La crescente interconnessione e digitalizzazione della società ha reso istituzioni, imprese e cittadini sempre più esposti alle minacce informatiche.
Gli attacchi informatici hanno raggiunto picchi senza precedenti.
Indice degli argomenti
La Direttiva NIS 2 nell’attuale contesto geopolitico
Lo scenario geopolitico presenta una rischiosità come non si aveva da decenni, e questa rischiosità così elevata comprende i temi cyber, che rappresenta un ambito nuovo rispetto a periodi di pari rischiosità.
L’Unione Europea ha riconosciuto quindi la necessità di aumentare la capacità di resilienza e risposta a questi rischi sia a livello di Unione che di singoli Stati Membri, fino alle aziende e pubbliche amministrazioni che sono nel concreto le prime esposte alle minacce.
Nel 2016 era stata emanata la Direttiva NIS, con l’obiettivo di raggiungere un livello comune elevato di cybersicurezza tra gli Stati Membri.
Nel 2020 è stata avviata la revisione programmata dell’efficacia della norma e della sua implementazione, ed i risultati hanno rivelato carenze intrinseche nella norma che le hanno impedito di affrontare efficacemente le sfide attuali ed emergenti in materia di cibersicurezza, in particolare in termini di uniformità di approccio fra i diversi Stati Membri e perimetro di applicazione.
La Direttiva NIS2 è stata pubblicata nella Gazzetta Ufficiale dell’Unione Europea il 27 dicembre 2022 ed è entrata in vigore il 16 gennaio 2023. Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale. In Italia, il recepimento è avvenuto con il D.Lgs. 138/2024, che ha sostituito la precedente Direttiva NIS e introdotto misure aggiornate per far fronte a un panorama di minacce profondamente mutato, superando le criticità che avevano limitato l’efficacia della normativa precedente.
La normativa impone, in particolare, obblighi di cybersicurezza stringenti in capo a un’ampia platea di organizzazioni operanti in settori ritenuti critici per il funzionamento della società europea.
Chi è soggetto alla Direttiva NIS2
Una delle più importanti novità introdotte è l’ampio bacino di settori merceologici in perimetro interessati dalla Nis2.
Viene abbandonata la distinzione tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) in favore di quella tra Soggetti Essenziali e Soggetti Importanti. Ricadono in queste categorie tutti i soggetti che operano nei Settori ad Alta Criticità e negli Altri Settori Critici indicati rispettivamente negli Allegati I e II del D.lgs. 138/2024,e che soddisfano specifici criteri di dimensionamento (pur prevedendo alcune, limitate, eccezioni).
Fra i nuovi settori è compreso quello della Pubblica Amministrazione, come descritto nell’Allegato III del decreto.
Allegato 1: settori ad alta criticità
| Settore | Sottosettore | Tipo di soggetto |
| 1. Energia | a) Energia elettrica | — Impresa elettrica quale definita all’articolo 2, punto 57), della direttiva (UE) 2019/944 del Parlamento europeo e del Consiglio (1) che esercita attività di «fornitura» quale definita all’articolo 2, punto 12), di tale direttiva |
| — Gestori del sistema di distribuzione quali definiti all’articolo 2, punto 29), della direttiva (UE) 2019/944 | ||
| — Gestori del sistema di trasmissione quali definiti all’articolo 2, punto 35), della direttiva (UE) 2019/944 | ||
| — Produttori quali definiti all’articolo 2, punto 38), della direttiva (UE) 2019/944 | ||
| — Gestori del mercato elettrico designato quali definiti all’articolo 2, punto 8), del regolamento (UE) 2019/943 del Parlamento europeo e del Consiglio (2) — Partecipanti al mercato dell’energia elettrica quali definiti all’articolo 2, punto 25), del regolamento (UE) 2019/943 che forniscono servizi di aggregazione, gestione della domanda o stoccaggio di energia quali definiti all’articolo 2, punti 18), 20) e 59) della direttiva (UE) 2019/944 — Gestori di un punto di ricarica responsabili della gestione e del funzionamento di un punto di ricarica che fornisce un servizio di ricarica a utenti finali, anche in nome e per conto di un fornitore di servizi di mobilità | ||
