La Direttiva NIS2 nasce con un obiettivo comune: innalzare il livello di cybersecurity e resilienza dei soggetti essenziali e importanti all’interno dell’Unione Europea. Tuttavia, l’attuazione nazionale mostra differenze significative tra Italia, Francia e Germania.
L’Italia ha scelto un modello fortemente amministrativo, centrato su ACN, portale, registrazione, categorizzazione dei servizi e mappatura dei fornitori rilevanti.
La Francia sembra orientarsi verso un approccio più dottrinale e di accompagnamento, guidato da ANSSI, référentiel, strumenti di autovalutazione e integrazione con il più ampio tema della resilienza critica.
La Germania, invece, si muove secondo un’impostazione più industriale e regolatoria, affidata al BSI, con forte attenzione a documentazione, prove di conformità, registrazione e responsabilità manageriale. La stessa direttiva europea produce quindi tre modelli profondamente diversi: uno più procedurale, uno più metodologico, uno più rigoroso e documentale.
Indice degli argomenti
Introduzione: una direttiva, tre culture regolatorie
La NIS2 è una direttiva europea, ma la sua concreta applicazione dipende fortemente dal modo in cui ciascuno Stato membro la recepisce, la interpreta e la rende operativa, ed è proprio qui che emergono differenze sostanziali tra Italia, Francia e Germania. Sulla carta, l’obiettivo è comune: rafforzare la sicurezza dei sistemi informativi e di rete, migliorare la capacità di prevenire e gestire incidenti, aumentare la resilienza dei servizi essenziali e importanti e rendere più omogeneo il livello di cybersicurezza nell’Unione Europea.
Nella pratica, però, i tre Paesi stanno costruendo modelli molto diversi:
L’Italia sembra puntare su un impianto fortemente amministrativo, basato su portale, autodichiarazione, elenchi, categorizzazione delle attività e dei servizi, fornitori rilevanti e scadenze periodiche.
La Francia appare più orientata a un modello di accompagnamento strategico e dottrinale, centrato sul ruolo di ANSSI, sul Référentiel Cyber France, sugli strumenti di autovalutazione e su una visione integrata tra NIS2, resilienza critica e DORA.
La Germania, infine, adotta un’impostazione più strutturata, tecnica e industriale, con il BSI come autorità centrale, obblighi documentali robusti, registrazione tramite portale, tracciabilità delle misure e forte responsabilizzazione del management.
| Paese | Modello prevalente | Autorità | Caratteristica dominante |
| Italia | Amministrativo-procedurale | ACN | Portale, elenchi, categorizzazioni, fornitori rilevanti |
| Francia | Dottrinale e di accompagnamento | ANSSI | Référentiel, autovalutazione, resilienza nazionale |
| Germania | Tecnico-industriale e documentale | BSI | Evidenze, obblighi tracciabili, responsabilità manageriale |
Stato del recepimento NIS2 tra Italia, Francia e Germania
L’Italia ha recepito la NIS2 con il D.Lgs. 138/2024, entrato in vigore nell’ottobre 2024. ACN è stata individuata come Autorità nazionale competente NIS e punto di contatto unico.
Da quel momento, il modello italiano si è sviluppato intorno a un’infrastruttura regolatoria molto articolata: Portale ACN, registrazione dei soggetti, aggiornamento delle informazioni, elencazione e categorizzazione di attività e servizi, individuazione dei fornitori rilevanti e gestione di scadenze periodiche. Il tratto distintivo italiano è quindi la costruzione di un vero e proprio sistema nazionale di censimento, classificazione e governo amministrativo del perimetro NIS.
La Francia si trova in una posizione diversa, pur essendo storicamente uno dei Paesi europei più maturi in materia di cybersecurity istituzionale, grazie al ruolo forte di ANSSI, il recepimento formale della NIS2 è stato più graduale. ANSSI ha comunque già avviato strumenti di accompagnamento come MonEspaceNIS2 e ReCyF, il Référentiel Cyber France, pensato per tradurre gli obiettivi della direttiva in misure operative raccomandate.
