Direttiva NIS2: cos'è, a chi si applica e come ottenere la conformità

Cos'è la direttiva NIS2?

La direttiva NIS2 rappresenta un punto di svolta nella legislazione europea sulla sicurezza informatica e ha l’obiettivo di rafforzare il livello di sicurezza informatica all'interno dell'Unione Europea, grazie anche all'effetto combinato a quello di altre direttive.

La conformità alla NIS2 non si limita a soddisfare un obbligo legale, ma si configura come una pietra miliare strategica per le organizzazioni che cercano di proteggere i loro asset digitali e fisici, rafforzare la fiducia dei consumatori e migliorare la loro competitività sul mercato.

NIS2 in Italia: dal recepimento alle scadenze operative

Il Decreto Legislativo n. 138 che recepisce la direttiva (UE) 2022/2555, meglio nota come Direttiva NIS2, è stato pubblicato in Gazzetta Ufficiale il primo ottobre 2024. Secondo il normale iter, il decreto legislativo entra in vigore dopo 15 giorni dalla pubblicazione; pertanto, il nuovo decreto NIS2 entra ufficialmente in vigore il 16 ottobre 2024. È possibile consultare il testo completo del decreto legislativo n. 138 tramite i canali ufficiali a questo link.

Il percorso attuativo è entrato nella fase operativa nel 2025 e 2026. L’ACN ha trasmesso le comunicazioni di inserimento nell’elenco dei soggetti NIS tra aprile e maggio 2025: da quella data decorrono nove mesi per l’avvio degli obblighi di notifica degli incidenti al CSIRT Italia e diciotto mesi per l’adozione delle misure di sicurezza di base, con scadenza concentrata in ottobre 2026. I soggetti inseriti per la prima volta nell’elenco nel 2026 seguono un calendario differito: notifica degli incidenti dal 1° gennaio 2027 e misure di sicurezza entro il 31 luglio 2027. Ogni anno, entro il 31 maggio, tutti i soggetti NIS sono tenuti ad aggiornare le informazioni sulla piattaforma ACN.

NIS2: definizione e obiettivi

La nuova direttiva NIS2 mira a stabilire una strategia comune di cybersecurity per tutti gli Stati membri, elevando i livelli di sicurezza dei servizi digitali su scala europea. Si integra con altre normative e linee guida sulla protezione dei dati e della privacy, come il GDPR, il Regolamento DORA, e il Cyber Resilience Act, per affrontare le minacce informatiche sempre più sofisticate e invasive, che hanno visto un incremento significativo negli ultimi anni.

Differenze rispetto alla direttiva NIS

La direttiva NIS 2 amplia la precedente direttiva NIS con una serie di cambiamenti significativi. In primo luogo, elimina la distinzione tra gli operatori di servizi essenziali (OSE) e i fornitori di servizi digitali (DSP), introducendo nuove categorie di operatori basate sull'importanza del servizio offerto.

Inoltre, estende gli obblighi di cybersecurity a un numero maggiore di settori e servizi considerati critici per il funzionamento socioeconomico dell'UE. Questi includono, oltre ai settori già coperti, piattaforme di cloud computing, data center e servizi sanitari.

La direttiva stabilisce anche un quadro più dettagliato per le misure di sicurezza, richiedendo un approccio multirischio e la segnalazione tempestiva di incidenti significativi alle autorità competenti.

NIS2, a chi si applica

La direttiva NIS 2 ha ampliato l'ambito di applicazione rispetto alla precedente direttiva NIS, includendo una vasta gamma di settori e organizzazioni, sia pubbliche che private, con l'obiettivo di rafforzare la sicurezza informatica all'interno dell'Unione Europea.

• Settori ad alta criticità: questi settori sono considerati vitali per il funzionamento socioeconomico dell'UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica.
• Altri settori critici: in aggiunta, la NIS 2 identifica "altri settori critici", di cui fa parte un ulteriore gruppo di organizzazioni tenute a rispettare i requisiti di sicurezza imposti dalla direttiva.