| b) Teleriscaldamento e teleraffrescamento | — Gestori di teleriscaldamento o teleraffrescamento quali definiti all’articolo 2, punto 19), della direttiva (UE) 2018/2001 del Parlamento europeo e del Consiglio (3) | |
| c) Petrolio | — Gestori di oleodotti | |
| — Gestori di impianti di produzione, raffinazione, trattamento, deposito e trasporto di petrolio | ||
| — Organismi centrali di stoccaggio quali definiti all’articolo 2, lettera f), della direttiva 2009/119/CE del Consiglio (4) | ||
| d) Gas | — Imprese fornitrici quali definite all’articolo 2, punto 8), della direttiva 2009/73/CE del Parlamento europeo e del Consiglio (5) | |
| — Gestori del sistema di distribuzione quali definiti all’articolo 2, punto 6), della direttiva 2009/73/CE | ||
| — Gestori del sistema di trasporto quali definiti all’articolo 2, punto 4), della direttiva 2009/73/CE | ||
| — Gestori dell’impianto di stoccaggio quali definiti all’articolo 2, punto 10), della direttiva 2009/73/CE | ||
| — Gestori del sistema GNL quali definiti all’articolo 2, punto 12), della direttiva 2009/73/CE | ||
| — Imprese di gas naturale quali definite all’articolo 2, punto 1), della direttiva 2009/73/CE; | ||
| — Gestori di impianti di raffinazione e trattamento di gas naturale | ||
| e) Idrogeno | — Gestori di impianti di produzione, stoccaggio e trasporto di idrogeno | |
| 2. Trasporti | a) Trasporto aereo | — Vettori aerei quali definiti all’articolo 3, punto 4), del regolamento (CE) n. 300/2008 utilizzati a fini commerciali |
| — Gestori aeroportuali quali definiti all’articolo 2, punto 2), della direttiva 2009/12/CE del Parlamento europeo e del Consiglio (6), aeroporti quali definiti all’articolo 2, punto 1), di tale direttiva, compresi gli aeroporti centrali di cui all’allegato II, sezione 2, del regolamento (UE) n. 1315/2013 del Parlamento europeo e del Consiglio (7), e soggetti che gestiscono impianti annessi situati in aeroporti | ||
| — Operatori attivi nel controllo della gestione del traffico che forniscono un servizio di controllo del traffico aereo quali definiti all’articolo 2, punto 1), del regolamento (CE) n. 549/2004 del Parlamento europeo e del Consiglio (8) | ||
| b) Trasporto ferroviario | — Gestori dell’infrastruttura quali definiti all’articolo 3, punto 2), della direttiva 2012/34/UE del Parlamento europeo e del Consiglio (9) | |
| — Imprese ferroviarie quali definiti all’articolo 3, punto 1), della direttiva 2012/34/UE, compresi gli operatori degli impianti di servizio quali definiti all’articolo 3, punto 12), di tale direttiva | ||
| c) Trasporto per vie d’acqua | — Compagnie di navigazione per il trasporto per vie d’acqua interne, marittimo e costiero di passeggeri e merci quali definite per il trasporto marittimo all’allegato I del regolamento (CE) n. 725/2004 del Parlamento europeo e del Consiglio (10), escluse le singole navi gestite da tale compagnia | |
| — Organi di gestione dei porti quali definiti all’articolo 3, punto 1), della direttiva 2005/65/CE del Parlamento europeo e del Consiglio (11), compresi i relativi impianti portuali quali definiti all’articolo 2, punto 11), del regolamento (CE) n. 725/2004, e soggetti che gestiscono opere e attrezzature all’interno di porti | ||
| — Gestori di servizi di assistenza al traffico marittimo (VTS) quali definiti all’articolo 3, lettera o), della direttiva 2002/59/CE del Parlamento europeo e del Consiglio (12) | ||
| d) Trasporto su strada | — Autorità stradali quali definite all’articolo 2, punto 12), del regolamento delegato (UE) 2015/962 della Commissione (13) responsabili del controllo della gestione del traffico, esclusi i soggetti pubblici per i quali la gestione del traffico o la gestione di sistemi di trasporto intelligenti costituiscono soltanto una parte non essenziale della loro attività generale | |
| — Gestori di sistemi di trasporto intelligenti quali definiti all’articolo 4, punto 1), della direttiva 2010/40/UE del Parlamento europeo e del Consiglio (14) | ||
