Riepilogo post nella categoria Gestione rischio informatico

NIS2 represents one of the most significant regulatory advances in cybersecurity within the European Union. As cyber threats become more frequent and sophisticated, EU legislators have recognized that voluntary adherence to best practices is no longer enough—security must be mandated at a continental level. Many organizations, whether large enterprises or small to medium-sized businesses, still treat cybersecurity as an afterthought or optional expense; NIS2 aims to correct this perception. By establishing uniform requirements and strict compliance deadlines, it reinforces that protecting data, systems, and digital processes is essential for both business continuity and societal resilience.

At roughly two-thirds of the way through the first quarter of the 21st century, the EU seeks to position itself as a global leader in safeguarding digital infrastructure, ensuring that critical sectors are prepared to withstand the ever-growing number of cyberattacks. Consequently, NIS2 requires organizations in specific industries—ranging from energy and transportation to healthcare and banking—to adopt solid defensive measures and continuously monitor for vulnerabilities. While each Member State transposes the directive into its own legal framework, the overarching message remains clear: cybersecurity is not a mere box-ticking activity but a core responsibility. Outside the EU, other countries may have similar or entirely different requirements, reinforcing that NIS2’s scope is primarily European in nature, yet it sets a robust example for the rest of the world.

What is NIS2, in Practical Terms

Imagine NIS2 as a “mandatory cybersecurity update” for European organizations, aimed at better protecting them from cyber attacks. It’s a European Union directive—“NIS” stands for “Network and Information Security”. NIS2 is simply the second version, more extensive and stringent than the previous 2016 NIS directive, and it entered into force on January 17, 2023. Importantly, it applies to businesses and entities operating within EU Member States, reflecting the EU’s decision to enforce cybersecurity obligations rather than leave them to chance. Companies outside the EU must follow their local or international regulations, which can vary significantly, but NIS2 is strictly about strengthening cyber resilience across the Union.

Why It Matters for Your Organization

Today, the dependence on digital technologies is total. If an organization’s IT systems fail because of an attack, the consequences can be severe: data loss, production shutdown, reputational damage, and huge costs. NIS2’s goal is to raise cybersecurity levels across Europe, making organizations more resilient and protecting the economy and society as a whole. This directive underscores that in the EU, cybersecurity is no longer optional—it’s a fundamental requirement. If your organization operates within any EU Member State or serves EU-based sectors covered by the directive, you may have legal obligations to adopt specific security measures. Even if you are not directly subject to EU law, understanding NIS2’s principles can help you align with emerging best practices, given the Union’s leadership in setting strong cybersecurity standards worldwide.

Who Does NIS2 Apply To? Who Should Be Concerned?

First of all, NIS2 only applies to organizations within the European Union. If your business operates outside the EU, you should follow your local regulations, which may have similar or entirely different requirements. In any case, NIS2 is a valuable reference for understanding the direction of global cybersecurity standards, and shall be considered as a best-practice whitepaper for any organization that wants to improve its security posture.

NIS2 delimits technical and organizational security measures for organizations in sectors deemed critical for society and the economy.

The directive’s scope is broad, covering a wide range of industries, from energy and transport to healthcare and digital services. NIS2 doesn’t cover every organization, but it applies to a much larger number than in the past. The directive identifies two main categories: "Essential Entities" and "Important Entities".

  • Essential Entities: Organizations considered critical for the country’s infrastructure and the functioning of the economy, such as:
    • Energy: Power grids, gas, energy generation plants (including nuclear).
    • Transport: Airports, ports, railways, large road operators.
    • Healthcare: Hospitals, clinics, labs.
    • Banking and Finance: Major banking institutions, stock exchanges.
    • Drinking Water: Operators managing water treatment and distribution.
    • Digital Infrastructure: Cloud providers, data centers, DNS operators.

Practical examples of “Essential Entities” include large energy companies, major airports, large hospital networks, important banking institutions, and cloud service providers (e.g., AWS, Microsoft Azure, Digital Ocean, OVH, etc.).

Whoever falls within “Essential Entities” must comply with NIS2, regardless of size, if operating in these critical sectors. As a rule of thumb, organizations with more than 250 employees or over 50 million euros in annual turnover are considered large, hence typically classified as “Essential.”

  • Important Entities: Organizations operating in sectors still considered relevant, though slightly less critical. Examples include:
    • Postal and courier services.
    • Waste management.
    • Production and distribution of certain critical chemicals.
    • Food manufacturing and processing (key for food security).
    • Pharmaceuticals and medical device companies.
    • Providers of ICT services (somewhat less critical than “Essential” digital infrastructure).
    • Public administration at regional/local levels.
    • Research and development in security.

Examples of “Important Entities” might be large logistics companies, major food manufacturers, pharmaceutical companies, large software houses, or regional administrations.

For “Important Entities,” NIS2 generally applies to organizations with over 50 employees or over 10 million euros in annual turnover.

NOTE: Even if your organization doesn’t neatly fit these categories, it’s critical to verify carefully. The full list and details can be found in the directive’s annexes. When in doubt, it’s best to get informed and prepared.

How Does an Organization Comply with NIS2?

NIS2 requires organizations to adopt concrete measures to protect their IT systems. These obligations primarily address:

  1. Risk Analysis and Management:
    You must identify your organization’s cyber risks (hacking, malware, data loss, etc.) and implement policies to minimize them. This includes:

    • Continuous risk assessment.
    • Backup and data recovery plans (business continuity).
    • Supply chain security (checking your vendors’ security).
    • Managing system vulnerabilities.
  2. Technical, Operational, and Organizational Security Measures:
    You must implement concrete actions, guided by best practices and cost considerations. Examples include:

    • Written and enforced cybersecurity policies.
    • Security incident management: procedures to detect, respond, and report attacks.
    • Physical security for servers and infrastructure.
    • Access control: who can access which IT systems.
    • Encryption: protecting sensitive data.
    • Employee training: making personnel aware of cyber risks and best practices.
    • Multi-factor authentication: preventing unauthorized logins.
    • Ongoing security updates: keeping software and systems patched.
  3. Incident Reporting:
    If a major cyber incident occurs, you must promptly notify the relevant national authority. Timing is strict:

    • Within 24 hours: an initial alert.
    • Further updates and a final report within one month.
  4. Liability of Top Management:
    NIS2 places direct responsibility on senior executives. They must ensure the organization implements proper security measures and be ready to respond to incidents. Essentially, managers have direct accountability for cybersecurity.

Deadlines and Possible Penalties

Each EU Member State is required to transpose NIS2 into its national legislation, setting out detailed deadlines and local processes. In general, once the directive’s rules fully apply:

  • Non-compliance can lead to substantial administrative fines. Up to:
    • For “Essential” entities: €10 million or 2% of worldwide annual turnover (whichever is higher).
    • For “Important” entities: €7 million or 1.4% of worldwide annual turnover (whichever is higher).

Besides financial penalties, there can be further consequences. Senior management may be held personally responsible if they fail to ensure compliance with the rules. Authorities can also impose binding corrective measures and, in extreme cases, temporarily suspend an organization’s operations.

Practical Tips for Executives

  1. Verify Immediately whether your company is covered by NIS2 (sector, size). Do not underestimate this step! Consult official documents or seek expert advice if unsure.
  2. If you do fall under the directive, start planning your compliance. Don’t wait. Assess your current security posture, identify gaps, and begin implementing the required measures.
  3. Engage top management. Cybersecurity must become a priority for the board and senior leadership.
  4. Train employees. Everyone should be cyber-aware. Cybersecurity is not just about tech staff but also about every worker who handles sensitive data or devices.
  5. Consider specialized consultants if cybersecurity is not your core business, to help with risk assessment and technical measures.

How to Embrace the Technological Switchover

NIS2 isn’t mere bureaucracy, but an investment in the security and resilience of your organization. Complying in time not only spares you from severe fines, it also protects your business and reputation in an ever more digital and threat-prone world.

Don’t view it as “just another regulatory requirement” but as an opportunity to strengthen your organization and make it more competitive. A key takeaway: cybersecurity is an investment, not a cost. In an interconnected and digital world, it’s an indispensable investment.


NIS2: Detailed Summary for Further Study

  1. Introduction and Regulatory Context
  2. Summary of the Rules and Official Documents
  3. List of Relevant Sectors and Subsectors
  4. Essential, Important, and Out-of-Scope Entities
  5. Obligations and Compliance Timelines
  6. Cybersecurity Measures and Incident Notification
  7. Enforcement Powers and Sanctions
  8. Practical Recommendations
  9. References

1. Introduction and Regulatory Context

Cybersecurity is now essential for the continuity of any business: a cyber attack can lead to operational downtime, reputational damage, and legal liability. It’s not just a “technical matter” to hand off to a few experts; it’s a strategic concern involving everyone, from top management to front-line operators.

The new Directive (EU) 2022/2555 (NIS2), which updates Directive (EU) 2016/1148 (NIS), aims to create a common level of cybersecurity across the EU. Each Member State is responsible for implementing national laws or regulations reflecting the directive’s objectives, with strict deadlines, potential mandatory registrations, and increased accountability for critical or important service providers.

Anyone within the scope of this regulation should note:

  • Compliance deadlines can be fairly tight.
  • Penalties can be significant.
  • Ignoring or postponing minimal security measures exposes your organization to massive risks.

2. Summary of the Rules and Official Documents

  • Directive (EU) 2016/1148 (NIS): the EU’s first comprehensive cybersecurity framework for networks and information systems.
  • Directive (EU) 2022/2555 (NIS2): imposes broader and stricter obligations, covering new sectors and expanding inspection powers.

For organizations unfamiliar with these documents, it’s advisable to follow a path guided by legal and cybersecurity professionals, with immediate engagement of top management to define resources, budget, and priorities.

2.A EU Directive 2022/2555 (NIS2)

2.A.1 Purpose and General Principles

The NIS2 Directive aims to:

  • Update and strengthen the security measures introduced by the previous NIS Directive (2016/1148).
  • Extend the scope to new sectors and types of services deemed critical.
  • Ensure a high level of cybersecurity throughout the European Union, contributing to the stability of the digital economy.

Each Member State must:

  1. Adopt national cybersecurity strategies, aligning them with the EU framework.
  2. Guarantee cooperation processes (information sharing and mutual support) between national and EU authorities.
  3. Strengthen its national cybersecurity agency, equipping it with the necessary powers.

2.A.2 Scope and Entities Involved

NIS2 applies to both public and private entities in key sectors: energy, transport, banking, healthcare, water, digital services, digital infrastructure, ICT services (managed services), public administration, and other critical industrial fields.

  • Essential: organizations of primary relevance (e.g., healthcare, energy, financial market infrastructures).
  • Important: entities with potentially major impact, though slightly lower criticality compared to “essential.”

The directive lays out distinct criteria for classifying entities based on:

  • Size (number of employees, turnover, geographic footprint).
  • Sector (NACE codes, operational domain).
  • Criticality of services for society and the economy.

2.A.3 Main Obligations

  1. Implementation of Adequate Security Measures

    • Technical and organizational measures to prevent and mitigate cyber threats.
    • Continuous monitoring for swift detection of anomalies or intrusions.
    • Adoption of best practices, international standards (e.g., ISO 27001, ENISA guidelines).
  2. Incident Reporting

    • Mandatory notification to the competent authority of any significant cyber incident within defined timelines (e.g., 24 hours after detection).
    • A subsequent detailed report addressing causes, impact, and response measures.
  3. Cooperation and Information Sharing

    • Establishing rapid communication channels between entities and national/EU authorities.
    • Sharing threat intelligence, vulnerabilities, indicators of compromise (IOC), etc.
  4. Internal Governance

    • Board-level involvement: senior executives are accountable for compliance and can be sanctioned in cases of negligence.
    • Ongoing staff training and periodic review of security policies.

