La Direttiva NIS2 (Direttiva UE 2022/2555) è la nuova normativa europea sulla sicurezza delle reti e dei sistemi informativi. Rispetto alla precedente NIS, amplia enormemente il perimetro di applicazione. Se la tua azienda opera in determinati settori, hai nuovi obblighi da rispettare.

Cosa cambia rispetto alla NIS1

  • Più settori coinvolti — da 7 a 18 settori, inclusi manifattura, alimentare, chimico, gestione rifiuti
  • Dimensione — si applica a tutte le medie e grandi imprese dei settori coperti (50+ dipendenti o 10M+ fatturato)
  • Sanzioni più severe — fino a 10 milioni di euro o 2% del fatturato globale
  • Responsabilità del management — i dirigenti possono essere personalmente responsabili
  • Obbligo di notifica incidenti — entro 24 ore (allerta iniziale) e 72 ore (report dettagliato)

Chi deve adeguarsi

I settori essenziali (obblighi più stringenti):

  • Energia (elettricità, gas, petrolio, idrogeno)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Bancario e infrastrutture finanziarie
  • Sanità
  • Acqua potabile e acque reflue
  • Infrastruttura digitale e servizi ICT
  • Pubblica amministrazione
  • Spazio

I settori importanti (obblighi leggermente meno stringenti):

  • Servizi postali e corrieri
  • Gestione rifiuti
  • Chimica
  • Alimentare
  • Manifattura (dispositivi medici, computer, elettronica, macchinari, veicoli)
  • Fornitori di servizi digitali (marketplace, motori di ricerca, social network)
  • Ricerca

Cosa devi fare in pratica

1. Verifica se sei nel perimetro

Controlla se il tuo settore è tra quelli elencati e se superi le soglie dimensionali (50+ dipendenti o 10M+ fatturato). Se hai dubbi, contattaci per una valutazione.

2. Governance della sicurezza

Il management deve approvare e supervisionare le misure di sicurezza. Non può più essere “roba dell'IT”: i dirigenti sono personalmente responsabili.

3. Analisi del rischio

Identifica i tuoi asset critici, le minacce rilevanti e le vulnerabilità esistenti. Un vulnerability assessment è il punto di partenza.

4. Misure tecniche minime

  • Gestione degli incidenti (procedure, team, strumenti)
  • Continuità operativa e gestione delle crisi
  • Sicurezza della supply chain
  • Gestione delle vulnerabilità e aggiornamenti
  • Cifratura e controllo accessi
  • Autenticazione multi-fattore

5. Notifica degli incidenti

In caso di incidente significativo: allerta iniziale entro 24 ore, notifica completa entro 72 ore, report finale entro 1 mese. Servono procedure pronte prima che l'incidente accada.

Le sanzioni

Per i soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato globale. Per i soggetti importanti: fino a 7 milioni di euro o 1,4% del fatturato. Le autorità possono anche sospendere temporaneamente le certificazioni.

Quando scade

L'Italia ha recepito la NIS2 con il D.Lgs. 138/2024. Le aziende nel perimetro devono essere conformi. I controlli e le sanzioni sono già attivi.

Contattaci per una valutazione NIS2: verifichiamo se la tua azienda rientra nel perimetro e definiamo un piano di adeguamento.