La Germania, invece, ha recepito la NIS2 attraverso il NIS2-Umsetzungsgesetz, con entrata in vigore nel dicembre 2025. Il cuore dell’attuazione tedesca è il nuovo impianto del BSI Act / BSIG, con il BSI come autorità centrale. Dal momento dell’entrata in vigore, gli obblighi di registrazione e reporting passano attraverso il portale BSI, secondo una logica molto strutturata e formalizzata.
Autorità competenti: ACN, ANSSI e BSI
La differenza non è solo normativa, è culturale. Difatti in Italia, ACN sta costruendo un modello che potremmo definire “amministrativo-catalografico”. L’azienda deve identificarsi, registrarsi, dichiarare i propri servizi, categorizzare le attività, indicare i referenti, aggiornare dati, individuare fornitori rilevanti, gestire scadenze e mantenere coerenza con le richieste della piattaforma. Il rischio è che la NIS2 italiana venga percepita, almeno nella prima fase, più come un grande esercizio di popolamento del Portale ACN che come una trasformazione concreta della postura cyber. In Francia, ANSSI mantiene un ruolo diverso: più vicino a quello di guida tecnica, strategica e dottrinale. Il modello francese sembra meno focalizzato sulla tassonomia amministrativa e più sull’ accompagnamento delle organizzazioni verso un livello di sicurezza coerente con gli obiettivi della direttiva. Il ReCyF, gli strumenti di autovalutazione e MonEspaceNIS2 vanno in questa direzione. In Germania, il BSI opera invece come regolatore tecnico-industriale. L’approccio tedesco è meno narrativo e più probatorio: chi rientra nel perimetro deve registrarsi, documentare, dimostrare, notificare e mantenere evidenze comprensibili delle misure adottate. La logica è quella della conformità verificabile.
Registrazione NIS2: tre modelli operativi
La registrazione è uno degli elementi in cui le differenze diventano più evidenti. In Italia, registrazione e aggiornamento delle informazioni sono centrali. Il Portale ACN diventa il punto di accesso e governo del rapporto tra soggetto NIS e autorità. L’azienda non deve solo chiedersi se rientra nel perimetro, ma anche come deve rappresentarsi formalmente all’interno del sistema: quali servizi, quali attività, quali fornitori, quali referenti, quali dati tecnici e quali aggiornamenti periodici. In Francia, la registrazione si inserisce in un percorso più accompagnato. Il modello è comunque basato su auto-identificazione, ma la crescita enorme del numero di entità potenzialmente soggette alla NIS2 rende inevitabile un meccanismo progressivo, supportato da strumenti digitali e référentiel. In Germania, il portale BSI è il canale operativo per la registrazione e il reporting. Il messaggio è più diretto: se l’organizzazione rientra nel perimetro, deve registrarsi tramite il canale previsto, rispettare i termini e dimostrare la propria conformità.
| Paese | Logica della registrazione |
| Italia | Procedurale e informativa |
| Francia | Guidata e progressiva |
| Germania | Formale, tecnica e probatoria |
Perimetro NIS2: stessa base europea, diversa gestione nazionale
La base europea è comune: 18 settori, distinzione tra entità essenziali e importanti, criteri dimensionali ed eccezioni per soggetti che rientrano indipendentemente dalla dimensione.
Tuttavia, il modo in cui ciascun Paese gestisce questo perimetro è diverso.
L’Italia ha dato grande centralità all’identificazione del soggetto e alla successiva categorizzazione di attività e servizi. Non basta sapere di essere nel perimetro: occorre anche descrivere in modo coerente le attività rilevanti, i servizi erogati, i dati da comunicare e le dipendenze critiche.
La Francia mantiene un legame forte con la propria tradizione degli opérateurs d’importance vital e con il tema della resilienza delle infrastrutture critiche. La NIS2 viene quindi letta dentro una cornice più ampia, che include anche direttive come CER/REC e regolamenti come DORA. Il cyber non è isolato, ma inserito dentro una politica nazionale di continuità, sovranità e sicurezza delle funzioni critiche.