2.A.4 Role of National Cybersecurity Authorities

NIS2 requires each Member State to:

  • Appoint a National Competent Authority with powers of oversight, inspection, and enforcement.
  • Designate a Single Point of Contact to liaise with the authorities of other EU countries and ENISA (the EU Agency for Cybersecurity).

ENISA provides technical and strategic support, promotes best practices, and coordinates EU-wide cybersecurity exercises.

2.A.5 Transposition Procedures

  • EU Member States must incorporate NIS2 into their domestic legal frameworks within 18 months of its official publication, defining:
    • Criteria for identifying essential vs. important entities.
    • Penalty regimes.
    • Incident-reporting procedures.

2.A.6 Coordination with Other Regulations

NIS2 aligns with:

  • The Cybersecurity Act (Regulation (EU) 2019/881), which defines a European cybersecurity certification framework.
  • The GDPR (Regulation (EU) 2016/679) on personal data protection.
  • Specific sector regulations (eIDAS, PSD2, etc.) that may add security or data-handling requirements.

2.A.7 Penalties

NIS2 demands effective, proportionate, and dissuasive sanctions, leaving specific penalty structures to each Member State. Larger companies can face turnover-based fines (similar to GDPR), while smaller ones may face fixed-sum penalties that can still be substantial.

2.A.8 Strategic Importance and Practical Implications

  • Safeguarding the economy and society: disruptions or attacks on critical services (energy, water, hospitals, transport) can have vast repercussions.
  • Executive responsibility: leaders can’t overlook cybersecurity as a purely technical domain; it’s part of overall risk management.
  • Market competitiveness: compliance with NIS2 proves reliability and security — factors increasingly valued by customers, investors, and partners.

2.A.9 Key Takeaways

  1. Broader scope: more sectors and more organizations face cybersecurity requirements.
  2. Stricter incident notifications: quicker, coordinated reporting of cyber incidents.
  3. Stronger enforcement: sanctions designed to be dissuasive and uniform across Member States.
  4. Collaboration: cross-border information sharing at national and EU levels.

Conclusion: NIS2 is a significant step toward bolstering EU-wide cyber resilience. Affected organizations should not underestimate its scope, as non-compliance entails financial, reputational, and legal risks.


2.C Differences Between EU Directive 2022/2555 (NIS2) and EU Directive 2016/1148 (NIS)

2.C.1 General Overview

Directive (EU) 2022/2555 (NIS2) updates and replaces Directive (EU) 2016/1148 (NIS). While both aim for a high level of cybersecurity across Member States, NIS2 introduces substantial changes in scope, stricter obligations, and increased enforcement.

2.C.2 Extended Scope

NIS (2016/1148):

  • Focused on operators of essential services (OES) and digital service providers (DSP) in sectors like energy, transport, banking, financial market infrastructures, healthcare, water, and digital services (cloud, search engines, online marketplaces).

NIS2 (2022/2555):

  • Covers a wider range of sectors and services, emphasizing digital infrastructure, managed security services, social networks, and industrial supply chains deemed critical.
  • Splits entities into essential and important, encompassing more organizations compared to the previous “operators of essential services” definition.

2.C.3 Newly Included Sectors

Moving from NIS to NIS2, additional sectors or previously peripheral ones are now explicitly covered:

  • Content Delivery Networks (CDNs)
  • Managed (Security) Service Providers
  • Social network platforms
  • Postal and courier services, waste management, public administration (central and local)
  • Manufacturing sectors such as medical devices or high-risk chemical production.

2.C.4 Stricter Security Requirements

NIS (2016/1148):

  • Required “appropriate technical and organizational measures” without spelling out detailed minimum standards or assessment benchmarks.

NIS2 (2022/2555):

  • More explicitly mandates risk management procedures (asset management, vulnerability disclosure, business continuity, continuous monitoring).
  • Emphasizes top-management engagement: board members and executives can be personally liable if security obligations are ignored.
  • Introduces “adequacy and proportionality” of measures, based on the critical nature of provided services.

2.C.5 New Incident Reporting Regime

NIS (2016/1148):

  • Mandated incident reporting for events significantly affecting service continuity, leaving Member States some leeway on thresholds and timing.

NIS2 (2022/2555):

  • Tighter deadlines: initial notification within 24 hours, followed by a detailed report within days.
  • Defines “significant incidents” more precisely, considering scale, severity, and impact.
  • Strengthens coordination between national authorities and ENISA for quicker threat information sharing.

2.C.6 Enhanced Inspection and Penalty Powers

NIS (2016/1148):

  • Member States had to introduce “effective, proportionate, and dissuasive” sanctions but had no unified model for calculating fines.

NIS2 (2022/2555):

  • Raises the upper limit of fines, taking cues from the GDPR model (global turnover-based).
  • Requires Member States to grant broad inspection and enforcement powers to national authorities.
  • Stresses personal liability for executives in cases of severe or repeated non-compliance.

2.C.7 Impact on SMEs and Micro-Enterprises

NIS (2016/1148):

  • Contained no explicit exemptions for micro or small enterprises, leaving leeway to each Member State.

NIS2 (2022/2555):

  • Retains a high level of scrutiny for organizations of any size that provide critical services.
  • Permits consideration of employee count and annual turnover to gauge the “proportionality” of measures and penalties, though this isn’t an automatic exemption.
  • Allows for some exceptions for micro/small firms if their activities do not critically affect essential sectors.

2.C.8 Governance and European Coordination

NIS (2016/1148):

  • Established the CSIRTs Network and the Cooperation Group among Member States, but with sometimes limited mandates.

NIS2 (2022/2555):

  • Strengthens ENISA as the central EU hub for technical expertise and coordination.
  • Streamlines cooperation procedures among Member States, promoting broader information exchange on threats, vulnerabilities, and incidents.

2.C.9 Practical Implications of NIS2 vs. NIS

The main changes underscore a clear move toward greater uniformity in cybersecurity management across Europe. Practically, this means:

  1. Inclusion of More Sectors and Entities
    Companies previously excluded now face obligations (e.g., social networks, CDNs, etc.).
  2. Stricter Enforcement
    NIS2 emphasizes truly “dissuasive” penalties, compelling Member States to adopt robust sanction regimes akin to the GDPR.
  3. Board-Level Accountability
    Governance is in the spotlight, with “cyber accountability” assigned to senior leadership.
  4. More Prescriptive Standards
    NIS2 offers clearer guidelines on security measures, incident reporting, and responsibilities, reducing discretionary interpretations.

In short, if the 2016 NIS Directive was the EU’s first major step into cybersecurity, the 2022 NIS2 Directive significantly broadens and deepens the obligation to protect critical infrastructure and essential services, adapting to the growing complexity of digital threats and recognizing the increasingly crucial role of IT services, online platforms, and tech supply chains.


3. List of Relevant Sectors and Subsectors

NIS2 applies to a wide range of sectors and subsectors. In many resources, organizations are grouped by size or nature:

  • NIS1 and CER-type operators
  • Large Enterprises
  • Medium Enterprises
  • Small and Micro Enterprises

Depending on the sector and organization size, they may be labeled:

  • Essential
  • Important (with the possibility that some mid-sized entities may be upgraded to “Essential” by national authorities)
  • Out of Scope (though smaller entities can still be placed under “Important” or “Essential” classification if governments deem them critical)

Below is an overview of the main sectors and related entity types (as commonly referenced in EU-level guidance):

3.1 Energy

  • Activities: electricity, district heating/cooling, oil, gas, hydrogen.
  • Classification (typical approach):
    • Large enterprises: Essential
    • Medium enterprises: Important (potentially “Essential” if critical)
    • Small/micro: Out of scope (except where crucial to the supply chain)

3.2 Transport

  • Activities: air, rail, waterway, major road transport; public transport.
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless identified as critical)

3.3 Banking

  • Activities: credit institutions.
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless otherwise determined)

3.4 Financial Market Infrastructures

  • Activities: trading venues, central counterparties.
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope

3.5 Healthcare

  • Activities:
    • Healthcare providers (hospitals, clinics, labs)
    • EU reference labs
    • R&D of pharmaceuticals
    • Manufacturers of basic pharmaceutical products and preparations
    • Critical medical devices in public health emergencies
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless designated otherwise)

3.6 Drinking Water and Wastewater

  • Activities:
    • Suppliers and distributors of water for human consumption (if deemed essential)
    • Organizations collecting, disposing of, or treating urban/domestic/industrial wastewater (if essential)
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless critical)

3.7 Postal and Courier Services

  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope

3.8 Waste Management

  • Activities: except where not deemed critical.
  • Classification:
    • Large and medium enterprises: Important (or “Essential” if recognized as highly critical)
    • Small/micro: Out of scope (with potential exceptions)

3.9 Chemicals

  • Activities: manufacturing, production, and distribution of chemicals, especially high-risk ones.
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope

3.10 Food Production, Processing, and Distribution

  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless identified as critical)

3.11 Manufacturing

  • Activities: medical/IVD devices, computer/electronics/optics, electrical equipment, automotive, aerospace, etc.
  • Classification:
    • Large/medium enterprises: Important (can be elevated to “Essential” if critical)
    • Small/micro: Out of scope (with exceptions)

3.12 Digital Service Providers

  • Activities:
    • Online marketplaces
    • Online search engines
    • Social network platforms
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless determined otherwise)

3.13 Research

  • Activities: scientific organizations, educational institutes with critical research.
  • Classification:
    • Large/medium entities: Important (can be “Essential” if designated)
    • Small/micro: Out of scope (unless reclassified)

3.14 Digital Infrastructures

  • Activities:
    • Top-level domain (TLD) name registries
    • Public electronic communications networks
    • Content delivery networks (CDNs)
    • Data center services
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless recognized as crucial)

3.15 ICT Service Management (B2B)

  • Activities: managed service providers (MSPs), managed security services (MSSPs).
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (with exceptions)

3.16 Public Administration

  • Activities: central and regional administrations, local governments.
  • Classification:
    • Often treated as Essential, given the institutional role, though small local offices might be classified differently.

3.17 Space Sector

  • Activities: ground-based infrastructure for satellites, mission support that impacts communications or security.
  • Classification:
    • Large enterprises: Essential
    • Medium enterprises: Important
    • Small/micro: Out of scope (unless otherwise designated)

4. Essential, Important, and Out-of-Scope Entities

A key criterion is strategic relevance:

  • Essential: of primary importance for society, the economy, health, or security — subject to the highest scrutiny and penalties.
  • Important: services or activities that can cause substantial impact but are slightly less critical than “essential.”
  • Out of scope: organizations not falling into the above categories. However, they may need to meet certain minimum security requirements if providing services to essential or important entities.

Practical note: The borderline between “out of scope” and “important” isn’t always clear. If you’re unsure, seek professional (legal or technical) advice to avoid risks.


5. Obligations and Compliance Timelines

Under NIS2, each Member State has its own specific timeline for enforcement and compliance, respecting the directive’s overall schedule. Typically:

  • Organizations falling within scope will need to comply with core security requirements and incident reporting obligations after the directive is transposed into national law.
  • Authorities will inspect and enforce compliance, imposing sanctions for breaches.

