La Direttiva NIS 2 (Network and Information Security Directive 2) è il nuovo quadro normativo europeo pensato per rafforzare la sicurezza informatica di enti pubblici e privati. Entrata in vigore nel gennaio 2023, dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024.
In Italia, sarà l’Agenzia per la Cybersicurezza Nazionale (ACN) a vigilare sull’adeguamento e sull’applicazione degli obblighi previsti. Il testo amplia la portata della precedente Direttiva NIS 1 del 2016, introducendo nuovi settori, criteri di rischio, obblighi di governance e pesanti sanzioni per chi non si adegua.
La NIS 2 nasce per colmare le lacune della precedente normativa. Estende il perimetro degli obblighi a più categorie di soggetti, definendo in maniera più rigorosa le misure minime di sicurezza informatica che devono essere adottate.
Le principali novità includono:
NIS 2 impone agli enti di dimostrare non solo il rispetto formale della normativa, ma l’effettiva implementazione di politiche di sicurezza, misure tecniche, controlli interni e formazione del personale.
Rispetto alla NIS 1, la nuova normativa coinvolge una platea molto più ampia. Le organizzazioni vengono classificate in:
La soglia di inclusione si basa su criteri dimensionali e di impatto sistemico. In particolare, le aziende con oltre 50 dipendenti e 10 milioni di euro di fatturato sono generalmente incluse, salvo eccezioni per microimprese.
Anche molte PMI rientrano nella direttiva, soprattutto se operano in settori strategici o forniscono servizi a soggetti essenziali.
Per chi rientra, l’adeguamento non è facoltativo: si tratta di un obbligo di legge.
Le organizzazioni interessate devono adottare una serie di misure minime di sicurezza informatica, tra cui:
Il mancato rispetto degli obblighi può portare a sanzioni pecuniarie fino a 10 milioni di euro o al 2% del fatturato.
L’ACN è l’Autorità nazionale di riferimento. Ha il compito di:
Il recepimento della direttiva in Italia prevede anche la cooperazione con il Garante Privacy, l’AGID e altri organismi di regolazione.
Le linee guida operative sono in fase di definizione, ma molte imprese hanno già avviato piani di adeguamento per non trovarsi impreparate.
Adeguarsi alla Direttiva NIS 2 richiede un approccio strategico e proattivo. Ecco i passi consigliati:
È consigliato l’affiancamento di esperti per garantire la piena conformità normativa.
Anche realtà apparentemente piccole, come imprese digitali o fornitori SaaS, possono essere coinvolte se offrono servizi critici o operano in settori a rischio.
La gestione del proprio sito web non è esente: molti attacchi informatici partono da vulnerabilità legate al sito. La direttiva impone anche in questo ambito:
Inoltre, le notifiche di incidente devono includere anche compromissioni del sito se impattano la continuità operativa o la riservatezza dei dati trattati.
La NIS 2 non sostituisce il GDPR ma lo integra. Le due normative condividono obiettivi comuni — protezione dei dati, responsabilità, notifica degli incidenti — ma agiscono su fronti diversi.
Il GDPR si concentra sui dati personali e i diritti degli interessati, mentre la NIS 2 si focalizza sulla sicurezza delle infrastrutture digitali e dei sistemi IT.
Tuttavia, spesso le violazioni cibernetiche generano anche data breach, attivando quindi entrambi gli obblighi: notificare l’ACN secondo la NIS 2 e il Garante Privacy secondo l’art. 33 del GDPR.
È quindi fondamentale costruire una strategia coordinata, che consideri entrambe le normative come parte di un unico piano di sicurezza e conformità digitale.
Verifica se la tua attività è soggetta alla Direttiva NIS 2. Richiedi una video-call gratuita con i nostri esperti di compliance e cybersecurity.