La Germania, invece, integra la NIS2 con la propria tradizione KRITIS, cioè il sistema tedesco di protezione delle infrastrutture critiche. Il nuovo impianto distingue tra entità essenziali e importanti, con criteri legati a settore, dimensione e rilevanza sistemica.
Misure di sicurezza: specifiche, référentiel ed evidenze
Sulle misure di sicurezza emergono tre impostazioni molto diverse. In Italia, ACN ha prodotto linee guida e specifiche di base, distinguendo i requisiti applicabili ai soggetti essenziali e importanti. L’approccio italiano prova a rendere operativi gli obblighi, ma resta fortemente collegato al percorso formale: registrazione, scadenze, classificazione, misure minime, notifica incidenti e aggiornamenti. In Francia, ANSSI spinge sul Référentiel Cyber France, cioè su una guida strutturata che traduce gli obiettivi NIS2 in misure raccomandate. È un modello più metodologico: non solo “adempi”, ma “segui un percorso di maturazione guidato”. In Germania, il BSI enfatizza invece la documentazione delle misure di risk management. Non basta adottare misure: bisogna poterle dimostrare, spiegare e rendere tracciabili. È una logica di evidenza, controllo e accountability.
| Paese | Focus sulle misure di sicurezza |
| Italia | Specifiche di base e adempimento regolatorio |
| Francia | Référentiel e accompagnamento tecnico |
| Germania | Documentazione, prova e tracciabilità |
Incident reporting NIS2: stesso obbligo, diversa maturità operativa
La struttura europea del reporting è comune: early warning, notifica, aggiornamenti e relazione finale. Tuttavia, anche qui l’attuazione nazionale cambia. In Italia, il reporting passa attraverso CSIRT Italia/ACN, con linee guida dedicate al processo di gestione degli incidenti. Il punto critico, però, è operativo: molte aziende rischiano di concentrarsi sul “quando notificare” prima ancora di aver costruito una reale capacità di detection, escalation, analisi e risposta. In Francia, ANSSI rimane il perno del processo e tende a collegare il reporting alla più ampia gestione della crisi cyber e della resilienza nazionale. In Germania, il portale BSI serve anche come canale per la segnalazione degli incidenti rilevanti. La logica è coerente con l’intero modello tedesco: canale formale, reporting strutturato, evidenze e responsabilità. Il punto comune è che la notifica ha valore solo se dietro esiste una capacità reale di rilevare e comprendere gli incidenti. Senza logging, SOC, playbook, asset inventory, escalation e procedure testate, la notifica rischia di diventare un adempimento formale più che uno strumento di resilienza.
Responsabilità del management: la Germania appare più strutturata
Uno degli elementi più significativi della NIS2 è il coinvolgimento diretto degli organi di amministrazione e direttivi. La cybersecurity non è più un problema delegabile interamente all’IT o al CISO. In Italia, la responsabilità degli organi direttivi è prevista dal D.Lgs. 138/2024, ma nella prassi rischia spesso di tradursi in formazione, verbali, nomine, deleghe e presa d’atto. Tutti elementi utili, ma insufficienti se non accompagnati da budget, decisioni, priorità e controllo effettivo del rischio. In Francia, la responsabilità del management si inserisce dentro la cultura ANSSI e dentro una visione più ampia di governance della resilienza. In Germania, il messaggio appare più netto: gli organi di gestione devono garantire l’effettiva implementazione delle misure e ciò non è un tema solo per amministratori o membri del board in senso stretto, ma può coinvolgere anche soggetti con effettiva autorità gestionale. Il principio è chiaro: chi dirige non può limitarsi a dire “se ne occupa l’IT”.
Questa è forse una delle differenze più importanti del modello tedesco: la cybersecurity diventa responsabilità manageriale misurabile, non solo presidio tecnico.
Sanzioni ed enforcement nella Direttiva NIS2
La cornice sanzionatoria europea è comune: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per le entità essenziali, e fino a 7 milioni di euro o all’1,4% per le entità importanti. Le differenze riguardano soprattutto il modo in cui le autorità nazionali possono esercitare vigilanza, audit, ordini correttivi ed enforcement.
