Nis2, come adeguarsi ai nuovi obblighi cyber: i punti chiave

La Direttiva NIS2 (Direttiva UE 2022/2555) è una normativa europea che mira a rafforzare la resilienza delle infrastrutture IT dell’Unione Europea contro gli attacchi informatici. È entrata in vigore il 16 gennaio 2023, sostituendo la precedente direttiva del 2016 (NIS1), e deve essere recepita nelle legislazioni nazionali degli Stati membri entro il 17 ottobre 2024. La direttiva amplia significativamente i settori coperti e il numero di aziende potenzialmente interessate, introducendo un approccio olistico alla cybersecurity che considera i rischi in modo comprensivo, inclusi quelli associati alla catena del valore (subappaltatori, fornitori, ecc.).

La NIS2 introduce cambiamenti significativi rispetto alla precedente direttiva. Innanzitutto, espande notevolmente l’elenco dei settori interessati, aumentando di circa dieci volte il numero di aziende coinvolte. Elimina la distinzione tra Operatori di Servizi Essenziali e Fornitori di Servizi Digitali, sostituendola con due nuove categorie: entità essenziali e entità importanti, classificate in base alla criticità del servizio e alle dimensioni aziendali. Inoltre, la NIS2 adotta un approccio olistico alla cybersecurity, considerando i rischi lungo l’intera catena del valore e coinvolgendo direttamente i leader aziendali, che sono ora responsabili dell’approvazione e supervisione delle misure di sicurezza. Richiede anche l’adozione di misure tecniche, operative e organizzative proporzionate al rischio, superando l’approccio puramente tecnico della NIS1.

La Direttiva NIS2 ha ampliato significativamente i settori coperti rispetto alla precedente normativa. Tra i settori inclusi figurano: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT (B2B), pubblica amministrazione, spazio, produzione e distribuzione di prodotti chimici, produzione e distribuzione di alimenti, produzione di dispositivi medici, computer e prodotti elettronici, macchinari e attrezzature, veicoli a motore, fornitori di servizi digitali e di comunicazione elettronica, gestione dei rifiuti, produzione e distribuzione di prodotti postali e di corriere, e altri settori critici. Questa estensione riflette la crescente digitalizzazione dell’economia e la necessità di proteggere un numero maggiore di infrastrutture critiche.

La Direttiva NIS2 classifica le organizzazioni in due categorie principali: entità essenziali ed entità importanti, sostituendo la precedente distinzione tra Operatori di Servizi Essenziali e Fornitori di Servizi Digitali. Questa categorizzazione dipende dalla criticità del settore e dalle dimensioni dell’organizzazione. Le entità essenziali appartengono a settori considerati di importanza vitale e sono soggette a requisiti più rigorosi, inclusi controlli proattivi. Le entità importanti, pur essendo significative, sono sottoposte a un regime di vigilanza meno intenso, principalmente reattivo. La pubblica amministrazione e il settore pubblico seguono regole specifiche. Questa classificazione determina l’intensità degli obblighi di conformità e il livello di supervisione a cui sono sottoposte le organizzazioni.

La Direttiva NIS2 richiede alle entità di adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi di cybersecurity. Queste includono: analisi dei rischi e politiche di sicurezza informatica, gestione degli incidenti, continuità operativa e gestione delle crisi, sicurezza della catena di approvvigionamento, controlli di sicurezza nell’acquisizione e sviluppo di sistemi, procedure per valutare l’efficacia delle misure, pratiche di igiene informatica di base, formazione in cybersecurity, gestione della crittografia e della cifratura, sicurezza delle risorse umane, controlli di accesso, gestione degli asset e utilizzo dell’autenticazione multi-fattore. L’approccio deve essere olistico, considerando i rischi non solo all’interno dell’organizzazione ma anche lungo l’intera catena del valore, con particolare attenzione ai fornitori e partner.

La NIS2 introduce un rigoroso sistema di notifica degli incidenti che diventerà pienamente operativo dal 1° gennaio 2026. Un incidente è considerato “significativo” (e quindi soggetto a obbligo di notifica) quando provoca o può provocare una grave interruzione operativa dei servizi, perdite finanziarie per l’entità, o ha effetti su altre persone con significative perdite materiali o immateriali. Il processo di notifica prevede tre fasi chiave: una pre-notifica entro 24 ore dalla consapevolezza dell’incidente all’ACN/CSIRT Italia, una notifica formale entro 72 ore che include la valutazione dell’impatto e la natura dell’incidente, e un report finale entro un mese dal completamento della gestione dell’incidente. Per gli incidenti ancora in corso, sono richiesti report mensili di progresso. Questo sistema richiede procedure interne ben definite e tempestive.

