Vi siete mai chiesti cosa succederebbe se un cyber attacco paralizzasse simultaneamente ospedali, centrali elettriche e sistemi di trasporto?

Non è fantascienza: è lo scenario che l’Unione Europea vuole prevenire con la direttiva NIS2.

Che cos’è la direttiva NIS2 e perché è stata introdotta

La Direttiva (UE) 2022/2555, meglio nota come NIS2 (Network and Information Security 2), rappresenta il più ambizioso tentativo europeo di costruire una resilienza digitale sistemica, imponendo standard di cyber security uniformi in tutti i 27 Stati membri.

In Italia, il recepimento è avvenuto con il D.lgs. 138/2024, entrato in vigore il 16 ottobre 2024, che affida all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di Autorità nazionale competente.

Ma perché proprio ora? La risposta è semplice: il panorama delle minacce è radicalmente mutato. Se la NIS1 (2016) nasceva in un’era dove il ransomware era ancora un fenomeno emergente, oggi affrontiamo attacchi alla supply chain, operazioni di spionaggio cibernetico sponsorizzate da Stati e offensive ransomware-as-a-service capaci di paralizzare intere filiere produttive.

Il contesto: dalla NIS1 alla NIS2

La prima direttiva NIS (2016/1148) fu pionieristica: per la prima volta l’Europa si dotava di un quadro normativo vincolante sulla cyber security.

Eppure, l’esperienza sul campo ne ha rivelato i limiti strutturali.

Copriva solo sette settori critici, lasciando fuori comparti oggi evidentemente strategici come la gestione dei rifiuti, il food supply o la produzione manifatturiera.

I criteri dimensionali escludevano migliaia di piccole e medie imprese che, pur essendo anelli essenziali delle catene di fornitura, rimanevano fuori dal perimetro regolatorio.

La NIS2 parte, invece, da una constatazione brutalmente realistica: in un ecosistema digitale interconnesso, la sicurezza del sistema è determinata dal suo anello più debole. È inutile blindare le grandi utility energetiche se il loro fornitore di componenti IoT opera senza alcun presidio di sicurezza.

Per questo la nuova direttiva estende il campo di applicazione a 18 settori (11 altamente critici e 7 critici), coinvolgendo oltre 80 tipologie di soggetti e ridefinendo i criteri dimensionali per includere medie imprese e, in alcuni casi specifici, anche PMI e microimprese.

Gli obiettivi della nuova normativa europea sulla cyber security

La NIS2 non è una semplice evoluzione normativa: è un cambio di paradigma. L’obiettivo dichiarato è tripartito:

1. Armonizzazione reale. La NIS1 lasciava troppo spazio interpretativo agli Stati membri, creando livelli di protezione disomogenei. La NIS2 introduce obblighi tecnici dettagliati, riducendo al minimo i margini di discrezionalità nazionale.
2. Accountability dei vertici aziendali. Una delle novità più dirompenti è la responsabilità diretta degli organi di amministrazione. Non basta più delegare la cyber security al reparto IT: i consigli di amministrazione devono approvare le misure di sicurezza, garantire le risorse necessarie e sottoporsi a formazione specifica. In caso di violazioni gravi, i manager rischiano sanzioni personali e interdizione dalle funzioni direttive.
3. Gestione del rischio di filiera. La NIS2 impone una valutazione sistemica delle vulnerabilità, estendendo gli obblighi di security ai rapporti con fornitori e subfornitori. Non è più sufficiente proteggere il proprio perimetro: bisogna governare il rischio cyber lungo l’intera catena del valore.

NIS2: chi sono i soggetti obbligati e come vengono classificati

Determinare se un’organizzazione rientra nel perimetro NIS2 è tutt’altro che banale. Il decreto italiano introduce criteri di classificazione articolati, basati su tre parametri fondamentali: settore di attività, dimensioni aziendali e criticità dei servizi erogati.

L’approccio è ibrido: per alcuni settori vige una logica di inclusione automatica (come le pubbliche amministrazioni centrali), per altri si applicano soglie dimensionali precise.

Partiamo da un dato che molte aziende stanno scoprendo solo ora: il fatto di non essere “grandi” non significa essere esclusi.

La NIS2 abbandona la logica puramente dimensionale della NIS1, introducendo il principio di rilevanza sistemica. Tradotto: se la vostra azienda erogasse servizi essenziali per il funzionamento di filiere critiche, potreste rientrare anche con un organico ridotto.