Nello specifico, la direttiva si applica a tutte le organizzazioni medie e grandi operanti nei settori indicati, secondo i criteri dimensionali definiti dalla raccomandazione 2003/361/CE della Commissione europea. Ai fini della NIS2, la soglia rilevante è quella delle medie imprese: almeno 50 dipendenti oppure fatturato o bilancio annuo superiore a 10 milioni di euro. Le organizzazioni al di sotto di entrambe le soglie sono generalmente escluse, salvo casi specifici in cui la loro attività sia ritenuta critica a livello nazionale.

Requisiti principali della NIS2

La direttiva NIS 2 stabilisce una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica. Questi requisiti includono:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informatici
• Gestione degli incidenti
• Continuità operativa
• Sicurezza della catena di approvvigionamento
• Supply chain
• Sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete
• Strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity
• Pratiche di igiene digitale di base e formazione in materia di cybersicurezza
• Politiche e procedure relative all’uso della crittografia
• Sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi (hardware, software, dati)
• Uso di soluzioni di autenticazione a più fattori o di autenticazione continua

Particolare attenzione va prestata alla sicurezza della supply chain. Ecco perché è importante sapere cosa richiede la NIS2 in tema di supply chain: la direttiva impone alle aziende di identificare, valutare e gestire accuratamente i rischi associati a fornitori e partner, adottando misure preventive e controlli periodici per mitigare potenziali vulnerabilità lungo tutta la catena di approvvigionamento.

Questi requisiti sono progettati per garantire che le organizzazioni siano in grado di identificare, prevenire e rispondere efficacemente alle minacce informatiche, proteggendo così le infrastrutture critiche e i dati sensibili.

Dal 15 aprile 2026, con la Determinazione ACN n. 127437/2026, la gestione della sicurezza della supply chain è diventata un adempimento formale: ogni anno i soggetti NIS devono comunicare all’ACN l’elenco dei propri fornitori rilevanti, indicando denominazione, paese, codici CPV e criterio di rilevanza. Un fornitore è considerato rilevante se eroga servizi ICT oppure se la sua eventuale interruzione comprometterebbe la continuità dei servizi NIS, anche in assenza di alternative.

La norma include le dipendenze non digitali non fungibili: non solo cloud provider e MSP, ma qualsiasi fornitore critico per l’operatività. Per le aziende del Nord Italia con filiere articolate — manifattura, logistica, servizi alle imprese — questo si traduce in una mappatura strutturata della catena di fornitura e in una revisione delle clausole contrattuali con i fornitori qualificati come rilevanti.

Vantaggi della NIS2 e come implementarla

Benefici della NIS2 per le aziende

La direttiva NIS2 offre numerosi benefici concreti per le aziende, promuovendo un ambiente digitale più sicuro e resiliente. Innanzitutto, adottare strategie di cyber resilience basate sui requisiti della NIS2 può contribuire a migliorare l’igiene digitale e la postura di sicurezza di un’organizzazione, con l'obiettivo di ridurre il rischio di incidenti informatici, rafforzare la resilienza informatica e favorire la continuità operativa.

Adottare pratiche di gestione del rischio e governance della sicurezza informatica, come richiesto dalla direttiva, può anche contribuire positivamente allo sviluppo di una cultura interna orientata alla cybersecurity e alla cyber resilience. La diffusione di una cultura aziendale della cybersecurity può aumentare la consapevolezza e la preparazione del personale, potenzialmente rendendo l'azienda più robusta di fronte alle minacce emergenti.

Inoltre, le disposizioni della direttiva sono legge dal 2024 e la non conformità di un’organizzazione è sanzionata dallo Stato italiano. È quindi fondamentale che tutte le organizzazioni che rientrano nell’ambito di applicazione della NIS2 ottengano la conformità con la direttiva per evitare sanzioni da parte delle autorità competenti.