La Direttiva NIS2 trasforma la cybersicurezza in un elemento strutturale della governance aziendale, attribuendo precise responsabilità agli organi di amministrazione e direzione. Questi devono approvare le misure di gestione dei rischi di cybersicurezza, sovrintendere alla loro attuazione e possono essere ritenuti direttamente responsabili per le violazioni degli obblighi normativi. Il decreto italiano di recepimento (d.lgs. 138/2024) affida agli organi direttivi l’approvazione delle modalità di implementazione delle misure di gestione dei rischi, la supervisione degli obblighi di gestione del rischio e di notifica degli incidenti, e la responsabilità per le violazioni. Inoltre, i membri di tali organi devono seguire una formazione adeguata e promuovere programmi formativi per il personale. Questa responsabilità non è delegabile come “tema tecnico” al solo CISO o all’ICT.

Un piano di formazione conforme alla NIS2 deve essere strutturato, coerente con il modello organizzativo e con il profilo di rischio dell’azienda. Deve coprire l’intero ciclo di vita del rischio informatico e includere contenuti differenziati per dipendenti e organi direttivi. Per i dipendenti, la formazione deve focalizzarsi sul riconoscimento delle minacce (phishing, social engineering), sull’utilizzo sicuro degli strumenti informatici, sulla gestione degli incidenti e sui principi di protezione dei dati. Per gli organi direttivi, invece, deve concentrarsi sul quadro normativo, sulla comprensione del contesto di minaccia, sul ruolo del board nella gestione degli incidenti e sulle responsabilità legali. Il piano deve essere approvato formalmente dal Consiglio di Amministrazione, documentato in modo puntuale e integrato con la formazione obbligatoria in materia di protezione dei dati personali prevista dal GDPR.

Le scadenze principali per l’implementazione della NIS2 si concentrano nel 2026, anno cruciale per la piena operatività della direttiva. Dal 1° gennaio 2026 diventeranno pienamente operativi gli obblighi di notifica degli incidenti secondo la direttiva e l’interazione con l’Agenzia per la Cybersicurezza Nazionale (ACN) e il CSIRT Italia. Ad inizio aprile 2026 è prevista la pubblicazione del “modello di categorizzazione” che stabilisce il processo e i criteri per l’elencazione e la categorizzazione delle attività dei soggetti essenziali ed importanti. Tra maggio e giugno 2026, le organizzazioni dovranno comunicare l’elenco delle attività e servizi erogati, comprensivi di caratterizzazione e definizione della loro rilevanza. Entro ottobre 2026 è fissato il termine ultimo per l’adozione delle misure di sicurezza di base, mentre a fine anno è previsto l’avvio delle attività di ispezione e verifica sistematica da parte dell’Autorità competente.

La NIS2 coinvolge anche le piccole e medie imprese, sebbene con un approccio proporzionato. Le PMI possono essere soggette alla direttiva se forniscono servizi, soluzioni o componenti a soggetti classificati come essenziali o importanti, essendo parte della catena di approvvigionamento. La direttiva tiene conto delle dimensioni, della complessità e del ruolo delle organizzazioni, non chiedendo alle PMI di comportarsi come grandi corporate, ma di adottare misure adeguate al proprio contesto. Inoltre, il Cybersecurity Act 2 ha introdotto una nuova categoria di “small mid-cap enterprises”, che possono essere designate come entità importanti anziché essenziali, riducendo proporzionalmente i loro obblighi di compliance. Per le PMI, è essenziale comprendere il proprio ruolo nell’ecosistema digitale, valutare i rischi reali e avviare un percorso strutturato di adeguamento.

Il decreto legislativo 138/2024 di recepimento della NIS2 ha configurato un apparato sanzionatorio graduato che colpisce sia i soggetti essenziali e importanti, sia le persone fisiche che rivestono ruoli apicali. Per le organizzazioni, le sanzioni pecuniarie possono arrivare fino allo 0,1% del fatturato mondiale per i soggetti essenziali e fino allo 0,07% per quelli importanti in caso di omessa registrazione. In caso di tardiva registrazione, possono essere contestate anche altre violazioni e si applicherà la sanzione prevista per la violazione più grave, aumentata fino al triplo. Oltre alle sanzioni economiche, il decreto prevede, nel caso di inottemperanza alla diffida dell’ACN, la sospensione temporanea dall’esercizio di funzioni dirigenziali all’interno del medesimo soggetto fino all’adozione delle misure correttive. Questo sistema sanzionatorio sottolinea come la responsabilità di governance non sia nominale, ma effettiva.

