La prima direttiva NIS (2016/1148) e stata un passo storico: la prima normativa europea sulla cybersicurezza. Ma si e rivelata insufficiente. Ambito troppo limitato, sanzioni troppo basse, applicazione troppo frammentata tra gli Stati membri. La NIS2 (2022/2555) corregge queste lacune con un approccio radicalmente piu ambizioso.
Le differenze chiave
| Aspetto | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Soggetti obbligati in Italia | ~400 OES + DSP | 15.000+ soggetti essenziali e importanti |
| Settori coperti | 7 settori essenziali | 18 settori (11 essenziali + 7 importanti) |
| Sanzioni massime | Non specificate dalla direttiva | 10M EUR o 2% fatturato (essenziali) |
| Governance | Non specificata | Responsabilita personale organi direttivi |
| Supply chain | Non coperta | Obbligo esplicito di sicurezza supply chain |
| Notifica incidenti | 72 ore | 24h pre-notifica + 72h notifica + relazione finale |
| Formazione | Non specificata | Obbligatoria per dirigenti e dipendenti |
| Armonizzazione | Frammentata tra Stati | Misure piu uniformi, cooperazione rafforzata |
Perche la NIS1 non bastava
La NIS1 soffriva di tre problemi principali. Primo: il perimetro troppo ristretto — solo operatori di servizi essenziali (OES) e fornitori di servizi digitali (DSP). Secondo: la frammentazione — ogni Stato membro recepiva in modo diverso, creando un mosaico normativo. Terzo: le sanzioni inadeguate — senza deterrenti credibili, molte organizzazioni ignoravano gli obblighi.
Cosa cambia nella pratica
Per le organizzazioni gia soggette alla NIS1, la NIS2 porta obblighi piu stringenti ma non un cambiamento radicale. Per le migliaia di nuove organizzazioni nel perimetro, e un cambiamento di paradigma: dalla assenza di obblighi a un framework completo di cybersicurezza con sanzioni significative e responsabilita personali.