Post di Giancarlo Di Lieto, Head of Cyber Security, NeverHack Southern Region –

La crescente digitalizzazione dei servizi e l’aumento delle minacce informatiche impongono alle istituzioni e alle imprese di rafforzare le proprie misure di sicurezza. In questo contesto si inserisce la Direttiva NIS2 (Network and Information Security 2), recepita in Italia con il Decreto Legislativo n. 138/2024 ed entrata in vigore il 16 ottobre 2025, con un’applicazione graduale cadenzata da tempistiche definite da ACN al fine di agevolarne l’adeguamento da parte dei soggetti interessati.

La NIS2 rappresenta un’evoluzione sostanziale rispetto alla prima direttiva NIS del 2016, ampliandone la portata e rafforzando i requisiti in termini di gestione del rischio, segnalazione degli incidenti e responsabilità soggettiva dei soggetti apicali.

Gli obiettivi sono chiari:

1. Rafforzare la sicurezza e la resilienza delle reti e dei sistemi informativi imponendo requisiti rigorosi per la gestione dei rischi e la prevenzione degli incidenti.

2. Armonizzare le normative per evitare discrepanze tra gli Stati membri ed espandere il campo di applicazione a nuove categorie di soggetti essenziali e importanti.

3. Migliorare la gestione degli incidenti e la cooperazione tra le autorità competenti per condividere più efficacemente le informazioni su incidenti e minacce emergenti.

La cybersecurity non è più una questione tecnica, ma una componente strategica essenziale per qualsiasi azienda. Per questo motivo è necessario che le imprese private e le Pubbliche Amministrazioni si preparino adeguatamente a un cambio di paradigma, che permetta loro di rispettare i nuovi obblighi che prevedono, tra l’altro:

1. Adozione di misure di gestione del rischio di sicurezza e implementazione di misure di sicurezza più stringenti, adeguate ai rischi e allo stato dell’arte tecnologico.

2. Responsabilità a livello di governance aziendale, imponendo che i dirigenti siano consapevoli dei rischi di sicurezza informatica, assumendosi anche responsabilità personali.

3. Gestione degli incidenti e del processo di segnalazione degli stessi verso l’autorità competente mediante un processo strutturato a più fasi.

4. Gestione dei rischi associati alla supply chain garantendo che anche fornitori e partner rispettino standard di sicurezza adeguati.

Che cos’è la Direttiva NIS2

La Direttiva NIS2 è il nuovo quadro normativo dell’Unione Europea volto a garantire un livello comune elevato di cybersicurezza in tutti gli Stati membri. Sostituisce la Direttiva NIS1, colmando le lacune emerse negli anni e adattandosi a un panorama delle minacce sempre più sofisticato e pervasivo.

Ampliamento del campo di applicazione

La direttiva non si limita più ai soli “operatori di servizi essenziali” e “fornitori di servizi digitali”, ma introduce le categorie di “soggetti essenziali” e “soggetti importanti”, includendo un numero significativamente maggiore di aziende e settori considerati critici. Oltre a energia, trasporti, sanità, finanza, acqua (già presenti nella NIS1), rientrano ora anche fornitori di comunicazioni elettroniche, alimentare, manifatturiero, chimico, infrastrutture digitali, pubblica amministrazione e supply chain ICT. Quest’ultimo settore allarga notevolmente il perimetro coinvolgendo tutti i fornitori delle aziende di cui sopra.

Requisiti di cybersecurity più stringenti

Le organizzazioni devono adottare misure tecniche e organizzative adeguate per la gestione del rischio, la prevenzione e la risposta agli incidenti informatici. Tra questi, la continuità operativa, la formazione e l’awareness del personale, la crittografia dei dati, il controllo degli accessi, il monitoraggio continuo, il rilevamento delle minacce e la gestione dei fornitori critici.

Obblighi di notifica più rigorosi

Gli incidenti significativi devono essere notificati all’autorità competente NIS (in Italia è l’ACN) seguendo un processo a più fasi: prima notifica entro 24 ore dalla scoperta, aggiornamento entro 72 ore e report finale entro un mese.

Maggiore responsabilità del management

I dirigenti aziendali possono essere ritenuti personalmente responsabili per la mancata attuazione delle misure previste dalla direttiva, anche a seguito di diffide da parte di ACN, con sanzioni, sospensioni o provvedimenti disciplinari per i dipendenti pubblici.

Rafforzamento delle sanzioni

Le sanzioni amministrative pecuniarie sono notevolmente più elevate rispetto alla NIS1: fino a 10 milioni di euro (o 2% del fatturato annuo) per i soggetti essenziali e fino a 7 milioni (o 1,4% del fatturato annuo) per i soggetti importanti. Per i soggetti pubblici, le sanzioni sono più ridotte (da 25.000 a 125.000 euro), ma possono essere anche personali.

