La Direttiva NIS2 impone una serie di obblighi concreti alle imprese italiane che operano in settori considerati essenziali o importanti. Non si tratta di principi vaghi: il D.Lgs. 138/2024 specifica nel dettaglio cosa deve fare ogni organizzazione soggetta alla normativa. In questa guida analizziamo ogni obbligo, con una checklist operativa che puoi usare come base per il tuo percorso di adeguamento.
Come verificare se la tua azienda rientra nel perimetro NIS2
Prima di tutto, devi capire se la tua azienda e effettivamente soggetta alla NIS2. Il criterio principale e duplice: settore di attivita + dimensione dell'impresa.
Criterio dimensionale
La NIS2 si applica principalmente alle medie e grandi imprese. In termini europei, questo significa:
- Media impresa: 50-249 dipendenti OPPURE fatturato tra 10 e 50 milioni di euro
- Grande impresa: 250+ dipendenti OPPURE fatturato superiore a 50 milioni di euro
- Eccezione: per alcuni settori (DNS, TLD, cloud, data center, registri di dominio), la NIS2 si applica anche alle microimprese
Obbligo 1: Registrazione sulla piattaforma ACN
Il primo obbligo formale e la registrazione sulla piattaforma digitale dell'Agenzia per la Cybersicurezza Nazionale (ACN). La scadenza originaria era il 28 febbraio 2025, ma chi non ha ancora provveduto deve farlo immediatamente.
La registrazione richiede di fornire informazioni su: ragione sociale, codice fiscale e partita IVA, settore di attivita, numero di dipendenti, fatturato, recapiti del punto di contatto designato, indirizzi IP e domini utilizzati.
Dopo la registrazione, l'ACN comunichera entro aprile 2025 l'elenco definitivo dei soggetti essenziali e importanti. La tua classificazione determinera il livello di obblighi e il regime di supervisione.
Obbligo 2: Governance e responsabilita degli organi direttivi
Questa e probabilmente la novita piu dirompente della NIS2: la responsabilita diretta dei dirigenti. L'articolo 23 del D.Lgs. 138/2024 stabilisce che gli organi di amministrazione e direzione devono:
- Approvare le misure di gestione del rischio di cybersicurezza
- Supervisionare l'implementazione delle misure e l'allocazione delle risorse
- Seguire una formazione specifica in materia di cybersicurezza
- Rispondere personalmente in caso di violazioni degli obblighi
Cosa significa in pratica? Il CdA non puo piu delegare interamente la sicurezza informatica al reparto IT. Deve essere informato, coinvolto nelle decisioni strategiche e in grado di comprendere i rischi. Per questo motivo, la formazione dei dirigenti non e un optional ma un obbligo di legge.
Obbligo 3: Misure tecniche e organizzative di sicurezza
Il cuore operativo della NIS2 e l'implementazione di misure di sicurezza proporzionate al rischio. L'articolo 24 del decreto elenca dieci ambiti obbligatori. Non sono facoltativi — ogni soggetto NIS2 deve dimostrare di averli affrontati.
| Ambito | Cosa richiede | Priorita |
|---|---|---|
| Analisi dei rischi | Risk assessment formale e documentato, aggiornato periodicamente | Alta |
| Gestione incidenti | Procedure per rilevare, gestire e rispondere agli incidenti cyber | Alta |
| Continuita operativa | Business continuity plan, disaster recovery, gestione backup | Alta |
| Supply chain security | Valutazione rischi fornitori, clausole contrattuali, audit | Media-Alta |
| Sicurezza acquisizione sistemi | Security by design nello sviluppo e acquisto software | Media |
| Valutazione efficacia | Vulnerability assessment, penetration test, audit periodici | Media |
| Igiene informatica e formazione | Awareness training, policy uso dispositivi, password policy | Alta |
| Crittografia | Cifratura dati in transito e a riposo dove appropriato | Media |
| Controllo accessi e HR security | Gestione identita, principio del minimo privilegio, onboarding/offboarding sicuro | Alta |
| Autenticazione multi-fattore | MFA per accessi critici, comunicazioni protette in emergenza | Alta |
Obbligo 4: Notifica degli incidenti al CSIRT Italia
Dal ottobre 2025, i soggetti NIS2 saranno obbligati a segnalare gli incidenti significativi al CSIRT Italia. Un incidente e considerato significativo quando:
- Ha causato o puo causare gravi perturbazioni operative dei servizi
- Ha provocato o puo provocare perdite finanziarie rilevanti per il soggetto
- Ha colpito o puo colpire altre persone fisiche o giuridiche causando danni considerevoli
Le tempistiche sono rigide: 24 ore per la pre-allerta, 72 ore per la notifica completa, 1 mese per la relazione finale. E fondamentale avere procedure pronte e personale formato prima che scatti l'obbligo. Per approfondire il tema delle sanzioni NIS2, consulta la nostra guida dedicata.
