Glossario · Cybersicurezza UE NIS2 (Network and Information Security Directive 2)
Direttiva UE sulla cybersicurezza che si applica a soggetti essenziali e importanti in oltre 18 settori, con scadenza di recepimento nazionale a ottobre 2024.
## Cosa fa concretamente la NIS2
La NIS2 (Direttiva (UE) 2022/2555) è la direttiva europea sulla cybersicurezza che ha sostituito la direttiva NIS originaria del 2016. Espande significativamente l'ambito degli obblighi di cybersicurezza e armonizza i requisiti tra gli Stati membri UE.
La direttiva è entrata in vigore a gennaio 2023 con scadenza di recepimento nazionale al 17 ottobre 2024. L'attuazione tra gli Stati membri è stata disomogenea — alcuni puntuali, altri significativamente in ritardo.
## A chi si applica la NIS2
La NIS2 ha ampliato drasticamente l'ambito rispetto al suo predecessore. Si applica a:
**Soggetti essenziali** (settori ad alta criticità):
- Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
- Trasporti (aria, ferrovia, acqua, strada)
- Banche e infrastrutture dei mercati finanziari
- Sanità (assistenza sanitaria, farmaceutica)
- Acqua potabile e acque reflue
- Infrastruttura digitale (provider cloud, data center, DNS, content delivery)
- Gestione dei servizi ICT (B2B)
- Pubblica amministrazione
- Spazio
**Soggetti importanti** (altri settori critici):
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione di alcuni prodotti critici (sostanze chimiche, dispositivi medici, elettronica, macchinari, veicoli)
- Produzione, trasformazione e distribuzione di alimenti
- Provider digitali (mercati online, motori di ricerca, social network)
- Ricerca
Si applicano soglie dimensionali: medie (50+ dipendenti, 10M€+ di fatturato) e grandi imprese tipicamente rientrano nell'ambito; piccole/micro imprese generalmente escluse.
## Requisiti fondamentali
Le organizzazioni soggette a NIS2 devono attuare:
**1. Misure di gestione del rischio** — almeno 10 categorie specifiche:
- Analisi del rischio e politiche di sicurezza dei sistemi informativi
- Procedure di gestione degli incidenti
- Continuità operativa (backup, disaster recovery, gestione delle crisi)
- Sicurezza della catena di approvvigionamento
- Sicurezza dei sistemi di rete/informativi nell'acquisizione, sviluppo, manutenzione
- Politiche per la valutazione dell'efficacia delle misure di cybersicurezza
- Igiene informatica e formazione
- Politiche di crittografia (inclusa la cifratura)
- Sicurezza HR, controlli degli accessi, gestione degli asset
- Autenticazione a più fattori, comunicazioni sicure
**2. Segnalazione degli incidenti** — gli incidenti significativi devono essere segnalati:
- **Allarme tempestivo** entro 24 ore
- **Notifica dell'incidente** entro 72 ore
- **Relazione finale** entro un mese
**3. Sicurezza della catena di approvvigionamento** — i soggetti devono valutare e gestire i rischi di cybersicurezza derivanti da fornitori e prestatori di servizi.
**4. Responsabilità del management** — il top management è personalmente responsabile della conformità, inclusa l'approvazione delle misure e la supervisione dell'attuazione.
## Struttura sanzionatoria
La NIS2 introduce sanzioni significative:
- **Soggetti essenziali**: fino a 10 milioni di euro o il 2% del fatturato annuo globale (a seconda di quale sia maggiore)
- **Soggetti importanti**: fino a 7 milioni di euro o l'1,4% del fatturato
Gli Stati membri possono imporre sanzioni aggiuntive al management per non conformità.
## Cosa significa per la scelta degli strumenti
I requisiti di sicurezza della catena di approvvigionamento della NIS2 incidono specificamente sulla selezione dei fornitori tecnologici. Le organizzazioni soggette a NIS2 devono valutare la postura di cybersicurezza dei propri fornitori e documentarne la valutazione.
Per le organizzazioni europee, ciò crea pressione per:
**1. Scegliere fornitori con solide certificazioni di cybersicurezza.** ISO 27001, SOC 2, BSI C5 o equivalenti. La maggior parte dei principali cloud provider UE (Hetzner, Scaleway, OVHcloud, Infomaniak) possiede queste certificazioni.
**2. Preferire provider residenti nell'UE.** Gli obblighi di segnalazione NIS2 e il coordinamento della risposta agli incidenti funzionano meglio quando i fornitori sono soggetti a quadri normativi UE. I provider con sede negli USA possono conformarsi ma richiedono meccanismi contrattuali aggiuntivi.
**3. Documentare la valutazione dei fornitori.** La NIS2 richiede di dimostrare che le considerazioni di cybersicurezza siano entrate nelle decisioni di approvvigionamento, non solo se lo siano state.
**4. Per i provider di infrastruttura digitale stessi:** se la tua azienda è un cloud provider, un data center, un provider DNS o una rete di distribuzione di contenuti, rientri direttamente nell'ambito come soggetto essenziale.
## Perché la NIS2 conta oltre la conformità formale
Anche per le organizzazioni non formalmente nell'ambito, la NIS2 stabilisce la base di riferimento europea de facto per la cybersicurezza. Le compagnie assicurative fanno riferimento alla NIS2 per la copertura cyber. I team di approvvigionamento utilizzano sempre più le categorie NIS2 nelle valutazioni dei fornitori. Le agenzie nazionali di cybersicurezza degli Stati membri UE usano la NIS2 come quadro di riferimento.
Per le aziende europee che pianificano investimenti di lungo periodo in cybersicurezza, trattare la NIS2 come baseline anziché come tetto di conformità è operativamente solido.
## Stato di attuazione (al 2026)
L'attuazione è stata disomogenea tra gli Stati membri:
- **Attuazione puntuale**: la maggior parte dei paesi nordici, Germania, Francia
- **Attuazione in ritardo**: vari Stati dell'Europa meridionale e orientale hanno recepito a fine 2024 o nel 2025
- **Applicazione attiva**: generalmente avviata nel 2025-2026 man mano che le autorità nazionali aumentano la capacità
La Commissione europea ha avviato procedure d'infrazione contro Stati membri con attuazione significativamente in ritardo. Aspettatevi che l'applicazione attiva della NIS2 sia una storia chiave della cybersicurezza fino al 2026-2027.
## Quadri europei correlati di cybersicurezza
La NIS2 fa parte di un più ampio panorama giuridico europeo della cybersicurezza:
- **Cyber Resilience Act (CRA)** — riguarda la cybersicurezza dei prodotti con elementi digitali, in vigore dal 2024
- **DORA** — resilienza operativa per i servizi finanziari, in vigore da gennaio 2025
- **eIDAS 2.0** — identità digitale e servizi fiduciari
- **GDPR** — protezione dei dati, complementare ma distinta dalla cybersicurezza
Per le organizzazioni che navigano più quadri, mappare sovrapposizioni e requisiti unici è essenziale. La NIS2 stabilisce la baseline di cybersicurezza; le normative settoriali (DORA, CRA) si costruiscono su di essa.
Ti è stato utile?
Grazie per il tuo feedback!