The best approach is to start early: the operational changes, security upgrades, staff training, and governance modifications often require substantial time to implement effectively.


6. Cybersecurity Measures and Incident Notification

NIS2 mandates that each organization adopt prevention, monitoring, and response measures against cyberattacks. Key focus areas:

  • Intrusion Detection (IDS/IPS) to spot malicious attempts.
  • Incident Response Plans to contain and manage breaches swiftly.
  • Secure Backups and disaster recovery to ensure business continuity.
  • Encryption of data in transit and at rest to protect confidential information.

Incident notification is also crucial: within 24 hours of identifying a serious incident, the organization must alert its designated national authority. Failing to report or delaying notification can lead to penalties (including large fines, and in some cases, personal liability if public safety or critical infrastructures are jeopardized).

6.1 The Role of the Technical Expert (Cloud, Cybersecurity, Backend)

In this regulatory framework, a technical specialist with skills in cloud computing, cybersecurity, and backend engineering is essential to achieve effective compliance and a swift response to incidents.

6.1.A Technical Architecture Design

  • Server Selection and Configuration: a backend engineer knows how to segment networks (VPC, subnets), configure firewalls, and isolate services (on-prem, private, or public cloud).
  • DNS and Critical Infrastructures: DNS configuration must be secure and redundant (to avoid hijacking or downtime from DoS).
  • Scalable Architectures: from a cloud perspective, auto-scaling, load balancing, and multi-region deployments are vital to fulfill continuity requirements under NIS2.

6.1.B Application and Backend Security

  • Secure Coding: adopting best practices (e.g., OWASP Top 10) to prevent SQL injection, XSS, CSRF.
  • Access Control (IAM): setting granular roles and permissions with robust authentication and authorization, avoiding hard-coded credentials or weak password policies.
  • Logging and Tracing: every operation (API call, database query, remote access) should be logged to enable forensic analysis and meet potential inspection demands.

6.1.C Monitoring and Incident Response

  • Centralized Monitoring Systems: SIEM (Security Information and Event Management) solutions or similar log management to detect anomalies in real time.
  • Rapid Response Plan: in case of data breach or DDoS, a runbook describing how to isolate and contain the threat, restore systems, and file official incident reports within 24 hours.
  • Regular Security Testing: vulnerability assessments, penetration tests, and simulation drills help identify weaknesses and fix them proactively.

6.1.D Cloud Services Management

  • Choosing Compliant Providers: selecting certified cloud services (ISO 27001, SOC 2, etc.) eases alignment with NIS2 requirements and assures inbuilt security features (e.g., encryption, GDPR compliance).
  • Encrypt at Rest and in Transit: employing KMS (Key Management Service) for data-at-rest encryption and TLS/SSL for transport, reducing the risk of data interception or tampering.
  • Multi-Region Resilience: replicating data and services across different geographic zones for higher availability, mitigating natural disasters or large-scale attacks on a single region.

6.1.E Collaboration with the Designated Contact Point

  • Information Sharing: the technical expert supports the contact point by providing key details (public IP ranges, active domains, network architecture) and technical incident reports.
  • Notification and Escalation: if a threat or breach emerges, the IT professional coordinates technical teams and ensures timely escalation for official reporting.
  • Audits and Compliance: for inspections or verifications, the expert prepares technical documentation, security reports, and logs to prove compliance with the directive’s criteria.

6.2 Operational Checklist

In practice, successful Cybersecurity Measures implementation and Incident Notification under NIS2 hinge on synergy between management, the designated contact point, and skilled IT staff. The cloud/cybersecurity/backend specialist helps:

  1. Design and maintain robust, secure architectures.
  2. Integrate defensive measures throughout the software lifecycle.
  3. Monitor systems continuously and respond effectively to attacks.
  4. Ensure operational continuity, legal compliance, and protection of corporate and customer data.

Fulfilling these obligations is not just a regulatory necessity; it’s an investment in reliability and market credibility, reducing downtime and penalty risks, and boosting your organization’s overall digital resilience.


7. Enforcement Powers and Sanctions

National authorities (or other relevant bodies) can:

  • Verify the correct implementation of security measures.
  • Demand documentation and audits.
  • Impose administrative fines (often a percentage of annual revenue).
  • In severe violations, they may:
    • Suspend specific operations.
    • Hold senior executives personally responsible if they failed to oversee compliance.
    • Potentially refer cases for criminal investigation if public safety or critical infrastructure is endangered.

Remember: cybersecurity is no longer a “nice-to-have” but a legal requirement, and non-compliance can trigger grave economic and legal repercussions.


8. Practical Recommendations

  1. Start Now

    • Even if deadlines seem distant, the work is substantial (technical, legal, training).
  2. Educate Your Team

    • Everyone must grasp phishing, malware, and social engineering risks.
    • One careless user can undermine even the best security systems.
  3. Define Roles and Responsibilities

    • Formally appoint a contact point or security lead with clear authority.
    • Provide them with resources to act effectively.
  4. Incident Response Plan

    • Lay out procedures for handling attacks or data breaches.
    • Conduct regular drills to test your plan.
  5. Monitor and Update

    • Security is never static. Systems, procedures, and training must be continually refined.
    • Threats evolve, and so should your defenses.

9. References

Questo articolo fa parte della NIS2 Awareness - Dettagli tecnico/operativi sulla Direttiva UE 2022/2555 (NIS2)

Se hai bisogno di un Consulente Cyber Security esperto, contattami senza impegno. Grazie alla collaborazione con un team multidisciplinare di esperti sapremo seguirti nel processo di Analisi, di Procedura, e di Implementazione delle misure tecnico-operative di adeguamento.

  1. NIS2 Explained: Cybersecurity Compliance for European Organizations
  1. Conformità NIS2: Il Ruolo Strategico del Consulente Cybersecurity
  1. Competenze Tecniche e Sicurezza IT: Un Approccio Integrato alla Conformità NIS2

NIS2 è molto più di un acronimo o di un insieme di articoli di legge: è un imperativo strategico per le aziende europee nell'era digitale. Immagina NIS2 come uno scudo protettivo digitale, un "aggiornamento di sistema" obbligatorio nell'evoluto mondo delle tecnologie Cloud e della estrema informatizzazione della quasi totalità dei processi aziendali.

Non si tratta di una semplice checklist da spuntare per adempiere a un obbligo normativo, ma di un cambio di mentalità, un invito a integrare la cybersecurity nel DNA stesso dell'organizzazione. In un contesto in cui la dipendenza dal digitale è totale e le minacce informatiche sono in costante evoluzione, NIS2 si pone come fondamento per la resilienza aziendale, la continuità operativa e la tutela della reputazione.

Questa direttiva, figlia di una consapevolezza crescente dei rischi cyber a livello europeo, non è solo una risposta alle minacce attuali, ma una preparazione per le sfide future, un investimento nella sicurezza e nella prosperità a lungo termine delle aziende europee. Ignorare NIS2 significa esporsi a rischi concreti e potenzialmente devastanti, mentre abbracciarla significa trasformare un obbligo in un'opportunità per rafforzare la propria posizione competitiva e la fiducia dei clienti in un mercato sempre più esigente e interconnesso. Comprendere NIS2 nella sua essenza pratica e strategica è il primo passo per affrontare il percorso di conformità non come un fardello, ma come un progetto di valore per il futuro dell'azienda.

Cos'è NIS2, nella pratica

Nella pratica, NIS2 si traduce in un framework strutturato di obblighi e responsabilità che impattano concretamente sull'operatività aziendale.

Non è una soluzione "chiavi in mano" preconfezionata, ma un insieme di principi guida e requisiti minimi che ogni azienda deve personalizzare e implementare in base al proprio contesto specifico, al settore di appartenenza e al profilo di rischio.

In termini pratici, NIS2 richiede alle aziende di identificare con precisione i propri asset critici, ovvero quei sistemi, dati e processi indispensabili per la continuità del business e l'erogazione dei servizi. Una volta mappati gli asset critici, è necessario condurre un'analisi approfondita dei rischi, valutando le minacce potenziali, le vulnerabilità esistenti e l'impatto potenziale di un incidente di sicurezza. Sulla base di questa analisi, l'azienda è tenuta a implementare un set di misure di sicurezza tecniche, operative e organizzative, proporzionate ai rischi identificati e allo "stato dell'arte" della cybersecurity. Queste misure non sono lasciate alla libera interpretazione, ma sono delineate in modo preciso dalla direttiva e dal decreto di recepimento, spaziando dalla sicurezza fisica e ambientale alla gestione degli incidenti, dalla business continuity alla formazione del personale. Nella pratica quotidiana, ciò significa adottare policy di sicurezza chiare e documentate, implementare controlli di accesso robusti, monitorare costantemente i sistemi, prepararsi a gestire gli incidenti, testare regolarmente le difese e mantenere aggiornati i sistemi. NIS2 non è quindi un adempimento "una tantum", ma un processo continuo di miglioramento e adattamento alla mutevole landscape delle minacce cyber, che richiede un impegno costante e una visione strategica della sicurezza informatica.

Perchè è importante per la tua azienda

Oggi, la dipendenza dal digitale è totale. Se i sistemi informatici di un'azienda vanno in tilt a causa di un attacco, le conseguenze possono essere gravissime: perdita di dati, blocco della produzione, danni alla reputazione, e costi enormi. NIS2 nasce per alzare il livello di sicurezza informatica in tutta Europa, rendendo le aziende più resilienti e proteggendo l'economia e la società nel complesso.

A chi si applica NIS2? Chi deve preoccuparsi e occuparsene?

Concetto importante e fondamentale: NIS2 riguarda le aziende operanti all'interno del perimetro dell'Unione Europea. Se la tua attività si svolge al di fuori dell'UE, dovresti seguire le normative locali, che potrebbero avere requisiti simili o completamente diversi. In ogni caso, NIS2 è un riferimento prezioso per comprendere la direzione degli standard globali di sicurezza informatica, e dovrebbe essere considerato come un whitepaper di best practice per qualsiasi organizzazione che desideri migliorare la propria postura di sicurezza.

NIS2 impone misure di sicurezza tecniche e organizzative per le organizzazioni nei settori ritenuti "critici" per la società e l'economia.

Il campo di applicazione della direttiva è ampio, coprendo una vasta gamma di settori, dall'energia e trasporti alla sanità e servizi digitali. Nella fattispecie, NIS2 non riguarda tutte le aziende, ma un numero molto più ampio rispetto al passato (direttiva NIS). La direttiva distingue due categorie principali: "Soggetti Essenziali" e "Soggetti Importanti". Ecco un elenco dei settori e sotto-settori interessati:

NIS2 non riguarda tutte le aziende, ma un numero molto più ampio rispetto al passato. La direttiva distingue due categorie principali:

  • Soggetti Essenziali: Sono le aziende considerate critiche per il funzionamento del Paese e dell'economia. Parliamo di settori come:
    • Energia: Operatori reti elettriche, gas, impianti di generazione energia (anche nucleare).
    • Trasporti: Aeroporti, porti, ferrovie, trasporto su strada (grandi operatori).
    • Sanità: Ospedali, cliniche, laboratori.
    • Banche e Finanza: Istituti bancari importanti, borse valori.
    • Acqua potabile: Gestori infrastrutture trattamento e distribuzione acqua.
    • Infrastrutture digitali: Cloud, data center, DNS.

