La Direttiva (UE) 2022/2555, nota come NIS2, rappresenta l’evoluzione del quadro normativo europeo sulla cybersecurity, sostituendo la precedente direttiva NIS. L’obiettivo è garantire un livello più elevato e uniforme di sicurezza informatica nell’Unione Europea, rispondendo alle crescenti minacce cibernetiche e alla digitalizzazione delle infrastrutture critiche.
In Italia, la direttiva è stata recepita con il Decreto Legislativo 138/2024, operativo dal 16 ottobre 2024. Questo decreto introduce obblighi più stringenti per le aziende e gli enti operanti in settori critici e strategici, con un impatto significativo sulla gestione della sicurezza informatica.
A Chi si Applica la Direttiva NIS2?
La normativa distingue due categorie di soggetti obbligati:
| Categoria | Settori coinvolti |
| Entità Essenziali | Energia, trasporti, sanità, finanza, infrastrutture digitali, telecomunicazioni e altri settori altamente critici |
| Entità Importanti | Servizi digitali, gestione rifiuti, servizi postali, manifatturiero, produzione alimentare, ricerca e altri settori critici |
In totale, la normativa riguarda 18 settori, di cui 11 altamente critici e 7 critici. Inoltre, anche alcune PMI possono essere soggette alla normativa se classificate come critiche in base a criteri governativi.
Obblighi Previsti dalla Direttiva NIS2
Le aziende soggette alla NIS2 devono adottare un approccio proattivo alla cybersecurity, implementando le seguenti misure:
✔ Valutazione e gestione dei rischi: analisi continua delle vulnerabilità aziendali.
✔ Misure tecniche avanzate: crittografia, monitoraggio degli accessi, protezione delle reti e dei dati.
✔ Notifica obbligatoria degli incidenti: segnalazione al CSIRT Italia entro 24 ore in caso di incidente significativo, con aggiornamenti a 72 ore e relazione finale entro un mese.
✔ Audit periodici: controlli regolari per garantire la conformità alle norme.
✔ Formazione continua: obbligo di training per il personale e responsabilità diretta del management.
✔ Implementazione delle misure minime di sicurezza: anche per le aziende non soggette alla NIS2, adottare un livello base di protezione è cruciale per prevenire rischi informatici e garantire la continuità operativa.
✔ Accountability del management: i dirigenti sono direttamente responsabili della conformità alla NIS2 e possono incorrere in sanzioni personali in caso di violazioni.
Scadenze e Adempimenti Chiave
| Data | Obbligo |
| 17 gennaio 2025 | Registrazione obbligatoria sulla piattaforma ACN per fornitori di servizi essenziali come DNS, cloud, etc. |
| 28 febbraio 2025 | Registrazione obbligatoria sulla piattaforma ACN per tutti gli altri soggetti regolati. |
| Metà aprile 2025 | Costituzione dell’elenco dei soggetti NIS e notifica agli stessi della loro inclusione. |
| Metà maggio 2025 | Trasmissione e aggiornamento tempestivo delle informazioni dei soggetti NIS. |
| Gennaio 2026 | Adempimento agli obblighi di base in materia di notifica di incidente. |
| Ottobre 2026 | Adempimento agli obblighi di base in materia di sicurezza informatica. |
Sanzioni per le Aziende Non Conformi
Le aziende che non si adeguano alla direttiva NIS2 rischiano multe elevate e responsabilità diretta del management:
❌ Fino a 10 milioni di euro o 2% del fatturato globale per le entità essenziali.
❌ Fino a 7 milioni di euro o 1,7% del fatturato per le entità importanti.
❌ Responsabilità personale per i dirigenti in caso di negligenza nella gestione della sicurezza.
Esempio di Impatto per una PMI
Per comprendere l’impatto della NIS2, immaginiamo una PMI manifatturiera con 120 dipendenti e un fatturato di 30 milioni di euro. Essendo classificata come “entità importante”, dovrà:
- Implementare un sistema di gestione della sicurezza informatica (monitoraggio delle minacce, risposta agli incidenti);
- Notificare eventuali incidenti di cybersecurity entro 24 ore al CSIRT, se considerati significativi;
- Effettuare audit annuali e formazione obbligatoria per il personale;
- Gestire la sicurezza della supply chain, verificando che i fornitori rispettino standard di sicurezza adeguati.
Se non rispetta tali obblighi, potrebbe incorrere in sanzioni fino a 7 milioni di euro.
Come Può Aiutarti Innovation Machine?
La conformità alla NIS2 è un percorso complesso, che richiede competenze specifiche e un approccio strategico. Innovation Machine offre un pacchetto completo di consulenza e supporto per la cybersecurity aziendale:
| Servizio | Descrizione |
| Analisi del rischio e gap assessment | Valutazione dello stato attuale della sicurezza informatica e identificazione delle criticità. |
| Piani di adeguamento alla NIS2 | Strategie personalizzate per la conformità normativa. |
| Supporto per la registrazione ACN | Assistenza nella procedura di registrazione obbligatoria. |
| Governance dell’implementazione delle misure di sicurezza | Supporto strategico e operativo per garantire il rispetto dei requisiti e il miglioramento continuo della cybersecurity aziendale. |
| Formazione e awareness | Programmi di training per dipendenti e dirigenti. |
| Integrazione con la certificazione ISO 27001 | Supporto per sfruttare la conformità NIS2 come leva strategica per ottenere la certificazione ISO 27001, migliorando la credibilità aziendale e rafforzando il sistema di gestione della sicurezza delle informazioni. |
Preparati alla NIS2 con Innovation Machine
Compila il form qui sotto per essere ricontattato oppure consulta la nostra pagina dei Contatti per qualsiasi richiesta
Tra i nostri servizi forniamo la consulenza per:
- Valutazione preventiva degli investimenti per l’applicabilità dell’agevolazione Transizione 4.0 e Transizione 5.0;
- Interlocuzione tecnica con le società esterne fornitrici dei beni e dei servizi;
- Definizione di un percorso di sviluppo per creare il corretto ambiente di fabbrica per la fruizione dei benefici aggiuntivi a quelli destinati esclusivamente ai beni strumentali (es. integrazioni software; Formazione);
- Redazione di Perizia (Asseverata o Giurata);
- Redazione di Analisi tecnica;
- Supporto per la redazione della Comunicazione Preventiva al MIMIT
- Valutazione del mantenimento dei requisiti per beni già periziati (“Audit 4.0”).