| 3. Settore bancario | Enti creditizi quali definiti all’articolo 4, punto 1), del regolamento (UE) n. 575/2013 del Parlamento europeo e del Consiglio (15) | |
| 4. Infrastrutture dei mercati finanziari | — Gestori delle sedi di negoziazione quali definiti all’articolo 4, punto 24), della direttiva 2014/65/UE del Parlamento europeo e del Consiglio (16) | |
| — Controparti centrali (CCP) quali definite all’articolo 2, punto 1), del regolamento (UE) n. 648/2012 del Parlamento europeo e del Consiglio (17) | ||
| 5. Settore sanitario | — Prestatori di assistenza sanitaria quali definiti all’articolo 3, lettera g), della direttiva 2011/24/UE del Parlamento europeo e del Consiglio (18) | |
| — Laboratori di riferimento dell’UE quali definiti all’articolo 15 del regolamento (UE) 2022/2371 del Parlamento europeo e del Consiglio (19) | ||
| — Soggetti che svolgono attività di ricerca e sviluppo relative ai medicinali quali definiti all’articolo 1, punto 2), della direttiva 2001/83/CE del Parlamento europeo e del Consiglio (20) — Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici di cui alla sezione C, divisione 21, della NACE Rev. 2 — Soggetti che fabbricano dispositivi medici considerati critici durante un’emergenza di sanità pubblica (elenco dei dispositivi critici per l’emergenza di sanità pubblica) di cui all’articolo 22 del regolamento (UE) 2022/123 del Parlamento europeo e del Consiglio (21) | ||
| 6. Acqua potabile | Fornitori e distributori di acque destinate al consumo umano, quali definiti all’articolo 2, punto 1, lettera a), della direttiva (UE) 2020/2184 del Parlamento europeo e del Consiglio (22), ma esclusi i distributori per i quali la distribuzione di acque destinate al consumo umano è una parte non essenziale dell’attività generale di distribuzione di altri prodotti e beni | |
| 7. Acque reflue | Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali quali definite all’articolo 2, punti da 1), 2) e 3), della direttiva 91/271/CEE del Consiglio (23), escluse le imprese per cui la raccolta, lo smaltimento o il trattamento di acque reflue urbane, domestiche o industriali è una parte non essenziale della loro attività generale | |
| 8. Infrastrutture digitali | — Fornitori di punti di interscambio internet | |
| — Fornitori di servizi DNS, esclusi gli operatori dei server dei nomi radice | ||
| — Registri dei nomi di dominio di primo livello (TLD) | ||
| — Fornitori di servizi di cloud computing | ||
| — Fornitori di servizi di data center | ||
| — Fornitori di reti di distribuzione dei contenuti (content delivery network) | ||
| — Fornitori di servizi fiduciari | ||
| — Fornitori di reti pubbliche di comunicazione | ||
| — Fornitori di servizi di comunicazione elettronica accessibili al pubblico | ||
| 9. Gestione dei servizi TIC (business-to-business) | — Fornitori di servizi gestiti — Fornitori di servizi di sicurezza gestiti | |
| 10. Pubblica amministrazione | — Enti della pubblica amministrazione delle amministrazioni centrali quali definiti da uno Stato membro conformemente al diritto nazionale | |
| — Enti della pubblica amministrazione a livello regionale quali definiti da uno Stato membro conformemente al diritto nazionale | ||
| 11. Spazio | Operatori di infrastrutture terrestri possedute, gestite e operate dagli Stati membri o da privati, che sostengono la fornitura di servizi spaziali, esclusi i fornitori di reti pubbliche di comunicazione elettronica |
Allegato 2: altri settori critici
| Settore | Sottosettore | Tipo di soggetto |
| 1. Servizi postali e di corriere | Fornitori di servizi postali quali definiti all’articolo 2, punto 1 bis), della direttiva 97/67/CE, tra cui i fornitori di servizi di corriere | |
| 2. Gestione dei rifiuti | Imprese che si occupano della gestione dei rifiuti quali definite all’articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio (1), escluse quelle per cui la gestione dei rifiuti non è la principale attività economica | |
