Direttiva nis2: grafica con lucchetto digitale e stelle UE che rappresentano la nuova normativa europea sulla cybersecurity.

Direttiva NIS2, chi è interessato, le scadenze e come adeguarsi

AGGIORNATO A LUGLIO 2025

La Direttiva NIS2, entrata ufficialmente in vigore il 17 ottobre 2024, rappresenta un’evoluzione significativa della precedente normativa europea in materia di sicurezza delle reti e dei sistemi informativi. Il suo obiettivo è rafforzare la resilienza delle infrastrutture critiche di fronte alle minacce informatiche sempre più frequenti e complesse.
Il recepimento in Italia è avvenuto con il D.Lgs. 138/2023, che impone a tutte le organizzazioni classificate come essenziali o importanti l’adozione di misure tecniche, operative e organizzative per prevenire e gestire incidenti informatici.

Le novità più rilevanti introdotte dalla NIS2 includono:

  • Obblighi di notifica degli incidenti significativi secondo una procedura strutturata.
  • Standard di sicurezza più stringenti per reti, sistemi informativi e filiere di fornitura.
  • Un ampliamento del perimetro soggettivo, che coinvolge anche fornitori e subappaltatori.

La direttiva si integra inoltre con le principali normative europee su privacy e protezione dei dati, contribuendo a creare un quadro più coerente e sicuro per la trasformazione digitale. Tutte le organizzazioni interessate dovranno adeguarsi ai nuovi obblighi per evitare sanzioni e garantire la continuità dei servizi essenziali.

Cos’è la Direttiva NIS 2

La Direttiva NIS 2 è una normativa dell’Unione Europea che interviene e cambia profondamente la precedente Direttiva NIS.
Questo quadro normativo si propone di creare una strategia cyber comune a tutti gli stati membri, con l’obiettivo principale di aumentare i livelli di sicurezza dei servizi digitali in tutta l’area UE.

La Direttiva NIS 2 va ad integrarsi con le varie normative e linee guida Europee in tema di protezione dati e privacy, prima fra tutte il Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR) ma, anche il Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, il Perimetro di Sicurezza Nazionale Cibernetica.

Il suo obiettivo principale è quello di rafforzare le misure cyber security soprattutto in quei settori critici che potrebbero seriamente compromettere intere nazioni come energia, trasporti e servizi finanziari.

L’impatto della Direttiva NIS 2 sulle aziende sarà significativo, poiché saranno obbligate ad adottare misure di sicurezza cibernetica più rigorose rispetto a prima. Saranno particolarmente coinvolti i fornitori di servizi digitali che dovranno notificare alle autorità competenti eventuali incidenti di sicurezza entro 24 ore (anziché 72 come imposto dal GDPR), al fine di garantire una risposta rapida e coordinata.

Quali sono le scadenze della NIS 2

Per conformarsi alla direttiva NIS2, le aziende e le pubbliche amministrazioni devono rispettare questo calendario:

  • Entro il 31 dicembre 2024. Autovalutazione interna sul portale ACN per verificare se l’organizzazione rientra tra i soggetti obbligati. Questo passaggio richiede un’analisi delle proprie attività e del settore in cui operano per comprendere l’impatto della normativa sulla loro struttura.
  • 1 gennaio – 28 febbraio 2025. Registrazione formale sul portale ACN per tutti i soggetti identificati come “essenziali” o “importanti”.
  • Entro il 31 luglio 2025. le organizzazioni sono chiamate a caricare o aggiornare sul portale ACN tutte le informazioni previste dalla NIS2 – dalle misure tecniche e organizzative al Punto di Contatto – assicurando che nulla resti incompleto prima della scadenza definitiva.
  • 1 gennaio 2026. Questa è la data di piena operatività della normativa, a partire dalla quale entra in vigore l’obbligo di notifica degli incidenti secondo le nuove modalità definite da ACN.
  • 1 ottobre 2026. Le imprese dovranno aver implementato tutte le misure di sicurezza.