Tutto questo al fine di:

– Migliorare il livello complessivo di cybersecurity dei settori critici e rafforzare la resilienza informatica delle infrastrutture.

– Garantire una risposta coordinata e tempestiva agli attacchi informatici.

– Favorire la collaborazione transfrontaliera tra Stati membri e autorità nazionali.

– Ridurre il rischio sistemico derivante da fornitori terzi e catene di fornitura vulnerabili.

– Promuovere una cultura della sicurezza basata su governance, accountability e trasparenza.

Le recenti linee guida di ACN

Il 4 settembre 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha emanato le linee guida per l’implementazione delle specifiche di base della Direttiva NIS2, basate sul framework nazionale di cybersecurity, edizione 2.1, derivato dal NIST CFS 2.0 americano.

Le misure operative sono oltre cento e si articolano nelle sei funzioni principali del Framework: Govern, Identify, Protect, Detect, Respond, Recover. Ogni funzione include azioni concrete, documentazione obbligatoria e procedure da implementare.

Non è certo facile districarsi nel mare magnum di tali misure di sicurezza che spaziano dalla gestione dei rischi a quella degli incidenti, alla continuità operativa, cifratura, controllo accessi, formazione, security by design, ecc. Sebbene le linee guida forniscano un valido supporto a chi è già del mestiere, un’azienda alle prime armi in materia di sicurezza si trova indubbiamente in difficoltà.

Si rende, pertanto, necessario avvalersi di un partner di fiducia che possa guidare l’azienda a intraprendere il percorso di adeguamento, attraverso una roadmap che scaturisce da una fase preliminare di assessment per identificare il gap tra quanto previsto dalla normativa e quanto l’azienda ha già in essere in termini di policy, processi, persone e tecnologie.

Il fattore umano assume un ruolo fondamentale: l’azienda non potrà delegare al partner tutti gli obblighi di sicurezza previsti, ma dovrà necessariamente avere internamente competenze che le permettano di gestire correttamente la security governance e l’interazione con ACN in caso di incidenti o richieste da parte dell’Authority.

Il partner dovrà supportare l’azienda in tutte le fasi del percorso di adeguamento, inclusa la formazione del personale, svolgendo un ruolo di supporto (ad esempio CISO Support) sotto forma di consulenza o di mentore in ambito security, per indirizzare le molteplici competenze multidisciplinari richieste.

NIS2 e Pubblica Amministrazione

La Direttiva NIS2 impone alla Pubblica Amministrazione un salto di qualità nella gestione della sicurezza informatica. Le PA centrali e locali (regioni, comuni, ASL, ecc.), in quanto soggetti “essenziali” o “importanti” a seconda della loro funzione e dimensione, devono implementare misure strutturate di cybersecurity, con obblighi di governance, monitoraggio e risposta agli incidenti.

Le principali sfide riguardano l’adeguamento delle infrastrutture e dei sistemi legacy, la formazione del personale non tecnico, la definizione di ruoli e responsabilità interni e la gestione dei fornitori e degli appalti IT in ottica “secure by design”.

In un contesto in cui la digitalizzazione dei servizi pubblici è sempre più pervasiva, la NIS2 rappresenta un’occasione per rafforzare la fiducia dei cittadini e promuovere una cultura della sicurezza come parte integrante della macchina amministrativa. La PA non è solo destinataria della direttiva, ma protagonista del cambiamento.

A cosa serve davvero la NIS2

In un contesto in cui la cybersicurezza è diventata un fattore competitivo e di stabilità nazionale, la NIS2 rappresenta una svolta normativa fondamentale: serve a costruire un ecosistema digitale più sicuro, resiliente e affidabile. Non si tratta solo di proteggere dati e sistemi, ma di garantire la tenuta del tessuto economico e sociale europeo di fronte a minacce cyber globali.

Per le imprese NIS2 rappresenta un vantaggio competitivo: significa investire in processi, competenze e tecnologie che rendano la sicurezza un asset strategico e aumentare la protezione contro minacce informatiche sempre più sofisticate, riducendo il rischio di attacchi e blocchi operativi, rafforzando la fiducia di clienti e partner.

Quanto ai cittadini, possono contare su servizi digitali più sicuri e affidabili, che garantiscano continuità operativa ed evitino interruzioni nei servizi essenziali.

Infine, per le Pubbliche Amministrazioni significa rafforzare la propria capacità di prevenzione, rilevamento e risposta agli incidenti informatici, anche affidandosi ad aziende specializzate in grado di garantire un servizio efficace e di qualità.

La NIS2 dovrebbe rappresentare un’opportunità per l’Europa intera per rafforzare la propria sovranità digitale, ma il recepimento sinora non ha avuto l’esito sperato: su 27 Stati membri solo 7 l’hanno recepita nel proprio regolamento nazionale.