| 3. Fabbricazione, produzione e distribuzione di sostanze chimiche | Imprese che si occupano della fabbricazione di sostanze e della distribuzione di sostanze o miscele di cui all’articolo 3, punti 9) e 14), del regolamento (CE) n. 1907/2006 del Parlamento europeo e del Consiglio (2) e imprese che si occupano della produzione di articoli quali definite all’articolo 3, punto 3), del medesimo regolamento, da sostanze o miscele | |
| 4. Produzione, trasformazione e distribuzione di alimenti | Imprese alimentari quali definite all’articolo 3, punto 2), del regolamento (CE) n. 178/2002 del Parlamento europeo e del Consiglio (3) che si occupano della distribuzione all’ingrosso e della produzione industriale e trasformazione | |
| 5. Fabbricazione | a) Fabbricazione di dispositivi medici e di dispositivi medico-diagnostici in vitro | Soggetti che fabbricano dispositivi medici quali definiti all’articolo 2, punto 1), del regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (4) e soggetti che fabbricano dispositivi medico-diagnostici in vitro quali definiti all’articolo 2, punto 2), del regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (5) ad eccezione dei soggetti che fabbricano dispositivi medici di cui all’allegato I, punto 5), quinto trattino, della presente direttiva |
| b) Fabbricazione di computer e prodotti di elettronica e ottica | Imprese che svolgono attività economiche di cui alla sezione C, divisione 26, della NACE Rev. 2 | |
| c) Fabbricazione di apparecchiature elettriche | Imprese che svolgono attività economiche di cui alla sezione C, divisione 27, della NACE Rev. 2 | |
| d) Fabbricazione di macchinari e apparecchiature n.c.a. | Imprese che svolgono attività economiche di cui alla sezione C, divisione 28, della NACE Rev. 2 | |
| e) Fabbricazione di autoveicoli, rimorchi e semirimorchi | Imprese che svolgono attività economiche di cui alla sezione C, divisione 29, della NACE Rev. 2 | |
| f) Fabbricazione di altri mezzi di trasporto | Imprese che svolgono attività economiche di cui alla sezione C, divisione 30, della NACE Rev. 2 | |
| 6. Fornitori di servizi digitali | — Fornitori di mercati online | |
| — Fornitori di motori di ricerca online | ||
| — Fornitori di piattaforme di servizi di social network | ||
| 7. Ricerca | Organizzazioni di ricerca |
Allegato III Nis2 su PA
Allegato III: Amministrazioni centrali, regionali, locali e di altro tipo
1. Ai fini dell’articolo 3, comma 6, sono individuatele seguenti
categorie:
a) amministrazioni centrali:
1) gli Organi costituzionali e di rilievo costituzionale;
2) la Presidenza del Consiglio dei ministri e i Ministeri;
3) le Agenzie fiscali;
4) le Autorità amministrative indipendenti;
b) amministrazioni regionali:
1. le Regioni e le Province autonome.
c) amministrazioni locali
1. le Città metropolitane;
2. i Comuni con popolazione superiore a 100.000 abitanti;
3. i Comuni capoluoghi di regione;
4. le Aziende sanitarie locali.
d) altri soggetti pubblici:
1. gli Enti di regolazione dell’attività economica;
2. gli Enti produttori di servizi economici;
3. gli Enti a struttura associativa;
4. gli Enti produttori di servizi assistenziali, ricreativi e
culturali;
5. gli Enti e le Istituzioni di ricerca;
6. gli Istituti zooprofilattici sperimentali.
Allegato IV: ulteriori tipi di soggetto
a) amministrazioni centrali:
1) gli Organi costituzionali e di rilievo costituzionale;
2) la Presidenza del Consiglio dei ministri e i Ministeri;
3) le Agenzie fiscali;
4) le Autorità amministrative indipendenti;
b) amministrazioni regionali:
1. le Regioni e le Province autonome.
c) amministrazioni locali
1. le Città metropolitane;
2. i Comuni con popolazione superiore a 100.000 abitanti;
3. i Comuni capoluoghi di regione;
4. le Aziende sanitarie locali.
d) altri soggetti pubblici:
1. gli Enti di regolazione dell’attività economica;
2. gli Enti produttori di servizi economici;
3. gli Enti a struttura associativa;
4. gli Enti produttori di servizi assistenziali, ricreativi e
culturali;
5. gli Enti e le Istituzioni di ricerca;
6. gli Istituti zooprofilattici sperimentali.
