La Direttiva NIS 2 e i relativi obblighi per le imprese italiane rappresentano uno degli sviluppi normativi più rilevanti degli ultimi anni in materia di cybersecurity. La Direttiva UE 2022/2555 — nota come NIS 2, in continuità con la precedente Direttiva NIS del 2016 — ha ampliato significativamente il perimetro dei soggetti obbligati, esteso il catalogo delle misure di sicurezza richieste e inasprito il regime sanzionatorio applicabile in caso di inadempimento. Recepita in Italia con il D.Lgs. 138/2024, la normativa impone a un numero molto più ampio di imprese rispetto alla precedente direttiva di adottare misure tecniche e organizzative adeguate per gestire i rischi di cybersecurity e di notificare gli incidenti informatici significativi alle autorità competenti. La NIS 2 non riguarda soltanto le grandi infrastrutture critiche: si estende a settori come energia, trasporti, sanità, acque potabili, infrastrutture digitali, servizi postali, fabbricazione di prodotti critici e molti altri, coinvolgendo medie e in alcuni casi piccole imprese che in passato erano del tutto estranee a questo tipo di obblighi.
La Direttiva NIS 2 introduce un framework di obblighi strutturato attorno a due elementi principali: la gestione del rischio di cybersecurity e la notifica degli incidenti. Sul piano della gestione del rischio, i soggetti obbligati devono adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete. Queste misure devono comprendere: politiche di sicurezza delle reti e dei sistemi informativi, gestione degli incidenti, continuità operativa e gestione delle crisi, sicurezza della catena di approvvigionamento, sicurezza nell'acquisizione, nello sviluppo e nella manutenzione dei sistemi, politiche e procedure per valutare l'efficacia delle misure di sicurezza, pratiche di igiene informatica di base e formazione in materia di cybersecurity, politiche sull'uso della crittografia, sicurezza delle risorse umane, uso di soluzioni di autenticazione a più fattori. Sul piano della notifica degli incidenti, i soggetti obbligati devono notificare all'ACN — l'Agenzia per la Cybersicurezza Nazionale — gli incidenti che abbiano un impatto significativo sulla fornitura dei propri servizi.
La NIS 2 distingue tra soggetti essenziali e soggetti importanti, con obblighi sostanzialmente analoghi ma con differente intensità di vigilanza. I soggetti essenziali operano nei settori di energia, trasporti, banche, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione e spazio. I soggetti importanti operano nei settori postale e dei corrieri, gestione dei rifiuti, fabbricazione di prodotti chimici, alimenti, dispositivi medici, computer e apparecchiature elettroniche, macchinari, motori e veicoli, fornitori di servizi digitali. In linea di principio, la direttiva si applica alle medie imprese con più di cinquanta dipendenti o con un fatturato superiore a dieci milioni di euro e alle grandi imprese con più di duecento cinquanta dipendenti o fatturato superiore a cinquanta milioni di euro. Ma ci sono eccezioni importanti: alcune categorie di soggetti sono incluse indipendentemente dalla dimensione.
Il regime sanzionatorio della NIS 2 è significativamente più severo rispetto alla precedente direttiva. Per i soggetti essenziali, le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale totale. Per i soggetti importanti, fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale. Le sanzioni si applicano in caso di mancata adozione delle misure di gestione del rischio, mancata notifica degli incidenti nei termini previsti, mancata cooperazione con le autorità di vigilanza. La responsabilità personale degli organi di gestione — amministratori delegati, consigli di amministrazione — è esplicitamente prevista dalla direttiva, che impone agli organi apicali di approvare le misure di cybersecurity e di supervisionarne l'attuazione.
Il processo di adeguamento alla NIS 2 richiede un approccio sistematico che parta dalla verifica dell'applicabilità della normativa all'impresa specifica. Una volta confermato che l'impresa rientra nell'ambito di applicazione, le priorità operative includono: la nomina di un responsabile interno per la cybersecurity o il ricorso a un CISO esterno, la conduzione di una valutazione del rischio informatico che identifichi i sistemi critici e le vulnerabilità principali, la definizione di un piano di adeguamento con misure tecniche e organizzative prioritizzate per impatto e fattibilità, la predisposizione di una procedura per la notifica degli incidenti all'ACN, la revisione dei contratti con i fornitori della catena di approvvigionamento digitale, la formazione del personale sulle pratiche di igiene informatica di base.
Sicurezza Lab Srl supporta le imprese nell'analisi dell'applicabilità della Direttiva NIS 2 e nella costruzione di un percorso di adeguamento proporzionato e sostenibile. Il servizio integra la competenza normativa con quella tecnica in materia di cybersecurity, offrendo alle imprese un punto di riferimento unico per tutti gli adempimenti correlati alla sicurezza informatica. Con una presenza consolidata a Palermo e una rete operativa estesa alle principali realtà produttive italiane — da Milano a Roma e oltre — Sicurezza Lab Srl è in grado di supportare le imprese di ogni settore nell'adeguamento alla NIS 2 con la tempestività e la qualità che questa normativa esige.
La Direttiva NIS 2 segna un cambiamento di paradigma nella gestione della cybersecurity aziendale: non più una questione esclusivamente tecnica affidata al reparto IT, ma una responsabilità organizzativa che coinvolge l'intera catena del management. Le imprese che affrontano questo adeguamento con serietà e metodo costruiscono una resilienza digitale che è anche un vantaggio competitivo concreto.