Esempi pratici di "Soggetti Essenziali": Grandi aziende di energia come ENEL o ENI, grandi aeroporti come ADR o SEA, grandi gruppi ospedalieri come il San Raffaele o il Policlinico Gemelli, istituti bancari come Intesa Sanpaolo o Unicredit, fornitori di servizi cloud come Amazon Web Services, Microsoft Azure, Digital Ocean, OVH, Aruba, etc.

Chi rientra nei "Soggetti Essenziali" deve rispettare NIS2 a prescindere dalle dimensioni, se opera in questi settori critici. Però, per le dimensioni, in generale, sono considerate "Soggetti Essenziali" le Aziende che superano i 250 dipendenti o i 50 milioni di Euro di fatturato.

  • Soggetti Importanti: Sono aziende operanti in settori considerati comunque importanti, ma meno critici dei "Soggetti Essenziali". Tra questi:
    • Postale e corrieri.
    • Gestione rifiuti.
    • Produzione e distribuzione di prodotti chimici critici.
    • Produzione e trasformazione alimentare (settori chiave per la sicurezza alimentare).
    • Farmaceutica e dispositivi medici.
    • Fornitura di Tecnologie dell'Informazione e della Comunicazione (ICT) – meno critiche dei soggetti essenziali.
    • Ricerca e sviluppo in sicurezza.
    • Amministrazioni Pubbliche regionali e locali.

Esempi pratici di "Soggetti Importanti": Grandi aziende di logistica come Poste Italiane o DHL, grandi aziende alimentari come Barilla o Ferrero, aziende farmaceutiche come Farmindustria o Menarini, grandi software house che sviluppano software gestionali diffusi, enti regionali come la Regione Lombardia o la Regione Veneto.

Per i "Soggetti Importanti", NIS2 si applica a tutte le Aziende che superano i 50 dipendenti o i 10 milioni di Euro di fatturato.

ATTENZIONE: Anche se la tua azienda non rientra precisamente in queste categorie, è fondamentale verificare attentamente. La lista completa e i dettagli sono negli allegati della direttiva e del decreto. In caso di dubbio, è meglio informarsi e prepararsi.

Concretamente, come ci si adegua a NIS2?

La direttiva NIS2 richiede alle aziende di adottare misure concrete per proteggere i propri sistemi informatici. Questi obblighi riguardano principalmente:

  1. Analisi e Gestione del Rischio: Devi capire quali sono i rischi informatici che la tua azienda corre (attacchi hacker, virus, perdita di dati, etc.) e mettere in atto delle politiche per minimizzarli. Questo include:
    • Valutazione continua dei rischi.
    • Piani di backup e ripristino dati (continuità operativa).
    • Sicurezza della catena di fornitura (controllare anche la sicurezza dei fornitori).
    • Gestione delle vulnerabilità dei sistemi.
  2. Misure di Sicurezza Tecniche, Operative e Organizzative: Devi implementare azioni concrete, tenendo conto delle migliori pratiche e dei costi. Esempi di misure:
    • Politiche di sicurezza informatica scritte e applicate.
    • Gestione degli incidenti di sicurezza: Procedure per reagire e segnalare gli attacchi.
    • Sicurezza fisica e ambientale: Proteggere server e infrastrutture fisiche.
    • Controllo degli accessi: Chi può accedere a cosa nei sistemi informatici.
    • Crittografia: Proteggere i dati sensibili.
    • Formazione del personale: Rendere i dipendenti consapevoli dei rischi e delle buone pratiche.
    • Autenticazione a più fattori: Rendere più difficile l'accesso non autorizzato.
    • Aggiornamenti di sicurezza costanti: Mantenere software e sistemi aggiornati.
  3. Notifica degli Incidenti di Sicurezza: Se si verifica un incidente informatico significativo, devi notificarlo tempestivamente alle autorità competenti (ACN). I tempi sono molto stretti:
    • Entro 24 ore dalla scoperta: Notifica iniziale.
    • Aggiornamenti e rapporto finale entro un mese.
  4. Responsabilità dei Vertici Aziendali: NIS2 responsabilizza direttamente i dirigenti di alto livello. Devono garantire che l'azienda adotti le misure di sicurezza adeguate ed essere pronti a rispondere agli incidenti. In pratica, i manager devono essere direttamente coinvolti e responsabili della cybersecurity.

Attuazione delle misure di sicurezza: deadline e sanzioni

Il decreto NIS2 è già in vigore dal 16 ottobre 2024. Le scadenze principali da tenere a mente sono:

  • Registrazione Obbligatoria: Entro il 28 febbraio 2025, tutte le aziende che rientrano nel campo di applicazione devono registrarsi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale (ACN). La mancata registrazione è già sanzionabile! La piattaforma è operativa dal 1° dicembre 2024.
  • Conformità tecnico-informatica completa: Le misure di sicurezza devono essere implementate entro ottobre 2026. Sembra lontano, ma 18 mesi passano in fretta per adeguamenti complessi, soprattutto perchè questi riguardano aspetti critici che richiedono pianificazione, strategia, e diversi attori coinvolti. Questo, giocoforza, richiede tempo per essere messo in atto in maniera efficace.

La direttiva NIS2 prevede sanzioni amministrative per le aziende che non rispettano gli obblighi di sicurezza informatica. Queste sanzioni possono essere significative e includono:

  • Multe Amministrative: La NIS2 introduce un sistema di multe amministrative, con importi massimi che possono raggiungere almeno 10 milioni di euro o il 2% del fatturato mondiale totale annuo dell'esercizio precedente per i soggetti essenziali, e almeno 7 milioni di euro o l'1,4% del fatturato mondiale totale annuo dell'esercizio precedente per i soggetti importanti, a seconda di quale importo sia maggiore. Le sanzioni pecuniarie effettive saranno determinate dalle autorità competenti in base alla gravità della violazione e ad altri fattori rilevanti.
  • Divieto Temporaneo di Esercitare Funzioni di Gestione: In caso di inadempienze gravi e persistenti, la NIS2 prevede la possibilità di imporre il divieto temporaneo di esercitare funzioni di gestione, anche a livello di C-suite. Questa misura, di forte impatto reputazionale e operativo, sottolinea l'importanza della responsabilità del management nella conformità alla direttiva.

Le sanzioni previste dalla NIS2 evidenziano la serietà con cui l'Unione Europea intende affrontare il tema della cybersecurity. La non conformità può comportare conseguenze finanziarie significative e impatti negativi sulla reputazione e sulla continuità operativa delle aziende. Pertanto, l'adozione di misure di sicurezza adeguate e la conformità alla direttiva NIS2 non rappresentano solo un obbligo normativo, ma anche una scelta strategica per proteggere il valore aziendale e garantire la fiducia dei clienti e degli stakeholder.

Conformità alla NIS2: Standard ISO di riferimento

La direttiva NIS2 impone alle aziende l'implementazione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza informatica commisurato ai rischi che devono affrontare. Queste misure devono coprire diversi ambiti, tra cui:

  • Politiche di Sicurezza Informatica: Definizione e implementazione di politiche di sicurezza che guidino le azioni dell'organizzazione in materia di cybersecurity.
  • Gestione del Rischio: Identificazione, analisi e valutazione dei rischi informatici, seguita dall'implementazione di misure di mitigazione appropriate.
  • Sicurezza della Supply Chain: Adozione di misure per garantire la sicurezza della catena di approvvigionamento, valutando e gestendo i rischi derivanti dai fornitori e dai partner esterni.
  • Crittografia e Cifratura: Utilizzo di tecniche di crittografia per proteggere la confidenzialità e l'integrità dei dati, sia a riposo che in transito.
  • Igiene Informatica di Base: Implementazione di pratiche fondamentali di igiene informatica, come l'applicazione del principio zero-trust, l'aggiornamento costante del software, la configurazione sicura dei dispositivi, la segmentazione della rete e la gestione degli accessi (Identity and Access Management - IAM).
  • Gestione degli Incidenti: Definizione di procedure per la gestione e la risposta agli incidenti di sicurezza, inclusa la segnalazione tempestiva alle autorità competenti.
  • Business Continuity e Disaster Recovery: Implementazione di piani per garantire la continuità operativa e il ripristino dei servizi in caso di incidenti o disastri.

La direttiva NIS2 raccomanda esplicitamente alle aziende di dare priorità alla "conformità agli standard internazionali" nei loro sforzi di adeguamento. Le linee guida tecniche dell'ENISA allineano ciascun obiettivo di sicurezza agli standard di best practice, come la norma ISO/IEC 27001 per i sistemi di gestione della sicurezza delle informazioni (ISMS) e la norma ISO 22301 per la gestione della continuità operativa (Business Continuity Management System - BCMS).

ISO/IEC 27001: Sistema di Gestione della Sicurezza delle Informazioni (ISMS)

La norma ISO/IEC 27001 fornisce un framework completo per la creazione, l'implementazione, la manutenzione e il miglioramento continuo di un ISMS. L'implementazione di un ISMS conforme alla ISO/IEC 27001 consente alle organizzazioni di:

  • Minimizzare i Rischi e l'Esposizione alle Minacce: Attraverso un approccio sistematico alla gestione della sicurezza delle informazioni, la ISO/IEC 27001 aiuta le organizzazioni a identificare, valutare e mitigare i rischi in modo efficace.
  • Definire Policy e Procedure Chiare: La norma richiede la definizione di policy di sicurezza, l'implementazione di tecnologie adeguate e la formazione del personale, riducendo il rischio di errori umani e garantendo un approccio coerente alla sicurezza.
  • Adattarsi al Panorama dei Rischi in Evoluzione: La ISO/IEC 27001 impone valutazioni annuali del rischio, consentendo alle organizzazioni di affrontare in modo proattivo le nuove minacce e vulnerabilità che emergono costantemente.
  • Ottenere la Certificazione con Audit Indipendente: La certificazione ISO/IEC 27001, ottenuta attraverso audit di terza parte, fornisce una prova tangibile della conformità a standard internazionali riconosciuti. Questa certificazione può essere utilizzata per dimostrare l'impegno per la sicurezza delle informazioni a fornitori, stakeholder e autorità di regolamentazione, conferendo un vantaggio competitivo sul mercato.

ISO 22301: Sistema di Gestione della Continuità Operativa (BCMS)

La norma ISO 22301 è lo standard internazionale per la gestione della business continuity. Mentre la ISO/IEC 27001 incorpora aspetti di business continuity management (BCM), la ISO 22301 fornisce un processo definito e più approfondito per l'implementazione del BCM. L'adozione della ISO 22301 aiuta le organizzazioni a:

  • Implementare, Mantenere e Migliorare le Pratiche di Business Continuity: La norma fornisce una guida strutturata per lo sviluppo di un BCMS efficace, garantendo che l'organizzazione sia preparata a fronteggiare interruzioni operative di diversa natura.
  • Garantire la Continuità dei Servizi Critici: Attraverso la definizione di piani di business continuity e disaster recovery, la ISO 22301 aiuta le organizzazioni a minimizzare l'impatto delle interruzioni e a ripristinare rapidamente i servizi essenziali.
  • Rafforzare la Resilienza Organizzativa: L'implementazione di un BCMS conforme alla ISO 22301 contribuisce a creare un'organizzazione più resiliente, in grado di affrontare eventi imprevisti e di mantenere la propria operatività anche in situazioni di crisi.
  • Dimostrare la Conformità ai Requisiti NIS2: La certificazione ISO 22301 rafforza ulteriormente la conformità ai requisiti della direttiva NIS2, in particolare per quanto riguarda la gestione degli incidenti e la business continuity.

