondamentale della NIS2 riguarda la sicurezza della supply chain, obbligando le aziende a verificare anche la postura cyber dei propri fornitori. Inoltre la NIS2 richiede l’adozione estesa di strumenti “avanzati” come la crittografia e l’autenticazione a più fattori (MFA), per garantire la massima protezione dei dati.
Notifica incidenti e sanzioni nella NIS2
La NIS2 stabilisce tempi di reazione strettissimi in caso di attacco. Le aziende devono inviare un pre-allarme entro 24 ore dalla scoperta di un incidente significativo, seguito da una notifica integrata entro 72 ore, oltre a un report completo entro un mese. Le sanzioni per il mancato adeguamento alla NIS2 sono pesantissime: per le entità essenziali possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo. La NIS2 introduce anche la responsabilità diretta dei dirigenti, i quali possono rispondere personalmente delle inadempienze.
Scadenze e conformità alla NIS2
In Italia, il recepimento della NIS2 è avvenuto con il D.Lgs. 138/2024 che affida all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di autorità competente. Le aziende devono prepararsi alla NIS2 rispettando le scadenze operative – la prossima tappa è il pieno regime di notifica degli incidenti, previsto per l’inizio del 2026.
Adeguarsi alla NIS2 non è solo un obbligo normativo, può rappresentare un’opportunità strategica per rafforzare la fiducia dei clienti e la resilienza del business nel mercato globale. Man mano gli appalti pubblici imporranno sempre più la compliance con questa normativa, oltre a essere già richiesta da molte catene di fornitura (quindi anche chi non vi rientra per obbligo potrebbe doversi adeguare per poter lavorare con determinati clienti).
Sei un imprenditore e vuoi scoprire come fare per metterti in sicurezza con gli obblighi previsti dalla NIS2? Contatta lo Studio Legale IUSGATE. Ti aiuteremo a trovare la modalità più giusta per la tua azienda.