Come prepararsi all'implementazione

Per prepararsi all'implementazione, chi è tenuto o decide di applicare la NIS2 in azienda deve iniziare con una valutazione del rischio per pianificare le misure appropriate. È fondamentale stabilire un solido quadro di governance per identificare e documentare ruoli e responsabilità delle principali parti interessate.

Un altro aspetto chiave è la formazione regolare dei dipendenti per sensibilizzarli e diffondere pratiche comuni di igiene digitale. Si rende necessario un approccio strutturato alle soluzioni di cybersecurity per la NIS2, con il supporto di un team qualificato con un profondo know-how in ambito IT, in modo da elevare la postura di sicurezza e rafforzare la resilienza. Infine, è importante condurre valutazioni periodiche del rischio e controlli di sicurezza regolari per mantenere aggiornate le soluzioni di cybersecurity.

Dal gennaio 2026 l’obbligo di notifica degli incidenti significativi è pienamente operativo per i soggetti inseriti nell’elenco NIS nel 2025. Le organizzazioni devono essere in grado di rilevare un incidente, qualificarlo secondo i criteri della Determinazione ACN n. 379907/2025 e attivare il flusso verso il CSIRT Italia: pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro 30 giorni. Questo richiede strumenti di monitoraggio operativi, ruoli definiti e procedure documentate. Un assessment preventivo della propria capacità di risposta è il punto di partenza più utile.

Soggetti essenziali e soggetti importanti: quali differenze?

La NIS2 classifica i soggetti obbligati in due categorie, con obblighi e regime sanzionatorio distinti. I soggetti essenziali operano negli undici settori ad alta criticità (energia, trasporti, banche, infrastrutture finanziarie, sanità, acqua potabile, acque reflue, infrastrutture digitali, servizi ICT B2B, pubblica amministrazione, spazio) e sono sottoposti a vigilanza proattiva da parte dell’ACN.

I soggetti importanti operano negli altri sette settori critici (servizi postali, gestione rifiuti, chimica, alimentare, manifattura di determinati prodotti, fornitori di servizi digitali, ricerca) e sono soggetti a vigilanza reattiva, attivata cioè in seguito a segnalazioni o incidenti. In entrambi i casi si applicano gli stessi obblighi di sicurezza e notifica; ciò che cambia è l’intensità dei controlli e l’entità massima delle sanzioni.

Sanzioni NIS2: quanto si rischia

Il regime sanzionatorio introdotto dal D.Lgs. 138/2024 è differenziato per categoria. Per i soggetti essenziali le sanzioni amministrative arrivano fino a 10 milioni di euro oppure al 2% del fatturato annuo globale, se superiore. Per i soggetti importanti il tetto è di 7 milioni di euro oppure dell’1,4% del fatturato annuo globale. Oltre alle sanzioni pecuniarie, l’ACN può disporre misure correttive obbligatorie, audit di sicurezza e, nei casi più gravi per i soggetti essenziali, la sospensione temporanea dell’attività.

Un elemento spesso sottovalutato è la responsabilità personale dei vertici aziendali: la NIS2 prevede che gli organi di amministrazione e direzione siano direttamente responsabili del rispetto degli obblighi e possano rispondere in prima persona in caso di violazioni gravi. Questo rende l’adeguamento una questione che riguarda il CdA e l’AD, non solo il reparto IT.

Le scadenze NIS2 in sintesi

Le principali scadenze NIS2 2026 per i soggetti già inseriti nell’elenco NIS nel 2025:

• notifica degli incidenti significativi al CSIRT Italia operativa da gennaio 2026;
• adozione delle misure di sicurezza di base entro ottobre 2026;
• aggiornamento annuale delle informazioni sulla piattaforma ACN entro il 31 maggio di ogni anno; comunicazione dei fornitori rilevanti nell’ambito dell’aggiornamento annuale (Determinazione ACN 127437/2026). Per i soggetti inseriti per la prima volta nell’elenco nel 2026: notifica degli incidenti dal 1° gennaio 2027; misure di sicurezza di base entro il 31 luglio 2027.