Sinergia tra ISO/IEC 27001 e ISO 22301

La combinazione delle norme ISO/IEC 27001 e ISO 22301 consente alle organizzazioni di sviluppare un sistema di gestione integrato che comprende sia un ISMS che un BCMS. Questo approccio olistico non solo facilita il raggiungimento della conformità alla NIS2, ma favorisce anche lo sviluppo di una solida resilienza informatica a 360 gradi. L'integrazione dei due standard permette di affrontare in modo sinergico gli aspetti di sicurezza delle informazioni e di continuità operativa, creando un sistema di gestione robusto e completo.

Consigli pratici per gli imprenditori

  1. Verifica immediatamente se la tua azienda rientra nel campo di applicazione di NIS2 (settore, dimensioni). Non sottovalutare questo punto! Consulta i documenti ufficiali e, in caso di dubbio, chiedi consulenza. In questo documento, ti aiutiamo a capire se sei interessato. Fai riferimento a questa sezione.
  2. Se la tua Azienda rientra nel campo di applicazione del NIS2, registrati sulla Piattaforma ACN entro il 28 Febbraio 2025. Non rimandare! La registrazione è obbligatoria e la mancata registrazione è già sanzionabile. Ti spieghiamo brevemente come fare in questa sezione.
  3. Inizia subito a pianificare l'adeguamento. Non aspettare Ottobre 2026. Valuta la tua situazione attuale, identifica le lacune di sicurezza e inizia a implementare le misure necessarie. Leggi attentamente la sezione dedicata per avere un'idea di cosa fare.
  4. Coinvolgi i vertici aziendali. La cybersecurity deve diventare una priorità per il management.
  5. Forma il personale. La consapevolezza dei dipendenti è fondamentale. La cybersecurity non riguarda solo i tecnici, ma tutti i collaboratori: di fatto, tutti i tuoi dipendenti usano dispositivi elettronici, e lavorano molto spesso con dati sensibili.
  6. Considera l'aiuto di esperti del settore. Se la cybersecurity non è il tuo core business, affidati a consulenti specializzati per la valutazione dei rischi e l'implementazione delle misure.

Come affrontare lo switchover tecnologico

NIS2 non è una mera questione burocratica, ma un investimento nella sicurezza e nella resilienza della tua azienda. Adeguarsi in tempo non solo ti mette al riparo da sanzioni pesantissime, ma protegge il tuo business e la tua reputazione in un mondo sempre più digitale e minacciato.

Non prendere la questione come "l'ennesimo adempimento normativo", ma come un'opportunità per migliorare la tua azienda e renderla più forte e competitiva. Cosa molto importante da imparare come concetto: la cybersecurity è un investimento, non un costo. E, in un mondo sempre più interconnesso e digitale, è un investimento indispensabile.

NIS2: Sommario dettagliato per chi vuole approfondire

  1. Introduzione e Contesto Normativo
  2. Sintesi delle Norme e dei Documenti Ufficiali
  3. Elenco dei Settori e Sotto-Settori Interessati
  4. Soggetti Essenziali, Importanti e Fuori Ambito
  5. Obblighi e Scadenze
  6. Registrazione sulla Piattaforma ACN
  7. Misure di Sicurezza Informatica e Notifica degli Incidenti
  8. Poteri Ispettivi e Sanzioni
  9. Raccomandazioni Operative
  10. Riferimenti Normativi

1. Introduzione e Contesto Normativo

La sicurezza informatica oggi è fondamentale per la continuità di qualsiasi attività: un attacco informatico può causare fermi aziendali, danni reputazionali e responsabilità legali. Non si tratta di un aspetto “tecnico” da delegare a pochi esperti, ma di un tema strategico che coinvolge tutto il personale, dal management ai singoli operatori.

La nuova Direttiva (UE) 2022/2555 (NIS2), che aggiorna la Direttiva (UE) 2016/1148 (NIS), punta a creare un livello comune di cybersicurezza in tutta l’UE. L’Italia ha recepito NIS2 con il D. Lgs. 04/09/2024 n. 138 (Decreto NIS). A livello pratico significa tempistiche stringenti, registrazione obbligatoria e maggiori responsabilità per chi gestisce servizi critici o importanti.

Chiunque rientri nel campo di applicazione di questa normativa deve prendere atto che:

  • I tempi di adeguamento sono piuttosto brevi.
  • Le penalità in caso di inadempimento possono essere significative.
  • Ignorare le regole o rimandare le soluzioni minime di sicurezza espone l’azienda a rischi enormi.

2. Sintesi delle Norme e dei Documenti Ufficiali

  • Direttiva (UE) 2016/1148 (NIS): il primo framework europeo per la sicurezza delle reti e dei sistemi informativi.
  • Direttiva (UE) 2022/2555 (NIS2): introduce obblighi più ampi e stringenti, coinvolgendo nuovi settori e potenziando i poteri ispettivi.
  • D. Lgs. 04/09/2024 n. 138 (Decreto NIS): recepisce la NIS2 in Italia, fissando scadenze e obblighi con valenza legale. Il mancato rispetto può sfociare in sanzioni amministrative e, in alcuni casi, penali (p.es. se si determinano situazioni di rischio per la sicurezza nazionale o per la salute pubblica).
  • Determina ACN 38565/2024: specifica come utilizzare la Piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN). Non è un documento puramente “burocratico”: la corretta registrazione e l’invio dei dati richiesti sono condizioni necessarie per evitare sanzioni.

Per chi non avesse familiarità con questi documenti, è consigliabile un approccio guidato da professionisti (legali, consulenti in sicurezza informatica) e un coinvolgimento immediato del management per definire risorse, budget e priorità.

2A. La direttiva UE 2022/2555 (NIS2)

2A1. Finalità e Principi Generali

La Direttiva (UE) 2022/2555, nota come NIS2, ha lo scopo di:

  • Aggiornare e rafforzare le misure di sicurezza informatica introdotte dalla precedente Direttiva (UE) 2016/1148 (NIS).
  • Ampliare il campo di applicazione a nuovi settori e tipologie di servizi ritenuti critici.
  • Assicurare un livello elevato di cybersicurezza in tutta l’Unione Europea, contribuendo alla stabilità dell’economia digitale.

La Direttiva stabilisce che ogni Stato Membro debba:

  1. Adottare strategie nazionali di cybersicurezza coordinandole con il framework europeo.
  2. Garantire processi di cooperazione (informazione e supporto reciproco) con altre autorità nazionali ed europee.
  3. Rafforzare l’Agenzia per la cybersicurezza a livello nazionale (in Italia, l’ACN).

2A2. Ambito di Applicazione e Soggetti Coinvolti

La NIS2 include sia soggetti pubblici sia privati in settori chiave quali energia, trasporti, bancario, sanitario, acqua, servizi digitali, infrastrutture digitali, servizi ICT (managed services), pubblica amministrazione e altri comparti industriali ritenuti critici.

  • Essenziali: organizzazioni di primaria rilevanza (p.es. settore sanitario, energia, infrastrutture di mercato finanziario).
  • Importanti: imprese con impatto potenzialmente significativo, ma di criticità leggermente inferiore rispetto agli essenziali.

La Direttiva specifica criteri distinti per classificare i soggetti su base:

  • Dimensionale (numero di dipendenti, fatturato, estensione geografica).
  • Settoriale (Ateco/NACE e ambito operativo).
  • Criticità dei servizi per la società e l’economia.

2A3. Obblighi Principali

  1. Implementazione di Misure di Sicurezza Adeguate

    • Procedure e sistemi tecnici per prevenire e mitigare attacchi informatici.
    • Monitoraggio continuo per rilevare tempestivamente anomalie o intrusioni.
    • Adozione di best practice, standard internazionali (ISO 27001, ENISA guidelines, etc.).
  2. Notifica di Incidenti

    • Obbligo di segnalare alle autorità competenti ogni incidente informatico rilevante entro tempi definiti (es. 24 ore dalla rilevazione).
    • Relazione successiva più dettagliata con indicazione di cause, impatto, misure adottate.
  3. Cooperazione e Scambio Informazioni

    • Istituzione di canali di comunicazione rapidi tra enti e autorità.
    • Condivisione di indicatori di compromissione (IOC), intelligence su minacce, vulnerabilità, ecc.
  4. Governance Interna

    • Coinvolgimento del management: i vertici aziendali sono responsabili del rispetto degli obblighi e possono essere sanzionati in caso di negligenza.
    • Formazione continua del personale e revisione periodica delle policy di sicurezza.

2A4. Ruolo delle Autorità di Cybersicurezza

La Direttiva NIS2 richiede a ogni Stato Membro di:

  • Nominare un’Autorità Nazionale Competente (in Italia l’ACN) con poteri di vigilanza, ispezione e sanzione.
  • Definire un Single Point of Contact (punto di contatto unico) per relazionarsi con le autorità degli altri Paesi UE e con l’ENISA (Agenzia dell’Unione Europea per la cybersicurezza).

L’ENISA stessa fornisce supporto tecnico e strategico, promuovendo best practice e coordinando esercitazioni di cybersecurity paneuropee.

2A5. Norme e Procedure di Recepimento

  • Gli Stati Membri devono recepire la Direttiva NIS2 nei rispettivi ordinamenti entro 18 mesi dalla pubblicazione ufficiale, definendo leggi o decreti che stabiliscano:
    • Criteri di identificazione dei soggetti essenziali e importanti.
    • Modalità sanzionatorie.
    • Tempistiche e procedure di notifica.

2A6. Coordinamento con altre normative

La Direttiva NIS2 è coordinata con:

  • Il Cybersecurity Act (Regolamento (UE) 2019/881) che definisce il quadro europeo di certificazione per la sicurezza informatica.
  • Il GDPR (Regolamento (UE) 2016/679) in materia di protezione dei dati personali.
  • Normative settoriali specifiche (eIDAS, PSD2, ecc.) che possono aggiungere requisiti di sicurezza o di gestione dei dati.

2A7. Sanzioni

La Direttiva NIS2 prevede sanzioni efficaci, proporzionate e dissuasive, demandandone la definizione operativa ai singoli Stati Membri. Le imprese di grandi dimensioni possono incorrere in ammende pari a una percentuale del fatturato (analogamente a quanto avviene con il GDPR), mentre le imprese più piccole potranno essere colpite da sanzioni in forma di somme fisse ma comunque significative.

2A8. Importanza Strategica e Risvolti Pratici

  • Tutela dell’economia e della società: blocchi o attacchi a servizi critici (energia, acqua, ospedali, trasporti) possono avere ripercussioni enormi.
  • Responsabilizzazione del management: i dirigenti non possono più ignorare la sicurezza informatica come un ambito meramente tecnico; è parte integrante del risk management aziendale.
  • Competitività sul mercato: le aziende conformi alla NIS2 dimostrano affidabilità e sicurezza, fattori sempre più apprezzati da clienti, investitori e partner.

2A9. Riepilogo Principali Punti Chiave

  1. Estensione dell’ambito: più settori e più imprese soggette a requisiti di sicurezza.
  2. Obblighi di notifica: reporting rapido, coordinato e dettagliato sugli incidenti.
  3. Potere sanzionatorio: più incisivo, finalizzato a dissuadere condotte omissive.
  4. Cooperazione: scambio di informazioni a livello nazionale e sovranazionale.

Conclusione: la Direttiva (UE) 2022/2555 (NIS2) rappresenta un passo avanti fondamentale per la resilienza cibernetica dell’Unione Europea. Le imprese e gli enti interessati non devono sottovalutarne la portata, poiché le conseguenze di un inadempimento coinvolgono aspetti finanziari, reputazionali e legali.