Ai sensi del criterio del dimensionamento, sono automaticamente in perimetro NIS2 tutte le grandi imprese dei settori individuati, vale a dire quelle con più di 250 dipendenti o un fatturato annuo maggiore di 50 milioni di euro o un totale di bilancio annuo superiore a 43 milioni di euro.
Sono inoltre in perimetro le medie imprese, ossia quelle con un numero di dipendenti compreso fra 50 e 250 o un fatturato annuo o un totale di bilancio compreso fra 10 e 50 milioni di euro o con un totale di bilancio annuo non superiore a 43 milioni di euro, che operano nei settori individuati.
Il D.Lgs. 138/2024 stabilisce inoltre che il perimetro include soggetti indipendentemente dalle loro dimensioni, come indicato all’art. 3 del Decreto NIS:
- soggetti critici identificati dal decreto di recepimento della direttiva (UE) 2022/2557 (CER);
- fornitori di reti e servizi di comunicazione elettronica pubblici o accessibili al pubblico;
- prestatori di servizi fiduciari e gestori di registri dei nomi di dominio di primo livello;
- pubbliche amministrazioni specifiche e ulteriori soggetti individuati secondo procedure stabilite dall’Autorità nazionale competente NIS;
- imprese collegate a soggetti essenziali o importanti che, ad esempio, gestiscono sistemi informativi, forniscono servizi TIC o esercitano influenza sulle misure di cybersicurezza dei soggetti in perimetro.
Le FAQ pubblicate dall’ACN chiariscono inoltre modalità operative, tempistiche di adeguamento e criteri di individuazione dei soggetti.
Gli obblighi per i soggetti in perimetro
Le entità in perimetro NIS2 devono rispettare requisiti di cybersicurezza relativi a governance, gestione dei rischi (inclusa la sicurezza della catena di fornitura), continuità operativa, segnalazione degli incidenti e altre aree.
Dal 14 aprile 2025, l’ACN ha fornito indicazioni sui requisiti minimi da applicare.
Governance e formazione
La Nis 2 dal punto di vista della governance, prevede che gli organi di gestione dei soggetti essenziali e importanti come il Consiglio d’Amministrazione, debbano approvare le misure per la gestione dei rischi adottate dall’Organizzazione, seguire una formazione periodica su tematiche di cybersicurezza e offrire una formazione analoga ai loro dipendenti.
Risk management e continuità operativa
Le organizzazioni valutano i rischi e attuano misure tecniche e organizzative, inclusi autenticazione a più fattori, crittografia e pratiche di igiene informatica. Devono inoltre garantire continuità operativa con backup, piani di ripristino e gestione delle crisi, notificando tempestivamente (preallarme entro 24 ore) eventuali incidenti significativi ai CSIRT o all’autorità competente.
I rischi da considerare comprendono anche quelli legati alla supply-chain: l’organizzazione deve garantire la sicurezza della propria catena di approvvigionamento, presidiando i rapporti con i fornitori e considerando vulnerabilità specifiche e qualità complessiva dei prodotti e delle pratiche di cybersicurezza.
Controlli e sanzioni in caso di inadempienza
I soggetti in perimetro NIS2 sono tenuti all’adozione di misure di sicurezza e alla notifica degli incidenti secondo le tempistiche e i dettagli stabiliti dall’ACN.
- Misure di sicurezza: entro 18 mesi dalla comunicazione di inserimento nell’elenco nazionale NIS (ottobre 2026), i soggetti importanti devono implementare le misure indicate nell’allegato 1 della Determinazione ACN 164179/2025 (relativa alle specifiche di base), mentre i soggetti essenziali devono adottare le misure riportate nell’allegato 2. Le misure sono organizzate in funzioni, categorie, sottocategorie e requisiti, sviluppate in accordo al Framework nazionale per la Cybersecurity e la Data Protection.