Entità essenziali (EE) e entità importanti (EI): le differenze chiave

La distinzione tra entità essenziali (EE) e entità importanti (EI) non è meramente classificatoria: determina intensità degli obblighi, frequenza dei controlli e, soprattutto, entità delle sanzioni.

Le entità essenziali operano nei settori altamente critici (energia, trasporti, sanità, infrastrutture digitali, acqua, settore bancario, mercati finanziari, spazio) e sono soggette a vigilanza rafforzata.

Per queste organizzazioni, l’ACN può disporre ispezioni in loco senza preavviso e richiedere audit straordinari.

Le entità importanti, pur operando in settori critici (servizi postali, gestione rifiuti, industria alimentare, manifattura, ricerca), godono di un regime leggermente meno stringente, ma non per questo trascurabile.

La differenza si riflette anche nell’apparato sanzionatorio: per le EE le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo; per le EI il tetto scende a 7 milioni di euro o all’1,4% del fatturato.

Attenzione: questo è l’errore che si commette più spesso. Molte aziende ritengono che, rientrando nella categoria “importanti”, possano permettersi un approccio soft alla compliance. Sbagliato. La differenza tra EE ed EI riguarda l’intensità della vigilanza, non la sostanza degli obblighi tecnici. Le misure di sicurezza richieste dall’articolo 24 del decreto attuativo della NIS 2 si applicano a entrambe le categorie con minime differenziazioni.

I settori critici coinvolti e il principio della dimensione

I 18 settori coperti dalla NIS2 rappresentano l’ossatura dell’economia europea.

Parliamo di:

1. energia (produzione, trasmissione, distribuzione elettrica, gas, idrogeno, riscaldamento);
2. trasporti (aerei, ferroviari, marittimi, stradali);
3. settore bancario e mercati finanziari;
4. sanità (ospedali, laboratori, produzione farmaceutica);
5. acqua potabile e acque reflue;
6. infrastrutture digitali (cloud, data center, CDN, DNS, TLD, registri digitali);
7. spazio (operatori di infrastrutture terrestri critiche);
8. pubblica amministrazione (centrale e regionale);
9. servizi postali;
10. gestione rifiuti;
11. produzione e distribuzione alimentare;
12. industria manifatturiera (dispositivi medici, computer ed elettronica, macchinari, veicoli e rimorchi, altri mezzi di trasporto);
13. fornitori digitali (marketplace, motori di ricerca, social network), ricerca.

Il principio dimensionale opera in modo differenziato. Per le medie imprese (50-249 dipendenti e fatturato 10-50 milioni di euro) l’inclusione è automatica se operano nei settori indicati.

Per le piccole imprese (10-49 dipendenti) e le microimprese (sotto i 10 dipendenti) l’inclusione avviene solo se sono “unici fornitori” di servizi essenziali in uno Stato membro o se un’interruzione dei loro servizi avrebbe impatti significativi su sicurezza pubblica, salute o economia.

Ecco due casi pratici che aiutano a comprendere il principio dimensionale adottato dalla NIS2: un’azienda manifatturiera da 180 dipendenti che produce componenti critici per il settore automotive si chiede se rientra. La risposta è quasi certamente sì, come entità importante. Stesso discorso per una software house da 65 persone che sviluppa piattaforme di telemedicina utilizzate da ASL: probabilmente rientra come fornitore digitale di servizi sanitari.

Gli obblighi di cyber sicurezza per le aziende

L’articolo 24 del D.lgs. 138/2024 costituisce il cuore pulsante degli obblighi NIS2 (per la Direttiva europea l’articolo di riferimento è il 21). Qui troviamo l’elenco dettagliato delle misure tecniche, operative e organizzative che i soggetti obbligati devono implementare.

Non si tratta di linee guida vaghe, ma di requisiti precisi che l’ACN può verificare in sede ispettiva.

Le misure devono essere “adeguate e proporzionate”, il che significa che vanno calibrate in base a: stato dell’arte tecnologico, costi di implementazione, probabilità e gravità degli incidenti, natura e portata dei servizi erogati.

L’ACN ha pubblicato le “specifiche di base” che rappresentano il livello minimo di conformità: un mix di controlli derivati da standard internazionali (ISO/IEC 27001, framework NIST, CIS Controls) adattati al contesto nazionale.

Ma è importante sottolinearlo: le specifiche di base sono il pavimento, non il soffitto.

Un’organizzazione che si limita al minimo sindacale potrebbe trovarsi inadeguata in caso di incident significativo.