Obbligo 5: Sicurezza della supply chain
L'obbligo di gestire la sicurezza della catena di approvvigionamento e tra i piu complessi da implementare. In pratica, la tua azienda deve:
- Mappare i fornitori critici — identificare quali fornitori hanno accesso ai tuoi sistemi o dati sensibili
- Valutare il rischio — analizzare la postura di sicurezza di ciascun fornitore critico
- Aggiornare i contratti — inserire clausole di cybersicurezza, obblighi di notifica e diritto di audit
- Monitorare continuamente — verificare periodicamente che i fornitori mantengano standard adeguati
- Pianificare la contingenza — prevedere alternative nel caso un fornitore venga compromesso
Per gestire efficacemente questi requisiti, molte aziende adottano un software gestionale con moduli di gestione fornitori e compliance integrati.
Checklist operativa per la compliance NIS2
Ecco una checklist sintetica che puoi stampare e usare come riferimento nel tuo percorso di adeguamento:
| Azione | Scadenza | Stato |
|---|---|---|
| Registrazione piattaforma ACN | Febbraio 2025 | Da verificare |
| Nomina punto di contatto NIS2 | Immediata | Da fare |
| Formazione CdA/dirigenti | Entro 6 mesi | Da pianificare |
| Risk assessment formale | Entro 6 mesi | Da avviare |
| Piano di gestione incidenti | Ottobre 2025 | Da redigere |
| Implementazione MFA | Entro 6 mesi | Da verificare |
| Audit fornitori critici | Entro 12 mesi | Da pianificare |
| Penetration test | Entro 12 mesi | Da commissionare |
| Policy crittografia | Entro 12 mesi | Da redigere |
| Compliance completa | Ottobre 2026 | In corso |
Il ruolo del DPO e del CISO nell'adeguamento NIS2
Molte aziende si chiedono se il DPO (Data Protection Officer) gia nominato per il GDPR possa coprire anche il ruolo NIS2. La risposta breve e: dipende. Il DPO si occupa di protezione dei dati personali, mentre la NIS2 richiede competenze specifiche sulla sicurezza delle reti e dei sistemi.
L'ideale e avere un CISO (Chief Information Security Officer) dedicato, anche in outsourcing per le PMI. Il CISO coordina l'implementazione delle misure tecniche, gestisce gli incidenti e riporta al CdA. Per le aziende che necessitano anche di un supporto sulla consulenza privacy, e consigliabile far collaborare strettamente DPO e CISO.
Budget e risorse: come dimensionare l'investimento
Il costo dell'adeguamento varia enormemente in base al punto di partenza. Un'azienda che ha gia una ISO 27001 in essere spenderara molto meno di una che parte da zero. Come regola empirica, gli esperti del settore raccomandano di destinare almeno il 3-5% del budget IT alla cybersicurezza, con un incremento del 15-20% nell'anno di adeguamento NIS2.
Per la gestione contabile di questi investimenti, che possono essere parzialmente capitalizzati e ammortizzati, conviene consultare un commercialista online con esperienza in compliance normativa.