NIS2

Cos'è la NIS2 e chi riguarda?

Guida completa per il 2025

10 min lettura

Se sei un responsabile IT o proprietario di una media impresa, probabilmente hai sentito parlare della NIS2. Forse hai ricevuto un'email da un avvocato, o visto un articolo. Ma cos'è e si applica alla tua azienda?

Cos'è la NIS2?

NIS2 (Network and Information Security Directive 2) è una direttiva europea sulla cybersicurezza. È essenzialmente una 'legge NIS2' a livello UE che gli stati membri devono recepire nelle leggi nazionali.

In parole povere: l'UE dice alle aziende nei settori critici: "Dovete proteggervi dagli attacchi informatici e se succede qualcosa, dovete segnalarlo."

Perché è stata creata?

Gli attacchi ransomware sono aumentati del 300%

Il costo medio di una violazione dei dati ha raggiunto 4,5 milioni di euro

Gli attacchi alla catena di approvvigionamento hanno mostrato rischi sistemici

Quando è entrata in vigore?

Adozione direttivaGennaio 2023
Termine recepimento17 Ottobre 2024
Piena efficaciaDa Ottobre 2024

Da ottobre 2024, gli organismi di regolamentazione (ACN in Italia, ecc.) possono effettuare controlli e imporre multe.

Chi riguarda la NIS2?

La NIS2 estende l'ambito a molte più aziende rispetto alla direttiva precedente.

Settori ad Alta Criticità

  • Energia (elettricità, gas, petrolio, calore, idrogeno)
  • Trasporti (aereo, ferroviario, idrico, stradale)
  • Bancario e mercati finanziari
  • Sanità
  • Acqua potabile e acque reflue
  • Infrastruttura digitale (DNS, cloud, data center, CDN)
  • Pubblica amministrazione

Altri Settori Critici

  • Servizi postali e corrieri
  • Gestione rifiuti
  • Industria chimica
  • Industria alimentare
  • Manifatturiero (dispositivi medici, computer, elettronica, macchinari, veicoli)
  • Servizi digitali (marketplace online, motori di ricerca, social network)
  • Ricerca

Criterio Dimensionale

Essere in un settore regolamentato non basta. Devi anche soddisfare criteri dimensionali:

Media impresa: 50-249 dipendenti O fatturato €10-50M

Grande impresa: 250+ dipendenti O fatturato €50M+

Esempio: Un'azienda manifatturiera con 80 dipendenti e €15M di fatturato rientra nella NIS2.

Cosa richiede la NIS2?

La direttiva definisce misure minime che devi implementare:

Gestione del Rischio

Identificazione e valutazione dei rischi, implementazione di misure appropriate

Risposta agli Incidenti

Piano di risposta agli incidenti, meccanismi di rilevamento, procedure di ripristino

Continuità Operativa

Backup, disaster recovery, gestione crisi

Sicurezza della Filiera

Valutazione rischio fornitori, requisiti di sicurezza nei contratti

Igiene Informatica e Formazione

Consapevolezza sulla sicurezza, formazione dipendenti

Crittografia e Controllo Accessi

Crittografia dati, autenticazione a più fattori

Segnalazione Incidenti

Uno dei doveri più importanti è la segnalazione degli incidenti di sicurezza:

24 ore

Allerta Precoce

72 ore

Notifica

1 mese

Report Finale

Cosa succede se non ti adegui?

Entità Essenziali: €10.000.000 o 2% del fatturato globale

Entità Importanti: €7.000.000 o 1,4% del fatturato globale

Responsabilità Personale: I membri della direzione possono essere personalmente responsabili per la non conformità.

Come iniziare?

1

Verifica

Controlla i criteri - settore e dimensioni.

2

Fai una valutazione

Valuta lo stato attuale della tua cybersicurezza.

3

Dai priorità

Inizia dalle aree più critiche - risposta incidenti, controllo accessi, backup.

4

Documenta

La NIS2 richiede documentazione. Policy, procedure, registri.

Vuoi scoprire a che punto sei?

5 minuti, nessuna registrazione

Questo articolo è solo a scopo informativo e non costituisce consulenza legale.