Direttiva NIS 2: Normativa, Obblighi e Adempimenti

Un po’ di Storia

La Direttiva NIS 2 (Network and Information Security Directive 2) è il nuovo quadro normativo europeo pensato per rafforzare la sicurezza informatica di enti pubblici e privati. Entrata in vigore nel gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024.
In Italia, sarà l’Agenzia per la Cybersicurezza Nazionale (ACN) a vigilare sull’adeguamento e sull’applicazione degli obblighi previsti. Il testo amplia la portata della precedente Direttiva NIS 1 del 2016, introducendo nuovi settori, criteri di rischio, obblighi di governance e pesanti sanzioni per chi non si adegua.

Cos’è la Direttiva NIS2 e cosa cambia rispetto alla NIS1

La NIS 2 nasce per colmare le lacune della precedente normativa. Estende il perimetro degli obblighi a più categorie di soggetti, definendo in maniera più rigorosa le misure minime di sicurezza informatica che devono essere adottate.
Le principali novità includono:

• Obblighi più stringenti in termini di gestione del rischio e risposta agli incidenti
• Ampliamento dei soggetti obbligati, inclusi operatori digitali e fornitori di servizi IT
• Poteri sanzionatori più forti da parte delle autorità nazionali
• Maggiore cooperazione tra Stati membri

NIS 2 impone agli enti di dimostrare non solo il rispetto formale della normativa, ma l’effettiva implementazione di politiche di sicurezza, misure tecniche, controlli interni e formazione del personale.

Chi deve adeguarsi alla Direttiva NIS 2

Rispetto alla NIS 1, la nuova normativa coinvolge una platea molto più ampia. Le organizzazioni vengono classificate in:

• Enti essenziali (es. energia, sanità, trasporti, banche, pubblica amministrazione)
• Enti importanti (es. fornitori di servizi digitali, produttori di hardware/software critico, data center, enti postali, gestione acque e rifiuti)

La soglia di inclusione si basa su criteri dimensionali e di impatto sistemico. In particolare, le aziende con oltre 50 dipendenti e 10 milioni di euro di fatturato sono generalmente incluse, salvo eccezioni per microimprese.

Anche molte PMI rientrano nella direttiva, soprattutto se operano in settori strategici o forniscono servizi a soggetti essenziali.

Per chi rientra, l’adeguamento non è facoltativo: si tratta di un obbligo di legge.

Obblighi previsti dalla Direttiva NIS 2

Le organizzazioni interessate devono adottare una serie di misure minime di sicurezza informatica, tra cui:

• Politiche di gestione del rischio informatico e della supply chain
• Sistemi di rilevamento e risposta agli incidenti
• Meccanismi di continuità operativa e disaster recovery
• Gestione delle vulnerabilità
• Formazione del personale
• Report tempestivi di incidenti significativi (entro 24 ore)
• Nomina di un referente per la cybersecurity
• Verifica periodica della conformità tramite audit

Il mancato rispetto degli obblighi può portare a sanzioni pecuniarie fino a 10 milioni di euro o al 2% del fatturato.

Il ruolo dell’ACN e il recepimento italiano

L’ACN è l’Autorità nazionale di riferimento. Ha il compito di:

• Definire gli standard tecnici per l’adeguamento
• Gestire il registro degli enti soggetti a NIS 2
• Ricevere e analizzare le notifiche di incidente
• Effettuare controlli e ispezioni
• Comminare sanzioni

Il recepimento della direttiva in Italia prevede anche la cooperazione con il Garante Privacy, l’AGID e altri organismi di regolazione.

Le linee guida operative sono in fase di definizione, ma molte imprese hanno già avviato piani di adeguamento per non trovarsi impreparate.

Come prepararsi alla conformità NIS 2

Adeguarsi alla Direttiva NIS 2 richiede un approccio strategico e proattivo. Ecco i passi consigliati:

1. Analisi di rischio iniziale: valutare l’attuale esposizione e i punti critici
2. Gap analysis: confronto tra lo stato attuale e i requisiti della direttiva
3. Piano di intervento: definizione delle misure tecniche e organizzative da adottare
4. Nomina dei referenti interni e definizione delle responsabilità
5. Documentazione: aggiornamento delle policy, procedure e registri di sicurezza
6. Formazione continua del personale e test periodici

È consigliato l’affiancamento di esperti per garantire la piena conformità normativa.

Perché la NIS 2 riguarda anche chi ha un sito web

Anche realtà apparentemente piccole, come imprese digitali o fornitori SaaS, possono essere coinvolte se offrono servizi critici o operano in settori a rischio.

La gestione del proprio sito web non è esente: molti attacchi informatici partono da vulnerabilità legate al sito. La direttiva impone anche in questo ambito:

• l’uso di connessioni HTTPS sicure e certificate
• la protezione contro attacchi DDoS, brute force e SQL injection
• il controllo degli accessi amministrativi
• la segmentazione dei dati raccolti tramite form o aree riservate
• la gestione sicura degli aggiornamenti di CMS e plugin

Inoltre, le notifiche di incidente devono includere anche compromissioni del sito se impattano la continuità operativa o la riservatezza dei dati trattati.

NIS 2 e privacy: cosa cambia con il GDPR

La NIS 2 non sostituisce il GDPR ma lo integra. Le due normative condividono obiettivi comuni — protezione dei dati, responsabilità, notifica degli incidenti — ma agiscono su fronti diversi.

Il GDPR si concentra sui dati personali e i diritti degli interessati, mentre la NIS 2 si focalizza sulla sicurezza delle infrastrutture digitali e dei sistemi IT.

Tuttavia, spesso le violazioni cibernetiche generano anche data breach, attivando quindi entrambi gli obblighi: notificare l’ACN secondo la NIS 2 e il Garante Privacy secondo l’art. 33 del GDPR.

È quindi fondamentale costruire una strategia coordinata, che consideri entrambe le normative come parte di un unico piano di sicurezza e conformità digitale.

Verifica se la tua attività è soggetta alla Direttiva NIS 2. Richiedi una video-call gratuita con i nostri esperti di compliance e cybersecurity.