2B. Il Decreto Legislativo 04/09/2024 N. 138 (DECRETO NIS)

2B1. Introduzione e Contesto

Il D. Lgs. 04/09/2024 n. 138, comunemente indicato come “Decreto NIS”, è lo strumento legislativo italiano che recepisce la Direttiva (UE) 2022/2555 (NIS2). Pubblicato in Gazzetta Ufficiale (Serie Generale n. 230 del 1° ottobre 2024), il Decreto definisce:

  • L’ambito di applicazione nazionale.
  • Le modalità di identificazione dei soggetti essenziali e importanti.
  • Le procedure di registrazione, notifica degli incidenti e adozione delle misure di sicurezza.
  • I poteri di vigilanza, controllo e sanzione dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Lo scopo principale è aggiornare l’impianto normativo esistente (introdotto dal precedente D. Lgs. 65/2018, recepimento della Direttiva NIS 2016/1148) per adattarlo al nuovo contesto di minacce cyber e alle indicazioni più stringenti di NIS2.

2B2. Struttura del Decreto

Il Decreto NIS si compone di articoli che coprono in modo esaustivo:

  1. Definizioni e Ambito

    • Definisce termini chiave come “servizi essenziali”, “servizi digitali”, “notifica di incidente”, “misure di sicurezza”.
    • Elenca in modo tassonomico quali settori e sottosettori devono adeguarsi, in linea con gli Allegati I, II, III, IV del Decreto stesso.
  2. Identificazione Soggetti Essenziali e Importanti

    • Stabilisce i criteri quantitativi (numero di dipendenti, fatturato, ecc.) e qualitativi (criticità del servizio, interdipendenze con altre infrastrutture).
    • Consente all’ACN di aggiornare periodicamente l’elenco dei soggetti coinvolti.
  3. Obblighi di Sicurezza

    • Richiede l’adozione di misure organizzative (piani di sicurezza, governance interna) e misure tecniche (sistemi di protezione, rilevamento intrusioni, backup sicuri).
    • Prevede la formazione del personale e la responsabilizzazione degli organi di gestione.
  4. Notifica degli Incidenti

    • Disciplina la tempistica (segnalazione preliminare entro 24 ore dall’evento, relazione dettagliata entro alcuni giorni).
    • Specifica i contenuti minimi della notifica (descrizione dell’incidente, impatto, misure correttive).
  5. Registrazione sulla Piattaforma ACN

    • Istituisce formalmente l’obbligo di registrazione entro le date stabilite (17 gennaio 2025 per alcuni fornitori, 28 febbraio 2025 per tutti gli altri).
    • Definisce i dati da fornire (codici ATECO, ambiti di operatività, dimensioni, riferimenti di contatto, deleghe, ecc.).
  6. Poteri Ispettivi e Sanzioni

    • Conferisce all’ACN la facoltà di svolgere auditing, richiedere prove di conformità, ispezionare sistemi, emettere sanzioni amministrative significative.
    • In caso di violazioni gravi e reiterate, si prevede la possibilità di sospendere la fornitura di servizi o revocare autorizzazioni, oltre a inviare la documentazione alle autorità giudiziarie competenti qualora emergano ipotesi di reato.
  7. Disposizioni Transitorie

    • Indica come le aziende già soggette al previgente D. Lgs. 65/2018 debbano aggiornare i propri adempimenti alla nuova normativa.
    • Stabilisce che entro il 18 ottobre 2024 (termine massimo previsto dalla Direttiva NIS2), gli Stati Membri dovevano completare il recepimento.

2B3. Ambito di Applicazione in Italia

Il Decreto si applica a un ampio spettro di soggetti pubblici e privati nei settori ritenuti “essenziali” o “importanti”. Le soglie di riferimento tengono conto sia:

  • Della natura del servizio (ad esempio, produzione e distribuzione di energia, gestione di acque reflue, servizi cloud, sanità).
  • Delle dimensioni e della rilevanza dell’organizzazione (impatto sociale, economico, possibilità di mettere a rischio la sicurezza nazionale).

In particolare, il Decreto NIS include:

  • Settori classici (energia, trasporti, bancario, sanitario).
  • Nuovi ambiti introdotti dalla Direttiva NIS2, come i fornitori di servizi di social network o i gestori di infrastrutture digitali (p.es. CDN, data center, servizi di registrazione di nomi a dominio).

2B4. Registrazione sulla Piattaforma e Ruoli Interni

Una delle novità più rilevanti è l’istituzione formale della Piattaforma ACN, tramite cui i soggetti NIS devono:

  • Designare un Punto di Contatto (PdC) per dialogare con l’Agenzia per la Cybersicurezza Nazionale.
  • Compilare la Dichiarazione contenente informazioni cruciali (codici ATECO esercitati, valutazione “essenziale” o “importante”, numero di dipendenti, ecc.).
  • Aggiornare costantemente i dati (indirizzi IP pubblici, domini utilizzati) nel corso del tempo.

Il Decreto pone l’accento su:

  • Responsabilità del vertice aziendale: la figura del rappresentante legale (o delegato) risponde direttamente degli obblighi.
  • Formazione e sensibilizzazione: il PdC deve garantire che l’organizzazione comprenda i rischi e le procedure di sicurezza.

2B5. Poteri e Competenze dell’ACN

Il Decreto NIS attribuisce all’Agenzia per la Cybersicurezza Nazionale:

  1. Poteri di vigilanza: ispezioni, richieste di audit, verifica documentale.
  2. Facoltà sanzionatorie: in caso di mancata conformità, può infliggere multe amministrative con ammontare variabile (spesso in proporzione al fatturato aziendale).
  3. Poteri di intervento: in situazioni di crisi o incidente grave, l’ACN può emanare direttive vincolanti per i soggetti coinvolti.

2B6. Sanzioni e Conseguenze Legali

Il Decreto NIS ribadisce l’obbligo di sanzioni efficaci, proporzionate e dissuasive, in linea con la Direttiva NIS2. Le sanzioni possono essere:

  • Amministrative pecuniarie: da alcune migliaia di euro fino a quote rilevanti del fatturato annuo, a seconda della gravità dell’inosservanza (simile all’approccio del GDPR).
  • Sospensione delle attività: in casi estremi e reiterati, può essere ordinato il blocco di specifici servizi.
  • Segnalazione all’autorità giudiziaria: se emergono profili di responsabilità penale (ad es. reati colposi o dolosi collegati alla sicurezza informatica).

2B7. Responsabilità Penali

Sebbene la norma non introduca reati “ex novo”, in alcuni casi la mancanza di misure di sicurezza adeguate potrebbe configurare fattispecie penali già esistenti (es. omissione dolosa di cautele, cooperazione in reati informatici, ecc.). Il management e i dirigenti coinvolti potrebbero essere chiamati a rispondere personalmente se dimostrata la loro colpevole negligenza.

2B8. Convergenza con Altre Normative

Il D. Lgs. 138/2024 (Decreto NIS) si coordina con:

  • GDPR (protezione dei dati personali): un incidente di sicurezza potrebbe innescare anche obblighi di notifica privacy al Garante.
  • Cybersecurity Act (Reg. UE 2019/881): introduce schemi di certificazione volontaria e obbligatoria.
  • Normative settoriali specifiche (es. eIDAS, PSD2, DORA per il settore finanziario).

2B9. Aspetti Operativi Pratici

  • Tempistiche ristrette: il Decreto stabilisce scadenze precise per la registrazione (17 gennaio 2025/28 febbraio 2025), nonché per l’adozione delle misure minime di sicurezza (entro 9 o 18 mesi dalla notifica di inserimento nell’elenco NIS).
  • Gestione centralizzata dei Gruppi: le imprese che fanno parte di un gruppo possono designare un unico Punto di Contatto, ma ciascuna entità deve comunque eseguire la registrazione e la dichiarazione delle proprie attività.
  • Approccio di compliance proattiva: data la complessità e la rigidità delle norme, è raccomandato l’utilizzo di framework standard (ISO 27001, NIST CSF, etc.) e la consulenza di esperti in sicurezza informatica e legale.

2B10. Il ruolo del Decreto NIS nel Contesto Europeo

Il D. Lgs. 04/09/2024 n. 138 rappresenta la traduzione concreta in Italia degli obiettivi di NIS2. Non si tratta di un semplice “adempimento burocratico”, bensì di un nuovo paradigma di gestione del rischio che impone alle aziende e agli enti pubblici di adottare misure solide per prevenire, rilevare e rispondere alle minacce informatiche.

Punti chiave:

  1. Ampio raggio d’azione: coinvolge molteplici settori, inclusi quelli non tradizionalmente considerati “critici”.
  2. Registrazione e governance: obbligo di nominare un Punto di Contatto e di fornire dati specifici all’ACN.
  3. Conseguenze reali: sanzioni economiche rilevanti, responsabilità per il management, poteri d’intervento dell’ACN.
  4. Urgenza: le scadenze stanno per arrivare, e i progetti di adeguamento richiedono tempi tecnici e organizzativi.

È cruciale avviare quanto prima un percorso di conformità, mappando i requisiti e pianificando gli interventi necessari, sia per evitare sanzioni sia per mantenere la continuità operativa in un panorama di minacce cyber in costante evoluzione.

2C. Le differenze tra la Direttiva UE 2022/2555 (NIS2) e la Direttiva UE 2016/1148 (NIS)

2C1. Panoramica Generale

La Direttiva (UE) 2022/2555 (NIS2) aggiorna e sostituisce la Direttiva (UE) 2016/1148 (NIS). Pur avendo l’obiettivo comune di garantire un livello elevato di cybersicurezza negli Stati Membri, NIS2 presenta novità sostanziali in termini di ambito di applicazione, settori coinvolti, rigore degli obblighi e regime sanzionatorio.

2C2. Estensione dell’Ambito di Applicazione

Direttiva NIS (2016/1148):

  • Si concentrava principalmente su operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD) in settori quali: energia, trasporti, banche, mercati finanziari, sanità, fornitura e distribuzione d’acqua, e servizi digitali (motori di ricerca, servizi cloud, marketplace online).

Direttiva NIS2 (2022/2555):

  • Copre un ventaglio più ampio di settori e servizi, con particolare attenzione a infrastrutture digitali, servizi di sicurezza gestiti, social network, e filiere industriali considerate critiche (p.es. settore manifatturiero avanzato, R&S di farmaci, gestione rifiuti, settore spaziale, pubblica amministrazione).
  • Introduce la distinzione tra soggetti essenziali e soggetti importanti, includendo più realtà rispetto alla precedente definizione di “operatori di servizi essenziali”.

2C3. Nuovi Settori Inclusi

Nel passaggio dalla NIS alla NIS2, vengono introdotti settori aggiuntivi o precedentemente considerati marginali che ora rientrano a pieno titolo nell’obbligo di adottare misure di sicurezza e di notificare gli incidenti.

Esempi rilevanti:

  • Fornitori di reti di distribuzione di contenuti (CDN)
  • Fornitori di servizi gestiti e di sicurezza gestiti (Managed Services)
  • Fornitori di piattaforme di social network
  • Servizi postali e di corriere, gestione dei rifiuti e pubblica amministrazione (centrale e locale)
  • Settori come la fabbricazione di dispositivi medici o la produzione di sostanze chimiche ad alto rischio.

2C4. Rafforzamento dei Requisiti di Sicurezza

Direttiva NIS (2016/1148):

  • Richiedeva l’adozione di “misure tecniche e organizzative adeguate” senza però specificare in modo dettagliato gli standard minimi o i parametri di valutazione.