Quali aziende devono adeguarsi alla NIS2

Migliaia di aziende ed enti pubblici dell’Unione Europea dovranno adottare livelli più elevati di cybersecurity e processi di notifica degli incidenti. È importante notare che verranno coinvolti anche i loro fornitori e i partner di outsourcing.

I settori coinvolti dalla Direttiva passano da 6 a 18 e sono i seguenti.

NIS 2, chi sono i soggetti essenziali

L’obbligo di adeguamento riguarda tutte le aziende, indipendentemente dalle dimensioni, che operano dei seguenti settori:

  • Energia: produzione, distribuzione e fornitura di elettricità, gas e petrolio.
  • Trasporti: settore ferroviario, aereo, marittimo e stradale.
  • Banche e infrastrutture finanziarie: istituzioni bancarie e infrastrutture di mercato finanziario.
  • Sanità: ospedali, cliniche e fornitori di servizi sanitari.
  • Acqua potabile e gestione delle acque reflue: distribuzione e trattamento delle acque.
  • Infrastrutture digitali: servizi di cloud computing, data center e reti di distribuzione di contenuti (CDN).
  • Pubblica amministrazione centrale: ministeri, agenzie nazionali e altre istituzioni centrali.

NIS 2, chi sono i soggetti importanti

L’obbligo di adeguamento in questo caso riguarda invece solo medie e grandi imprese.

  • Servizi postali e di corrieri
  • Gestione dei rifiuti
  • Produzione e distribuzione alimentare
  • Pubblica amministrazione locale
  • Servizi digitali
  • Settori manifatturieri essenziali per l’economia e la sicurezza: includono aziende manifatturiere la cui produzione è fondamentale per la stabilità economica o la sicurezza nazionale, come la produzione di macchinari, tecnologie avanzate, semiconduttori, prodotti farmaceutici e materiali per infrastrutture critiche.

La direttiva NIS2 è generalmente applicabile a qualsiasi soggetto che opera in questi settori, e che, in base alla terminologia del diritto europeo, raggiunge le soglie previste per definire le imprese di medie dimensioni. Di solito, questo avviene quando il soggetto ha almeno 50 dipendenti o un fatturato annuo o un bilancio annuo totale superiore ai 10 milioni di EUR.

Le micro e piccole imprese (con meno di 50 dipendenti e un fatturato annuo inferiore a 10 milioni di euro) sono esentate, salvo che operino come fornitori per le aziende dei settori regolamentati.

Adeguamento alla direttiva NIS2 per i fornitori

La direttiva NIS2 si applica anche ai fornitori e subappaltatori delle aziende critiche ed essenziali, richiedendo che rispettino gli stessi standard di sicurezza. Ciò significa che le imprese che forniscono beni o servizi alle aziende soggette alla NIS 2 dovranno verificare il proprio livello di conformità. L’obiettivo è garantire che l’intera catena di approvvigionamento sia protetta da potenziali vulnerabilità, evitando che i fornitori diventino punti di accesso per gli attacchi informatici.

Come adeguarsi alla NIS2?

Per rispettare gli obblighi della Direttiva NIS2, le aziende classificate come soggetti “essenziali” o “importanti” devono adottare misure tecniche, operative e organizzative adeguate e proporzionate alla natura dei rischi a cui sono esposte.

L’obiettivo è duplice: prevenire gli incidenti di sicurezza informatica e garantire una risposta tempestiva ed efficace in caso di compromissione.

Il riferimento normativo di maggiore rilievo è l’Articolo 21 della Direttiva, che elenca in modo dettagliato le misure di sicurezza richieste a livello europeo. Tali misure sono state recepite integralmente nel decreto legislativo italiano, diventando vincolanti per tutte le organizzazioni incluse nel perimetro della NIS2.