L’analisi del rischio e l’implementazione delle misure di sicurezza

Il risk assessment non è un documento da produrre una tantum per compliance formale. Deve essere un processo continuo, da aggiornare almeno annualmente o ogni volta che si verificano cambiamenti significativi (nuove tecnologie, fusioni aziendali, ingresso in nuovi mercati).

L’analisi deve identificare: asset critici (sistemi, dati, processi), minacce plausibili (ransomware, DDoS, data exfiltration, supply chain compromise), vulnerabilità tecniche e organizzative, impatto potenziale degli scenari di rischio.

Le misure di sicurezza minime includono:

1. policy di gestione dei rischi approvate dal vertice;
2. gestione degli incidenti con procedure testate;
3. business continuity e disaster recovery (con recovery time objectives documentati);
4. sicurezza della supply chain (valutazione cyber dei fornitori);
5. sicurezza nell’acquisizione, sviluppo e manutenzione di sistemi;
6. policy e procedure per valutare l’efficacia delle misure;
7. pratiche di igiene informatica e formazione (awareness ricorrente, simulazioni di phishing);
8. crittografia e cifratura dove applicabile;
9. sicurezza delle risorse umane (background check, clausole contrattuali);
10. controllo degli accessi (gestione identità, MFA, principio del privilegio minimo);
11. gestione degli asset (inventario aggiornato, classification);
12. autenticazione multi-fattore robusta;
13. comunicazioni sicure (VPN, crittografia end-to-end);
14. segmentazione della rete.

Il consiglio esperto è quello di non cercare di implementare tutto contemporaneamente. Meglio prima identificare i quick win (MFA, backup testati, patching sistematico) e costruite una roadmap a 18 mesi per gli interventi strutturali.

E soprattutto: documentate tutto. In caso di ispezione ACN, la mancanza di evidenze documentali pesa quanto la mancanza delle misure stesse.

La gestione degli incidenti: tempi e procedure di notifica all’ACN

La gestione degli incidenti è probabilmente l’area più complessa e fraintesa della NIS2. L’obbligo di notifica scatta solo per incidenti “significativi”, ma la definizione di significatività è articolata.

Un incidente è significativo se:

1. causa interruzione grave dei servizi erogati;
2. comporta perdite economiche rilevanti;
3. colpisce un numero elevato di utenti;
4. ha impatto su altri Stati membri;
5. genera ampia copertura mediatica.

Il processo di notifica segue uno schema a tre fasi temporalmente scandito.

1. Avviso preliminare (entro 24 ore): notifica iniziale al CSIRT Italia appena si ha consapevolezza dell’incidente. Deve contenere: indicazione se l’incidente è sospetto cyber attacco, natura presunta (malware, DDoS, data breach), primi indicatori tecnici disponibili. Non è richiesta certezza: meglio notificare in eccesso che in difetto.
2. Notifica dettagliata (entro 72 ore): aggiornamento strutturato con descrizione dettagliata dell’incidente, gravità e impatto sui servizi, indicatori di compromissione tecnici (IoC), misure di mitigazione adottate, eventuale cross-border impact. Qui serve già un’analisi forensic preliminare.
3. Rapporto finale (entro 1 mese): relazione conclusiva con timeline dettagliata dell’incident, root cause analysis, impatto finale quantificato, efficacia delle misure di contenimento, lesson learned e azioni correttive. Questo documento deve essere approvato dal vertice aziendale.

La figura del Referente CSIRT

Una novità rilevante introdotta con Determinazione ACN è l’obbligo di designare un Referente CSIRT entro il 31 dicembre 2025.

Si tratta di una persona fisica (interna o esterna) che funge da interfaccia operativa tra l’organizzazione e il CSIRT Italia, gestendo le notifiche e coordinando la risposta agli incidenti.

Questa figura richiede competenze tecniche di base in cyber security, conoscenza approfondita dei sistemi aziendali e capacità di operare sotto pressione.

L’assenza di un Referente CSIRT designato nei termini espone a sanzioni per violazione degli obblighi di comunicazione.

Sicurezza della supply chain e la gestione dei rapporti con i fornitori

La supply chain è il tallone d’Achille della cyber security moderna. L’attacco a SolarWinds (2020) o quello recente a Kaseya hanno dimostrato che compromettere un fornitore strategico può essere più efficace che attaccare direttamente il target.

Per questo la NIS2 dedica ampio spazio alla supply chain security.