Domande frequenti sulla direttiva NIS2

La mia azienda è obbligata a adeguarsi alla NIS2?

L’obbligo si applica alle organizzazioni con almeno 50 dipendenti o fatturato annuo superiore a 10 milioni di euro che operano in uno dei settori identificati dalla direttiva. Se la tua azienda opera in ambiti come produzione di dispositivi medici, energia, trasporti, infrastrutture digitali o servizi ICT B2B, è opportuno verificare la propria posizione. In alcuni casi anche organizzazioni più piccole rientrano negli obblighi, se svolgono funzioni critiche per lo Stato o sono elementi non sostituibili nella catena di fornitura di un soggetto NIS.

Qual è la differenza tra soggetto essenziale e soggetto importante?

I soggetti essenziali operano negli undici settori ad alta criticità e sono sottoposti a vigilanza proattiva da parte dell’ACN. I soggetti importanti operano negli altri sette settori critici e sono controllati su base reattiva. Gli obblighi di sicurezza e notifica sono gli stessi per entrambe le categorie; cambiano l’intensità della supervisione e i massimali sanzionatori: fino a 10 milioni di euro (o 2% del fatturato) per gli essenziali, fino a 7 milioni di euro (o 1,4% del fatturato) per gli importanti.

Quali misure tecniche richiede concretamente la NIS2?

La direttiva richiede un approccio multirischio che comprende: autenticazione a più fattori, cifratura dei dati, monitoraggio continuo dei sistemi, gestione strutturata degli incidenti, piani di business continuity e disaster recovery, controllo della sicurezza nella catena di fornitura e formazione del personale. Le misure devono essere proporzionate al profilo di rischio dell’organizzazione e documentate in modo difendibile di fronte all’autorità di vigilanza.

Cosa rischia un’azienda che non si adegua alla NIS2?

Per i soggetti essenziali le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato annuo globale. Per i soggetti importanti il tetto è di 7 milioni di euro o dell’1,4% del fatturato. Le autorità possono disporre audit obbligatori, misure correttive e, nei casi più gravi, la sospensione temporanea dell’attività. I vertici aziendali possono essere ritenuti personalmente responsabili in caso di violazioni gravi.

Come si avvia un percorso di adeguamento alla NIS2?

Il punto di partenza è una gap analysis: un’analisi della situazione attuale rispetto ai requisiti della direttiva, che permette di identificare le lacune prioritarie e costruire un piano d’azione con tempi e responsabilità definiti. Per molte PMI del Nord Italia questo passaggio rivela che le misure in uso — backup, firewall, antivirus — non sono sufficienti a soddisfare i requisiti NIS2, che presuppongono un approccio alla sicurezza più sistematico e documentato. ACS conduce assessment strutturati per accompagnare le aziende del Triveneto e dell’Emilia-Romagna in questa fase.

La NIS2 si applica anche alle PMI?

Le micro e piccole imprese (sotto i 50 dipendenti e i 10 milioni di fatturato) sono generalmente escluse. Esistono però eccezioni: se una PMI è fornitore unico di un servizio essenziale, svolge funzioni critiche per lo Stato o il suo impatto in caso di incidente sarebbe rilevante a livello nazionale, può rientrare negli obblighi NIS2 indipendentemente dalle dimensioni. Dal 2026, con l’obbligo di comunicare i fornitori rilevanti, anche alcune PMI fornitrici di soggetti NIS potrebbero trovarsi coinvolte indirettamente nel perimetro normativo.

Guida ACS: i requisiti della nuova direttiva europea NIS2

Per supportare le aziende nel percorso di adeguamento alla direttiva, ACS offre consulenza e strumenti operativi, tra cui la pratica checklist NIS2 per una corretta familiarizzazione con i nuovi requisiti, oltre a una guida operativa per applicare la NIS2 in azienda.