Misure di sicurezza principali della NIS2

Ecco le misure dettagliate che devono essere implementate:

  1. Politiche di analisi dei rischi e di sicurezza: tutte le organizzazioni devono definire politiche formali per l’analisi e la gestione dei rischi legati ai sistemi informativi e di rete.
  2. Gestione degli incidenti: implementazione di processi strutturati per la gestione degli incidenti, inclusi strumenti e procedure per notificare tempestivamente incidenti di sicurezza alle autorità competenti.
  3. Continuità operativa: predisposizione di piani di backup e ripristino in caso di disastri. Questo include misure per garantire la continuità delle operazioni anche in caso di incidenti gravi.
  4. Sicurezza della catena di approvvigionamento: le aziende devono assicurare che anche i loro fornitori e subappaltatori adottino misure di sicurezza equivalenti, garantendo così la protezione lungo tutta la catena di fornitura.
  5. Sicurezza nello sviluppo e nella manutenzione dei sistemi: tutte le fasi di sviluppo e manutenzione dei sistemi informativi devono includere misure per la gestione delle vulnerabilità e per evitare l’introduzione di rischi.
  6. Valutazione dell’efficacia delle misure di sicurezza: le organizzazioni devono monitorare e valutare periodicamente l’efficacia delle proprie misure di sicurezza, apportando modifiche quando necessario.
  7. Uso della crittografia: dove necessario, le aziende devono implementare la crittografia per proteggere i dati sensibili, garantendo riservatezza e integrità delle informazioni​.
  8. Corsi di formazione obbligatori per i manager e personale: Ogni organizzazione rientrante nel perimetro della normativa è tenuta a progettare e attuare programmi strutturati di formazione sulla cybersecurity, rivolti a tutti i livelli aziendali.

Formazione obbligatoria NIS2

Per il personale operativo, la formazione deve essere concreta, ricorrente e focalizzata sui rischi reali: phishing, uso improprio delle credenziali, gestione sicura dei dispositivi, riconoscimento di tentativi di social engineering e conoscenza delle procedure interne di segnalazione degli incidenti.

Per ridurre l’errore umano e formare il personale non tecnico abbiamo creato un corso base di cybersecurity per dipendenti: online, chiaro e concreto.

Ma la vera novità introdotta dalla NIS2 riguarda gli organi direttivi. La normativa stabilisce che manager e amministratori non solo debbano approvare le strategie di sicurezza informatica e monitorarne l’attuazione, ma siano essi stessi obbligati a ricevere una formazione specifica. Devono infatti acquisire una comprensione approfondita dei rischi informatici, delle implicazioni normative e delle responsabilità legate al loro ruolo.

In particolare, la Direttiva impone che:

  • Le aziende promuovano percorsi formativi online per tutti i dipendenti, in modo da diffondere conoscenze e competenze utili per riconoscere i rischi e valutare le pratiche di gestione della sicurezza informatica.
  • gli organi di amministrazione seguano una formazione obbligatoria in materia di cybersecurity. Per rispondere a questa esigenza, oltre al corso di cybersecurity per dipendenti in modalità e-learning, proponiamo soluzioni di formazione in presenza NIS2 specifica per la dirigenza.

Notifica incidenti NIS2

Un’altra importante novità introdotta dalla Direttiva NIS2 riguarda l’obbligo di notificare tempestivamente gli incidenti di sicurezza informatica. Le aziende soggette devono seguire un processo strutturato e a più fasi, con scadenze precise e comunicazioni da inviare al CSIRT Italia (ACN). Questo sistema di notifiche serve a garantire trasparenza, rapidità di risposta e un migliore coordinamento in caso di attacco o compromissione dei sistemi.