Direttiva NIS2 (2022/2555):

  • Specifica con maggiore chiarezza l’obbligo di implementare procedure di gestione del rischio informatico (asset management, vulnerability disclosure, piani di business continuity, monitoraggio continuo).
  • Richiede un coinvolgimento più attivo e diretto del management (organi di amministrazione, dirigenti), che devono essere responsabilizzati sia sulla sicurezza dei sistemi informativi sia sui possibili riflessi legali.
  • Introduce il concetto di “adeguatezza e proporzionalità” delle misure di sicurezza rispetto alla criticità dei servizi erogati.

2C5. Nuovo Regime di Segnalazione degli Incidenti

Direttiva NIS (2016/1148):

  • Imponeva la notifica di incidenti con un impatto significativo sulla continuità dei servizi, ma lasciava un certo margine di discrezionalità agli Stati Membri su tempistiche e soglie di segnalazione.

Direttiva NIS2 (2022/2555):

  • Introduce tempistiche più strette: notifica preliminare entro 24 ore, seguita da un rapporto dettagliato entro alcuni giorni.
  • Definisce in modo più preciso quali eventi sono da considerarsi “incidenti significativi” (taking into account the scale, severity, and impact).
  • Potenzia gli strumenti di coordinamento tra autorità nazionali e l’ENISA per condividere rapidamente informazioni sulle minacce.

2C6. Potenziamento Poteri Ispettivi e Sanzionatori

Direttiva NIS (2016/1148):

  • Prevedeva che gli Stati Membri introducessero sanzioni “efficaci, proporzionate e dissuasive”, ma non stabiliva parametri univoci per il calcolo delle stesse.

Direttiva NIS2 (2022/2555):

  • Aumenta il livello massimo delle sanzioni, ispirandosi al modello del GDPR (dove si possono comminare ammende in percentuale del fatturato globale).
  • Richiede agli Stati Membri di dotare le autorità nazionali di ampi poteri di ispezione, audit e verifica.
  • Sottolinea la responsabilità personale dei dirigenti, in caso di inadempienza grave o sistematica.

2C7. Impatto sulle PMI e sulle Microimprese

Direttiva NIS (2016/1148):

  • Non conteneva disposizioni specifiche per l’esclusione di microimprese o piccole imprese, lasciando agli Stati Membri un certo margine di manovra.

Direttiva NIS2 (2022/2555):

  • Mantiene un livello di attenzione elevato su imprese di qualsiasi dimensione, purché la natura del servizio fornito sia strategica.
  • Consente di considerare parametri quali il numero di dipendenti e il fatturato solo per definire la “proporzionalità” delle misure e delle sanzioni, ma non rappresenta un automatismo per l’esclusione.
  • Prevede qualche eccezione per microimprese e piccole imprese se le loro attività non influiscono in modo critico su settori chiave.

2C8. Governance e Coordinamento Europeo

Direttiva NIS (2016/1148):

  • Istituiva il CSIRTs Network e il Cooperaton Group tra Stati Membri, ma con competenze talvolta limitate.

Direttiva NIS2 (2022/2555):

  • Rafforza il ruolo dell’ENISA come hub europeo di competenze tecniche e coordinamento.
  • Semplifica e centralizza alcune procedure di cooperazione tra Stati Membri, promuovendo un maggior scambio di informazioni su minacce, vulnerabilità e incidenti.

2C9. Implicazioni Pratiche delle differenze tra NIS2 e NIS

Le differenze principali tra la Direttiva NIS e la NIS2 evidenziano un chiaro passo avanti verso una maggiore uniformità nella gestione della cybersicurezza a livello europeo. Sul piano pratico, ciò comporta:

  1. Maggiore Coinvolgimento di Settori ed Entità
    Aziende e organizzazioni precedentemente escluse, come fornitori di servizi digitali di vario tipo (social network, CDN, ecc.), ora sono obbligate a rispettare la normativa.
  2. Poteri Sanzionatori Più Stringenti
    La NIS2 enfatizza l’importanza di sanzioni veramente “dissuasive” e vincola gli Stati Membri a stabilire regimi sanzionatori simili (anche in termini di severità) a quelli del GDPR.
  3. Centralità del Management
    L’aspetto manageriale e di governance è ulteriormente sottolineato, imponendo una “cyber accountability” chiara ai vertici aziendali e agli organi direttivi.
  4. Maggiore Prescrittività e Dettaglio
    NIS2 fornisce indicazioni più puntuali sulle misure di sicurezza, sulle notifiche di incidente e sulle responsabilità, riducendo i margini di interpretazione discrezionale.

In sintesi, se la Direttiva NIS (2016/1148) costituiva un primo passo per la cybersicurezza a livello europeo, la Direttiva NIS2 (2022/2555) amplia e approfondisce l’obbligo di protezione delle infrastrutture critiche e dei servizi essenziali, adeguandosi alla crescente complessità delle minacce digitali e riconoscendo il ruolo sempre più cruciale svolto dai servizi IT, dalle piattaforme online e dalle filiere tecnologiche.

3. Elenco dei Settori e Sotto-Settori Interessati

La Direttiva NIS2 si applica a un’ampia gamma di settori e sotto‐settori. Inoltre, l’immagine allegata suddivide le organizzazioni in base alla loro dimensione o natura in:

  • Soggetti NIS1 e CER
  • Grandi Imprese
  • Medie Imprese
  • Piccole e Micro Imprese

A seconda del settore e della dimensione aziendale, le imprese possono essere classificate come:

  • Essenziali
  • Importanti (con la possibilità che alcune medie imprese siano elevate a “essenziali” a discrezione governativa, come da nota 1)
  • Fuori ambito (con la possibilità che alcune piccole e micro imprese possano comunque rientrare tra i soggetti importanti o essenziali, come da nota 2)

Nota 1: Possibile identificazione governativa come “essenziali”. Nota 2: Possibile identificazione governativa come “importanti” o “essenziali”.

Di seguito il dettaglio dei principali settori e delle relative tipologie di soggetti (come emerge dal file “settori-altemente-critici”):


3.1. Settore Energia

  • Attività incluse: energia elettrica, teleriscaldamento e teleraffrescamento, petrolio, gas, idrogeno.
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (eventualmente elevabili a “essenziali”)
    • Piccole e micro imprese: Fuori ambito (salvo casi in cui diventino “importanti” o “essenziali”)

3.2. Settore Trasporti

  • Attività incluse: trasporto aereo, ferroviario, per vie d’acqua, su strada; TPL (trasporto pubblico locale).
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.3. Settore Bancario

  • Attività incluse: enti di credito.
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.4. Infrastrutture dei Mercati Finanziari

  • Attività incluse: gestori di sedi di negoziazione, controparti centrali.
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti
    • Piccole e micro imprese: Fuori ambito

3.5. Settore Sanitario

  • Attività incluse:
    • Prestatori di assistenza sanitaria (ospedali, cliniche, ambulatori)
    • Laboratori di riferimento dell’UE
    • Soggetti con attività di ricerca e sviluppo di medicinali
    • Soggetti che fabbricano prodotti farmaceutici di base e preparati farmaceutici
    • Dispositivi medici considerati critici in emergenza di sanità pubblica
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.6. Acqua Potabile e Acque Reflue

  • Attività incluse:
    • Fornitori e distributori di acqua destinata al consumo umano (se l’attività è ritenuta essenziale)
    • Imprese che raccolgono, smaltiscono o trattano acque reflue urbane, domestiche o industriali (tranne i soggetti per cui tale attività non è essenziale)
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.7. Servizi Postali e Corrieri

  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti
    • Piccole e micro imprese: Fuori ambito

3.8. Gestione Rifiuti

  • Attività incluse: esclusi i soggetti per cui tale attività non è essenziale.
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi e medie imprese: Importanti (o “Essenziali”, se il servizio è ritenuto critico)
    • Piccole e micro imprese: Fuori ambito (salvo eccezioni previste)

3.9. Sostanze Chimiche

  • Attività incluse: fabbricazione, produzione e distribuzione di sostanze chimiche, specialmente quelle a rischio rilevante.
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito

3.10. Produzione, Trasformazione e Distribuzione di Alimenti

  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.11. Fabbricazione

  • Attività incluse: dispositivi medici e diagnostici in vitro, computer, elettronica e ottica, apparecchiature elettriche, automotive, aerospaziale, ecc.
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi e medie imprese: Importanti (con possibilità di passare a “Essenziali” se governativamente riconosciute)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.12. Fornitori di Servizi Digitali**

  • Attività incluse:
    • Fornitori di mercati online
    • Motori di ricerca online
    • Piattaforme di servizi di social network
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.13. Ricerca

  • Attività incluse: organizzazioni scientifiche, istituti d’istruzione con attività di ricerca critiche.
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi e medie imprese o enti: Importanti (o “Essenziali” se riconosciuti tali)
    • Piccole e micro imprese: Fuori ambito (con possibilità di diversa classificazione governativa)

3.14. Infrastrutture Digitali

  • Attività incluse:
    • Registri di nomi di dominio di primo livello (TLD)
    • Fornitori di reti di comunicazione elettronica accessibili al pubblico
    • Fornitori di reti di distribuzione dei contenuti (CDN)
    • Fornitori di data center
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.15. Gestione dei Servizi TIC (business‐to‐business)

Con TIC si intendono le tecnologie dell'informazione e della comunicazione.

  • Attività incluse: fornitori di servizi gestiti (managed services), fornitori di servizi di sicurezza gestiti (managed security services).
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti (nota 1)
    • Piccole e micro imprese: Fuori ambito (nota 2)

3.16. Pubblica Amministrazione

  • Attività incluse: enti dell’amministrazione centrale e regionale, enti dell’amministrazione a livello locale (comuni, province).
  • Classificazione
    • Per la maggior parte degli enti pubblici, si applica la categoria “Essenziali” (dato il ruolo istituzionale), salvo eventuali eccezioni specifiche.
    • Piccoli enti locali potrebbero rientrare in una classe differente ma, in base all’immagine, la tendenza è considerarli quantomeno “importanti”.

3.17. Settore "Spazio"

  • Attività incluse: operatori di infrastrutture terrestri (es. stazioni di terra per satelliti, servizi connessi a missioni spaziali che abbiano impatto su comunicazioni e sicurezza).
  • Classificazione
    • Soggetti NIS1 e CER: Essenziali
    • Grandi imprese: Essenziali
    • Medie imprese: Importanti
    • Piccole e micro imprese: Fuori ambito (nota 2)

Riepilogando, qualora la tua impresa o ente (sia pubblico che privato) operi in uno dei settori sopraindicati, è cruciale:

  • Verificare la dimensione aziendale (grandi, medie, piccole/micro) e la conseguente classificazione.
  • Comprendere se ricadi immediatamente tra i soggetti “essenziali” o “importanti” oppure se esiste una discrezionalità governativa che potrebbe inserirti in una categoria superiore.
  • Valutare già da ora quali adempimenti di sicurezza informatica (registrazione, misure di cybersecurity, notifiche incidenti, ecc.) siano previsti dalla Direttiva NIS2.

Ignorare tale classificazione (o posporre la verifica) può esporre l’organizzazione a sanzioni significative, oltre a rischi di reputazione e responsabilità legale.