Gli obblighi specifici includono:

• mappatura dei fornitori critici: identificare i fornitori che, se compromessi, potrebbero impattare la continuità dei vostri servizi essenziali. Non tutti i fornitori sono uguali: focus su chi gestisce dati sensibili, ha accesso remoto ai vostri sistemi, fornisce componenti software embedded;
• due diligence cyber: prima di stipulare contratti con nuovi fornitori, valutarne la postura di sicurezza (certificazioni ISO 27001, SOC 2, policy di incident response, track record di breach);
• clausole contrattuali vincolanti: i contratti devono prevedere obblighi espliciti di sicurezza, diritto di audit, obbligo di notifica tempestiva di incidenti che potrebbero impattarvi, responsabilità in caso di data breach;
• monitoraggio continuo: la supply chain security non finisce con la firma del contratto, ma richiede verifiche periodiche (almeno annuali) sulla conformità dei fornitori.

Formazione del personale e misure di igiene informatica

L’errore umano resta la prima causa di incidenti cyber: phishing, uso di password deboli, mancato aggiornamento di software.

Per questo la NIS2 dedica attenzione specifica alla security awareness.

La formazione deve essere:

1. strutturata e ricorrente: non basta un corso annuale generico, serve formazione differenziata per ruoli (utenti finali, amministratori di sistema, sviluppatori) con refresh periodici;
2. pratica e contestualizzata: simulazioni di phishing, tabletop exercises per testare la risposta a incidenti, workshop su scenari realistici;
3. misurabile: tracciare tassi di partecipazione, risultati dei test di phishing simulato, tempo medio di detection di anomalie da parte degli utenti.

Le misure di igiene informatica includono pratiche che dovrebbero essere scontate ma spesso non lo sono:

1. gestione delle patch: protocolli sistematici per applicare aggiornamenti di sicurezza entro tempi definiti (critico: 72 ore; alto: 7 giorni; medio: 30 giorni);
2. gestione delle password: policy stringenti (lunghezza minima 12 caratteri, complessità, rotazione per account privilegiati), uso di password manager aziendali;
3. gestione dei dispositivi: inventario completo di asset IT/OT, procedure di hardening per workstation e server, gestione sicura degli endpoint (MDM/UEM per dispositivi mobili);
4. backup e recovery: strategia 3-2-1 (tre copie, due media diversi, una offsite), test periodici di restore, backup immutabili per proteggersi da ransomware.

La responsabilità dei dirigenti e le sanzioni previste dalla NIS2

Qui arriviamo al punto che sta facendo sudare freddo molti CEO e consigli di amministrazione: la responsabilità personale.

L’articolo 2 della Determinazione ACN del 14 aprile 2025, implementando le prescrizioni dell’art. 23 del D.lgs.138/2024, afferma con nettezza un principio rivoluzionario: le misure di sicurezza di base sono a carico degli organi di amministrazione e direttivi.

Quindi, il CdA e il C-Level devonoassumere il controllo operativo e la responsabilità formale.

Tradotto senza giri di parole: i vertici aziendali non possono più dire “non sapevo”, “l’IT non mi aveva informato”, “pensavo fosse tutto a posto”. Devono dimostrare di aver compreso i rischi cyber, allocato risorse adeguate, approvato formalmente le misure di sicurezza e vigilato sulla loro corretta implementazione.

L’ACN può richiedere evidenza documentale di riunioni consiliari dedicate alla cyber security, delibere di approvazione del budget security, attestazioni di partecipazione a formazione specifica.

Le conseguenze del mancato adeguamento: multe e impatto sul fatturato

L’apparato sanzionatorio della NIS2 è stato disegnato per fare male. Le sanzioni amministrative pecuniarie sono calcolate sul fatturato mondiale, non quello italiano: un criterio che colpisce duramente gruppi multinazionali.

Per le entità essenziali, le violazioni degli obblighi di sicurezza (art. 21-26) possono costare fino a 10.000.000 di euro o, se superiore, il 2% del fatturato mondiale totale annuo. Anche la mancata registrazione o le omissioni informative minori partono da 0,1% del fatturato mondiale.

Per le entità importanti, il regime è leggermente meno severo ma comunque rilevante: fino a 7.000.000 di euro o 1,4% del fatturato mondiale per violazioni gravi, 0,07% per inadempimenti formali come la registrazione tardiva. Le pubbliche amministrazioni hanno un regime diverso, con sanzioni fisse che vanno da 10.000 a 50.000 euro per le PA locali, fino a 100.000 euro per quelle centrali.

Ma c’è di più. L’articolo 38 del decreto attuativo prevede sanzioni accessorie che possono essere devastanti:

1. interdizione temporanea dalle funzioni direttive: i membri degli organi di gestione possono essere interdetti dallo svolgimento delle loro funzioni per tutto il periodo di inadempimento;
2. sospensione di certificazioni: sospensione temporanea delle autorizzazioni o certificazioni necessarie per operare, fino al completamento delle misure correttive;
3. pubblicazione delle sanzioni: l’ACN può disporre la pubblicazione sul proprio sito delle sanzioni irrogate, con evidente danno reputazionale.