La gestione della compliance NIS2 per i fornitori IT e cyber all’interno di un gruppo societario richiede particolare attenzione. Contrariamente a quanto spesso ritenuto, l’erogazione di servizi IT o cybersecurity all’interno del proprio gruppo non esclude l’applicazione della normativa. Le società che svolgono attività qualificabili come Managed Service Provider (MSP) o Managed Security Service Provider (MSSP) a beneficio di consociate sono tenute al rispetto degli obblighi previsti dal Decreto NIS2, inclusa la registrazione presso il portale ACN. Questo vale anche in assenza di rapporti contrattuali formalizzati o di compensi intercompany. Inoltre, la registrazione effettuata dalla capogruppo non produce effetti nei confronti delle altre società del gruppo: ogni entità giuridica stabilita in Italia è tenuta a verificare autonomamente il proprio inquadramento rispetto ai requisiti normativi.

Un’azienda deve avere pronto un evidence pack completo per dimostrare la conformità alla NIS2. Questo deve includere: la registrazione presso l’ACN, le procedure di incident reporting con tempistiche di 24/72 ore, la documentazione delle misure tecniche, operative e organizzative adottate, i piani di gestione degli incidenti, i report delle valutazioni periodiche del rischio, le evidenze della formazione del personale e degli organi direttivi, e i registri degli incidenti con relative analisi. La NIS2 si basa sul principio che “non esiste compliance senza evidenze documentali”: è irrilevante dichiarare che qualcosa “è stato fatto” senza poterlo dimostrare. In un’ispezione, l’autorità non chiederà se l’azienda abbia buone intenzioni, ma se sia in grado di documentare cronologicamente la gestione e la notifica degli incidenti, nonché l’implementazione delle misure di sicurezza richieste.

La NIS2 si integra con un ecosistema normativo europeo sempre più articolato sulla cybersecurity e protezione dei dati. Il pacchetto “Cybersecurity Act 2” e le modifiche mirate alla NIS2 presentate dalla Commissione Europea mirano proprio a ridurre la complessità e la frammentazione normativa, alleggerendo gli oneri di compliance per imprese e PA. La NIS2 deve essere coordinata con il GDPR per quanto riguarda la protezione dei dati personali, con il Cyber Resilience Act sulla sicurezza dei prodotti digitali, con il DORA per il settore finanziario, e con numerose altre normative settoriali. Un elemento fortemente consigliato è l’integrazione o l’allineamento del piano di formazione NIS2 con la formazione obbligatoria in materia di protezione dei dati personali prevista dal GDPR, dato che cybersecurity e protezione dei dati sono ambiti strettamente interconnessi.

Nel primo anno di applicazione della NIS2 in Italia, le aziende hanno riscontrato diverse difficoltà, principalmente di due ordini: interpretative e tecniche. Sul piano interpretativo, molti passaggi del Decreto NIS e delle Determinazioni ACN hanno presentato problemi, come l’applicazione della clausola di salvaguardia o la distinzione tra organi di amministrazione e organi direttivi. Sul piano tecnico, la piattaforma ACN per la registrazione ha mostrato diverse criticità: necessità di SPID o CIE per l’accesso (con lunghe attese per ottenere credenziali alternative), campi non adatti a soggetti stranieri, errori di sistema e complessità eccessive nella procedura di conferma per i responsabili. Anche la definizione di “sistemi informativi e di rete rilevanti” nella Determinazione ACN 164179 è risultata poco chiara, lasciando alle singole società l’onere di interpretare tali termini con il rischio di un’eterogeneità applicativa non voluta dal legislatore.

Secondo le linee guida ACN e la Determinazione 379907 (efficace dal 15 gennaio 2026), la gestione degli incidenti di sicurezza per i soggetti NIS2 prevede un processo strutturato in cinque fasi. Gli incidenti sono classificati in categorie IS-1/2/3 per gli eventi significativi e IS-4 per quelli non significativi. Il processo di notifica richiede una pre-notifica entro 24 ore dalla “evidenza” dell’incidente, seguita da una notifica formale entro 72 ore che include valutazione dell’impatto, metriche iniziali e natura dell’incidente. Entro un mese dal completamento della gestione dell’incidente, deve essere inviato un report finale con descrizione del tipo di incidente, causa radice, misure di mitigazione adottate e impatto transfrontaliero se noto. Per gli incidenti ancora in corso, sono richiesti report mensili di progresso. Questo sistema non è un mero esercizio di conformità, ma il fulcro di una strategia nazionale volta a rafforzare la resilienza operativa.