- Notifiche di incidente: entro 9 mesi dalla comunicazione di inserimento (gennaio 2026), i soggetti importanti devono notificare al CSIRT Italia gli incidenti significativi elencati nell’allegato 3 della suddetta Determinazione ACN, mentre i soggetti essenziali notificano quelli riportati nell’allegato 4.
Le sanzioni amministrative previste dall’Art. 38 del Decreto NIS intervengono in caso di violazioni agli obblighi di cybersicurezza, come la mancata adozione delle misure di sicurezza prescritte o l’omissione di notifiche di incidenti significativi.
In sintesi, le sanzioni variano in funzione della tipologia di soggetto:
- Soggetti essenziali (escluse le PA): fino a 10.000.000 € o al 2% del fatturato mondiale annuo.
- Soggetti importanti (escluse le PA): fino a 7.000.000 € o all’1,4% del fatturato mondiale annuo.
- Pubbliche amministrazioni: da 25.000 a 125.000 €.
Nei casi più gravi, la non conformità di un soggetto NIS può comportare la sospensione o il divieto temporaneo a qualsiasi persona che svolga funzioni dirigenziali (come amministratore delegato o rappresentante legale) di esercitare tali funzioni all’interno dello stesso soggetto.
Situazione del recepimento di Nis2
La Direttiva NIS2, come noto, richiede agli Stati Membri dell’Unione Europea di recepirla nel proprio ordinamento nazionale. Ad oggi, solo 14 Stati su 27 hanno completato il recepimento; la Repubblica Ceca completerà ufficialmente il recepimento il 1° novembre 2025.
La situazione aggiornata è la seguente:
| Paese | Recepimento NIS2 |
| Austria | No |
| Belgio | Sì |
| Bulgaria | No |
| Cipro | Sì |
| Croazia | Sì |
| Danimarca | Sì |
| Estonia | No |
| Finlandia | Sì |
| Francia | No |
| Germania | No |
| Grecia | Sì |
| Irlanda | No |
| Italia | Sì |
| Lettonia | Sì |
| Lituania | Sì |
| Lussemburgo | No |
| Malta | Sì |
| Paesi Bassi | No |
| Polonia | No |
| Portogallo | No |
| Repubblica Ceca | No |
| Romania | Sì |
| Slovacchia | Sì |
| Slovenia | Sì |
| Spagna | No |
| Svezia | No |
| Ungheria | Sì |
A maggio 2025 la Commissione Europea ha inviato un richiamo agli Stati Membri che non hanno ancora trasposto la Direttiva, avvertendo che può decidere di deferire i casi alla Corte di Giustizia dell’Unione Europea e preallertando sulle possibili sanzioni per ritardo.
Questa situazione evidenzia come il recepimento e l’implementazione della NIS2 siano ancora eterogenei in Europa, con possibili impatti sulle imprese che operano in più Paesi, in particolare in termini di armonizzazione dei requisiti di cybersicurezza e di notifiche di incidenti.
Conclusioni
Negli ultimi anni è risultato ormai evidente come le aziende, le pubbliche amministrazioni e, complessivamente, la nostra vita sociale ed economica dipendano dalle informazioni e dai sistemi informativi che ne costituiscono uno strumento di gestione essenziale.
Non possiamo sapere quali difficoltà e sfide ci potrà portare l’evoluzione dello scenario geopolitico nei prossimi anni, ma la Direttiva NIS2 e le altre norme ad essa collegate
rappresentano uno strumento importante con cui l’Unione Europea vuole guidare le organizzazioni verso una resilienza adeguata per affrontare queste sfide.
Certamente, rappresenteranno il filo conduttore del mercato della sicurezza nei prossimi anni in Europa, come negli anni dal 2016 al 2020 lo ha rappresentato il GDPR. È opportuno quindi che i soggetti in perimetro e i loro fornitori siano pronti ad affrontarle in modo tempestivo ed efficace, per ridurre gli impatti negativi sulle proprie organizzazioni e, soprattutto, per gestire adeguatamente i rischi che comunque nei prossimi anni si troveranno ad affrontare.