Il meccanismo della reiterazione aggrava ulteriormente il quadro: chi commette violazioni simili nell’arco di cinque anni vede le sanzioni raddoppiate o triplicate. Un’azienda sanzionata nel 2025 per inadeguatezza delle misure di incident response che nel 2028 subisce un nuovo incidente per carenze analoghe rischia sanzioni triplicate.

Scadenze principali e come prepararsi alla compliance NIS2

Il percorso di adeguamento alla NIS2 segue una roadmap precisa con scadenze scaglionate secondo logica di gradualità. Superate le prime due tappe strategiche:

• 28 febbraio 2025: registrazione sulla piattaforma ACN e designazione del Punto di Contatto. Questa scadenza è già passata per molte organizzazioni, ma l’ACN ha concesso proroghe fino al 31 luglio 2025 per chi ha aperto ticket di supporto. La mancata registrazione comporta sanzioni immediate (0,1% o 0,07% del fatturato);
• 31 maggio 2025: aggiornamento annuale delle informazioni registrate. I soggetti già registrati devono confermare o modificare i dati precedentemente comunicati;

ecco le altre milestone critiche:

• 20 novembre – 31 dicembre 2025: designazione del Referente CSIRT. Questa è una delle novità più recenti e rilevanti: ogni soggetto NIS deve nominare tramite procedura telematica sul Portale ACN una persona fisica (interna o esterna) che fungerà da interfaccia operativa con il CSIRT Italia. È possibile designare anche sostituti per garantire continuità. La mancata designazione nei termini espone a sanzioni per violazione degli obblighi di comunicazione.
• Gennaio 2026: obbligo di notifica degli incidenti significativi al CSIRT Italia. Da questo momento scatta operativamente il regime di incident notification con le tempistiche a tre fasi (24h-72h-1 mese) descritte in precedenza.
• Ottobre 2026: adozione completa delle misure di sicurezza di base e istituzione degli organi di governance cyber security. Questo è il termine ultimo per implementare tutte le misure tecniche e organizzative richieste dall’articolo 21 e per formalizzare l’assetto di governance (organismi di gestione amministrativa e direttivi per la cyber security).

Come prepararsi efficacemente:

Fase 1 – Assessment immediato (ora): verificate se rientrate nel perimetro NIS2 (settore, dimensioni, criticità servizi), fate un gap analysis rispetto alle specifiche di base ACN, identificate le carenze critiche più esposte a sanzioni.

Fase 2 – Quick wins (entro 3 mesi): implementate controlli ad alto impatto/basso sforzo (MFA, patching policy, backup testati, segmentazione base), documentate le procedure esistenti (spesso le organizzazioni fanno più di quanto credano, ma manca evidenza formale), nominate il Referente CSIRT identificando la persona giusta (con competenze tecniche, conoscenza del business, capacità di crisis management).

Fase 3 – Consolidamento (6-12 mesi): costruite o rafforzate il Security Operations Center (anche in outsourcing), implementate SIEM/SOAR per correlation e response automatizzata, testate incident response plan con tabletop exercises, avviate programma di security awareness strutturato, conducete audit di supply chain sui fornitori critici.

Fase 4 – Maturità (12-18 mesi): certificate ISO 27001 o framework equivalenti (non obbligatorio ma fortemente raccomandato), implementate threat intelligence e vulnerability management continuo, avviate programmi di penetration testing periodico, costruite metriche di efficacia delle misure (MTTR, detection rate, patch compliance).

La NIS2 come abilitatore strategico

Il mio consiglio finale: non affrontate la NIS2 come ennesimo adempimento burocratico. È un’opportunità per trasformare la cyber security da cost center a enabler strategico. Le aziende che sapranno comunicare ai clienti e al mercato la propria conformità NIS2 guadagneranno vantaggio competitivo.

Quelle che la subiscono passivamente rischiano non solo multe salate, ma perdita di competitività in un mercato sempre più attento alla cyber resilience dei partner. E ricordate: l’ACN ha poteri ispettivi ampi e sta costruendo capacità di enforcement.

Le prime sanzioni significative arriveranno probabilmente tra fine 2026 e inizio 2027, quando scadranno i periodi di grace.

Meglio arrivare pronti che giocare alla roulette russa con il 2% del fatturato.