4. Soggetti Essenziali, Importanti e Fuori Ambito

Uno dei criteri chiave è l’importanza strategica. Questo si traduce in:

  • Essenziali: attività di primaria importanza per la società, l’economia, la salute, la sicurezza. Questi soggetti sono i più controllati e sanzionabili.
  • Importanti: servizi o attività che possono generare impatti rilevanti, ma a un livello leggermente inferiore rispetto agli “essenziali”.
  • Fuori ambito: soggetti che non rientrano in alcuna delle due categorie; tuttavia, potrebbero comunque dover rispettare alcune misure di base se forniscono servizi collegati a un soggetto essenziale o importante.

Nota pratica: il confine tra “fuori ambito” e “importante” non è sempre così netto. Se avete dubit su dove collocarvi, è consigliabile un parere professionale (legale o tecnico) per non correre rischi.


5. Obblighi e Scadenze

Le date stabilite dalla Direttiva e dal Decreto NIS non sono negoziabili. I ritardi nell’adeguamento o nella registrazione possono innescare sanzioni e problemi legali.

  1. Entro il 17 gennaio 2025

    • Registrazione obbligatoria per fornitori di DNS, cloud, data center, reti di distribuzione di contenuti, servizi gestiti e di sicurezza, mercati online, motori di ricerca e social network.
    • Non aspettare l’ultimo momento: la piattaforma potrebbe essere sovraccarica, e gli errori di registrazione possono creare complicazioni future.
  2. Entro il 28 febbraio 2025

    • Tutti gli altri soggetti.
    • Se vi rientrate ma ignorate questa scadenza, potreste incorrere in sospensioni di servizio o obblighi più gravosi.
  3. Metà aprile 2025

    • Formazione dell’elenco dei soggetti NIS; notifica e adozione di obblighi iniziali di sicurezza.
  4. Metà maggio 2025

    • Aggiornamento dei dati (indirizzi IP pubblici, domini, informazioni su filiali all’estero, ecc.).
  5. Entro gennaio 2026

    • Implementazione delle misure minime di notifica incidenti (entro 9 mesi dall’inserimento nell’elenco).
  6. Entro ottobre 2026

    • Adozione delle misure di sicurezza di base (entro 18 mesi dall’inserimento nell’elenco).
    • Ritardare gli investimenti in sicurezza può comportare costose corse contro il tempo nell’ultimo anno.

6. Registrazione sulla Piattaforma ACN

6.1. Designazione del Punto di Contatto

  • Il Punto di Contatto (PdC) è il referente unico per le comunicazioni con l’ACN.
  • Può essere il rappresentante legale, un procuratore o un dipendente delegato.
  • Attenzione: scegliere una persona inadeguata o non sufficientemente preparata potrebbe ostacolare le procedure ed esporre l’azienda a ritardi e potenziali sanzioni.

6.2. Il Referente Operativo

  • Per i gruppi di aziende, è spesso necessaria la figura del Referente Operativo in ogni singola società che rientra nel perimetro NIS2.
  • Questo Referente collabora con il PdC su aspetti tecnologici e organizzativi.
  • Una mancata collaborazione interna può generare disallineamenti e errori nelle procedure di registrazione.

6.3. Procedura di Registrazione e Dati Richiesti

  1. Censimento del Punto di Contatto: Dati anagrafici, codice fiscale, email, PEC, telefono.
  2. Associazione al Soggetto NIS: Inserimento del CF/Partita IVA; eventuale allegato di delega se il PdC non è il legale rappresentante.
  3. Compilazione della Dichiarazione:
    • Codici ATECO effettivi (non solo quelli formali, ma quelli realmente esercitati).
    • Numero dipendenti, fatturato, bilancio.
    • Autovalutazione (“essenziale”, “importante” o “fuori ambito”).

Errore comune: confondere i codici ATECO “storici” con quelli effettivamente svolti. Dichiarare il falso o incompleto non protegge l’organizzazione da sanzioni. Anzi, rischia di aggravare le responsabilità.


7. Misure di Sicurezza Informatica e Notifica degli Incidenti

Le direttive NIS e NIS2 impongono che ogni organizzazione adotti procedure di prevenzione, monitoraggio e risposta agli attacchi informatici, con particolare attenzione a:

  • Intrusion Detection (IDS/IPS) per intercettare tentativi di intrusione.
  • Piani di Incident Response per contenere e gestire gli incidenti nel minor tempo possibile.
  • Backup Sicuri e disaster recovery, in modo da garantire la continuità operativa.
  • Crittografia di dati in transito e a riposo, così da minimizzare i rischi di esfiltrazione di informazioni sensibili.

È altresì fondamentale la Notifica degli Incidenti: entro 24 ore dal rilevamento di un incidente grave, l’organizzazione deve avvisare l’ACN. Ignorare o sottovalutare un attacco, o ritardarne ingiustificatamente la segnalazione, comporta sanzioni (fino a gravi conseguenze pecuniarie e, in certi casi, responsabilità penali se l’evento mette a rischio la sicurezza pubblica o infrastrutture critiche).

7.1. Il Ruolo dell’Esperto Informatico (Cloud, Cybersecurity e Backend)

All’interno di questo quadro normativo, la figura di un professionista tecnico con competenze in cloud computing, cybersecurity e backend engineering risulta centrale per assicurare l’efficace adozione delle misure richieste e un’adeguata risposta agli incidenti.

7.1.A. Progettazione Tecnica e Architettura

  • Scelta e Configurazione dei Server: un esperto di backend sa come strutturare i servizi (on-premise, cloud privato o pubblico) affinché siano isolati correttamente, con segmentazione delle reti (ad es. VPC, subnet) e firewall ben configurati.
  • DNS e Infrastrutture Critiche: la gestione DNS (Domain Name System) è un punto sensibile: una configurazione sicura e ridondata previene attacchi di tipo DNS hijacking o downtime dovuti a Denial of Service.
  • Architettura Scalabile: in un’ottica cloud, è fondamentale saper gestire auto-scaling, load balancing e multi-region deployment, così da garantire resilienza e disponibilità dei sistemi critici, in linea con i requisiti di continuità operativa delle Direttive.

7.1.B. Sicurezza Applicativa e Backend

  • Secure Coding: adottare le best practice di sicurezza (ad es. OWASP Top 10) per evitare vulnerabilità come SQL injection, XSS, CSRF.
  • Controllo degli Accessi (IAM): definire ruoli e permessi granulari, con un robusto sistema di autenticazione e autorizzazione, evitando credenziali hard-coded o politiche password troppo deboli.
  • Logging e Tracciamento: ogni operazione (API call, query al database, accesso da remoto) deve essere registrata, in modo da permettere l’analisi forense in caso di incidente e soddisfare le eventuali richieste ispettive dell’ACN.

7.1.C. Monitoraggio e Incident Response

  • Implementazione di Sistemi di Monitoraggio: strumenti come SIEM (Security Information and Event Management) o soluzioni di log centralizzate possono rilevare comportamenti anomali e generare alert in tempo reale.
  • Piano di Reazione Rapida: in caso di data breach o attacco DDoS, un piano di gestione degli incidenti (runbook) deve specificare passaggi chiari per isolare e contenere la minaccia, ripristinare i sistemi e preparare la segnalazione formale all’ACN entro 24 ore.
  • Test di Sicurezza Periodici: vulnerability assessment, penetration test e simulazioni di attacco consentono di verificare la bontà delle difese e individuare rapidamente eventuali criticità da sanare.

7.1.D. Gestione dei Servizi Cloud

  • Provider Conformi: scegliere servizi cloud già certificati (ISO 27001, SOC 2, etc.) facilita la rispondenza ai requisiti NIS/NIS2 e garantisce un certo livello di sicurezza intrinseca (ad es. crittografia integrata, conformità GDPR).
  • Encrypt at Rest e in Transit: utilizzare KMS (Key Management Service) per la cifratura dei dati a riposo e TLS/SSL per il transito, prevenendo l’intercettazione o la manomissione dei dati.
  • Resilienza Multi-Region: la duplicazione dei dati e dei servizi su più region geografically separate riduce i rischi di interruzione in caso di disastri naturali o attacchi massivi ad una singola area.

7.1.E. Collaborazione con il Punto di Contatto (PdC)

  • Condivisione Informazioni: l’esperto IT supporta il PdC fornendo dati dettagliati (IP pubblici, domini attivi, configurazioni di rete) e relazioni tecniche sugli incidenti.
  • Notifica e Escalation: in caso di minacce emergenti o violazioni, il professionista coordina le squadre tecniche e informa tempestivamente il PdC, che provvederà alla notifica all’ACN rispettando le tempistiche di legge.
  • Audit e Compliance: per ispezioni o verifiche, l’esperto IT prepara la documentazione tecnica, i report di sicurezza e i registri di log necessari, certificando la rispondenza dell’organizzazione ai criteri stabiliti dalle Direttive.

7.2. Checklist Tecnica Operativa

In definitiva, la corretta implementazione delle Misure di Sicurezza Informatica e la gestione delle Notifiche degli Incidenti imposte da NIS e NIS2 dipendono fortemente dal lavoro sinergico tra management, Punto di Contatto e figure tecniche. L’esperto di cloud, sicurezza e backend contribuisce a:

  1. Progettare e manutenere architetture affidabili e sicure.
  2. Integrare misure di protezione all’interno del ciclo di vita del software.
  3. Monitorare costantemente i sistemi e rispondere prontamente agli eventi avversi.
  4. Assicurare la continuità operativa, la conformità legale e la salvaguardia dei dati aziendali e degli utenti.

Seguire queste buone pratiche non è solo un obbligo normativo: è un investimento in affidabilità e credibilità sul mercato, riducendo i rischi di fermi operativi e sanzioni, e contribuendo alla resilienza complessiva dell’ecosistema digitale aziendale.


8. Poteri Ispettivi e Sanzioni

L’ACN (Agenzia per la Cybersicurezza Nazionale) e gli enti competenti possono:

  • Verificare la corretta applicazione delle misure di sicurezza.
  • Richiedere documentazione e audit.
  • Emettere sanzioni amministrative (di solito in percentuale del fatturato annuo).
  • Nel caso di gravi inadempienze, possono scattare:
    • Sospensione di attività.
    • Responsabilità personali a carico dei vertici aziendali (amministratori, dirigenti) che non abbiano adeguatamente vigilato.
    • In alcune circostanze, potrebbe configurarsi una fattispecie penale, specialmente se dall’attacco derivano rischi per la sicurezza nazionale o danni alla salute pubblica.

Appello alla prudenza: la cybersicurezza non è più un “nice-to-have”, ma un obbligo di legge, la cui violazione può avere effetti devastanti, sia economici sia legali.


9. Raccomandazioni Operative

  1. Iniziare Subito

    • Anche se le scadenze sembrano lontane, la mole di lavoro è notevole (aspetti tecnici, legali, formativi).
  2. Formare il Personale

    • Chiunque abbia accesso a un computer o a un servizio cloud deve comprendere i rischi di phishing, malware, ecc.
    • Un dipendente inconsapevole può vanificare anche i migliori sistemi di difesa.
  3. Definire Ruoli e Responsabilità

    • Nominare il Punto di Contatto e, se necessario, i Referenti Operativi in modo formale e con deleghe chiare.
    • Garantire loro risorse e autorità per agire.
  4. Piano di Risposta a Incidenti

    • Prevedere procedure per gestire eventuali attacchi o violazioni.
    • Fare esercitazioni periodiche (incident response tests).
  5. Monitorare e Aggiornare

    • La sicurezza non è statica: occorre aggiornare sistemi, procedure e formazione di continuo.
    • Le minacce evolvono e così devono fare le difese.

10. Riferimenti Normativi