In Italia, ACN dispone di poteri di vigilanza e supervisione rafforzati, ma la prima fase sembra ancora molto concentrata sull’emersione del perimetro, sulla costruzione dell’elenco NIS e sulla strutturazione del rapporto tra soggetti e autorità.
In Francia, l’enforcement dipenderà dall’evoluzione del recepimento e dai successivi decreti applicativi, ma ANSSI ha storicamente una postura autorevole, tecnica e centralizzata.
In Germania, l’approccio appare più duro e documentale. Il nuovo quadro tedesco si muove in una logica simile a quella del GDPR: obblighi chiari, tracciabilità, responsabilità e sanzioni potenzialmente molto rilevanti.
La vera differenza: amministrare, accompagnare, misurare
La vera differenza tra Italia, Francia e Germania non è nella direttiva, ma nel modo in cui la direttiva viene trasformata in prassi nazionale.
L’Italia sta costruendo una logica molto procedurale. Il rischio è che le aziende si concentrino su portale, scadenze, categorizzazioni, fornitori rilevanti, punti di contatto, IP, domini e aggiornamenti; è molto orientata all’adempimento amministrativo strutturato.
La Francia sembra voler costruire una NIS2 dentro una visione di sovranità cyber, resilienza nazionale e accompagnamento tecnico. Il modello francese appare meno ossessionato dal censimento minuzioso e più interessato a guidare le organizzazioni lungo un percorso di maturazione; tuttavia, il ritardo del recepimento formale crea ancora incertezza.
La Germania ha un approccio più duro, industriale e verificabile. Il BSI richiede registrazione, documentazione, reporting, evidenze, responsabilità manageriale e dimostrabilità delle misure; è una norma meno “creativa” di quella italiana su alcune estensioni interpretative, ma più severa sulla prova dell’adempimento.
In Italia il tutto sembra diventare un grande esercizio di classificazione nazionale; in Francia un percorso guidato da ANSSI dentro la resilienza critica; in Germania un regime tecnico-regolatorio pesante, documentale e manageriale sotto BSI.
Il rischio italiano: essere conformi al portale, ma non più sicuri
La differenza più preoccupante per l’Italia è questa: potremmo diventare molto bravi a popolare il Portale ACN, ma meno veloci a verificare se Active Directory, backup, detection, vulnerability management, segregazione di rete, supply chain ICT e incident response siano davvero maturi. La direttiva non dovrebbe misurare soltanto la capacità di un’organizzazione di registrarsi, categorizzarsi e aggiornare dati. Dovrebbe misurare la capacità concreta di prevenire, rilevare, rispondere e ripristinare. La cybersecurity reale non si vede solo da un portale popolato correttamente. Si vede da domande molto più dure che noi tutto conosciamo da anni:
- gli account privilegiati sono governati?
- l’MFA è realmente estesa?
- Active Directory è monitorata e hardenizzata?
- i backup sono testati e isolati?
- esiste detection sugli eventi critici?
- il vulnerability management produce remediation reale?
- i fornitori ICT critici sono valutati e monitorati?
- gli incident response playbook sono stati provati?
- il management conosce i rischi e finanzia le contromisure?
Se questa logica legate alla direttiva non porta le aziende verso queste domande, rischia di diventare un esercizio di compliance più che uno strumento di resilienza. Questa normativa rappresenta una delle principali occasioni europee per innalzare il livello di cybersicurezza e resilienza dei servizi essenziali e importanti. Tuttavia, il confronto tra Italia, Francia e Germania mostra che la stessa direttiva può produrre modelli nazionali profondamente diversi. Il vero nodo non è scegliere quale modello sia astrattamente migliore. Il punto è capire quale modello riesca davvero a trasformare la compliance in sicurezza effettiva, perché la NIS2 non dovrebbe diventare un catasto europeo della cybersecurity, né una nuova burocrazia digitale. Dovrebbe trasformarsi in uno strumento concreto per rendere le organizzazioni più capaci di resistere, reagire e continuare a operare anche sotto attacco.
La differenza, alla fine, sarà tutta qui: non tra chi compila meglio un portale, ma tra chi sarà davvero in grado di proteggere e ripristinare i propri servizi critici quando servirà.