Il processo di notifica è suddiviso in più fasi ed è dettato da tempistiche precise:

  • Prenotifica: entro le prime 24 ore dall’individuazione di un incidente, l’azienda deve inviare una prenotifica iniziale alle autorità competenti, indicando che si è verificato un problema e fornendo una stima preliminare della situazione.
  • Notifica completa: entro 72 ore, è necessaria una notifica dettagliata con informazioni più precise sull’incidente, le cause principali e le prime misure adottate per contenerlo.
  • Relazione intermedia: se l’incidente persiste, l’azienda deve fornire una relazione intermedia entro un mese, aggiornando sulle attività di mitigazione e sugli effetti residui.
  • Relazione finale: una volta risolta la situazione, è richiesta una relazione finale con un’analisi completa dell’incidente e delle lezioni apprese, contribuendo a migliorare la risposta futura.

Obbligo di notifica esteso ai destinatari dei servizi delle aziende colpite

Un’importante novità introdotta dalla Direttiva NIS2 è l’obbligo di informare non solo le autorità, ma anche i destinatari dei servizi erogati dall’azienda colpita, qualora l’incidente possa avere un impatto diretto su di loro. Questo obbligo riguarda, per esempio, clienti o partner le cui operazioni potrebbero essere influenzate dall’incidente. In questo modo, si permette agli utenti finali di adottare a loro volta misure di precauzione per limitare le conseguenze di un attacco e garantire una maggiore trasparenza e responsabilità nel settore.

Quali sono le sanzioni per chi non si adegua alla Direttiva NIS2?

Le sanzioni previste per il mancato rispetto degli obblighi della Direttiva NIS2 sono piuttosto severe, al fine di incentivare l’adozione delle misure necessarie. Per i soggetti considerati essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale annuo dell’azienda, a seconda di quale cifra sia maggiore. Per i soggetti classificati come importanti, le sanzioni possono raggiungere i 7 milioni di euro o l’1,4% del fatturato globale.

Per quanto riguarda le sanzioni penali si rimanda tutto alla specifica legislazione che ogni Stato Membro produrrà in materia, tenendo presente che, in Italia, è prevista la reclusione fino a 7 anni per violazioni gravi della privacy.

Queste importi sanzioni sottolineano la serietà con cui la normativa intende promuovere la sicurezza informatica, e le autorità competenti potranno intervenire con multe e altre misure di controllo per chi non rispetta i requisiti.

Perché affidarsi a Comitel per l’adeguamento alla NIS2

Adeguarsi alla Direttiva NIS2 non è un semplice adempimento burocratico, ma un vero e proprio processo di trasformazione aziendale che coinvolge infrastrutture, processi, persone e responsabilità a più livelli. La complessità della normativa, la varietà degli obblighi e le tempistiche serrate richiedono un approccio strutturato e guidato da competenze specifiche.

Comitel è il partner giusto per accompagnarti in questo percorso, grazie a un’esperienza consolidata nei settori della cybersecurity, dei data center, della continuità operativa e della formazione. Mettiamo a disposizione:

  • Una consulenza personalizzata per analizzare la posizione della tua azienda rispetto alla normativa e capire se rientri tra i soggetti obbligati.
  • Un supporto tecnico e legale integrato, in collaborazione con esperti in contatto diretto con ACN, per garantire conformità e aggiornamento costante.
  • Soluzioni pratiche e concrete, dalla valutazione dei rischi alla progettazione delle misure di sicurezza, fino alla formazione obbligatoria di manager e dipendenti.
  • Corsi e-learning e in presenza progettati per aumentare la consapevolezza e ridurre il rischio umano, uno degli elementi più critici della sicurezza informatica.
  • Assistenza nei rapporti con ACN, per gestire correttamente registrazioni, notifiche e tutti gli adempimenti richiesti.

Affrontare la NIS2 con il giusto partner significa trasformare un obbligo normativo in un’opportunità per rafforzare la resilienza della tua organizzazione, prevenire incidenti e proteggere la continuità del business.

Comitel ti offre gli strumenti, la visione e le competenze per farlo.

 

Leggi altre News

Torna su