Direttiva NIS2: cos’è, a chi si applica e come ottenere la conformità

Garantire la sicurezza dei dati e delle infrastrutture digitali non è più una scelta, ma un obbligo normativo che riguarda, ormai, la maggior parte delle imprese europee.

Con l’entrata in vigore della direttiva 2022/2555, nota anche come direttiva NIS2, infatti, si amplia in maniera significativa la platea delle organizzazioni chiamate ad adottare misure stringenti di cybersecurity, dalle grandi utility fino alle realtà manifatturiere, logistiche, alimentari e della pubblica amministrazione.

Questa direttiva porta con sé un importante cambio di prospettiva: non solo prevenire attacchi informatici, ma costruire una cultura della sicurezza che coinvolga ogni livello aziendale, dal management ai dipendenti.

In questo articolo vediamo, quindi, cos’è la NIS2, a chi si applica, quali sono gli obblighi per le aziende aderenti e come ottenere la conformità alla direttiva.

La NIS2 (Network and Information Security Directive 2) è stata approvata dall’Unione Europea nel 2023 e rappresenta l’evoluzione della precedente direttiva NIS, emanata nel 2016. Il suo obiettivo è quello di innalzare il livello di protezione informatica in tutta Europa, uniformando le regole al fine di ridurre i rischi legati ai cyberattacchi, i data breach, i furti di dati e le interruzioni dei servizi essenziali.

Rispetto alla prima versione, la NIS2 amplia notevolmente l’ambito di applicazione: non ci si rivolge più, infatti, unicamente a settori critici come l’energia, i trasporti, la sanità e le banche, ma vengono coinvolti anche comparti come il manifatturiero, l’alimentare, la gestione rifiuti, la pubblica amministrazione e la logistica, aumentando significativamente il numero di soggetti obbligati ad adeguarsi.

Scendendo ancor più nel dettaglio, affinché un’azienda europea sia soggetta alla direttiva NIS2 è necessario che abbia almeno 50 dipendenti, presenti un fatturato annuo superiore ai 10 milioni di euro e operi in uno dei seguenti settori:

• Energia (elettrica, petrolio, gas)
• Trasporti
• Bancario e infrastrutture dei mercati finanziari 
• Sanità
• Acqua potabile e acque reflue
• Infrastrutture digitali
• Gestione dei servizi di telecomunicazione
• Spazio
• Gestione dei rifiuti
• Produzione e distribuzione di alimenti
• Produzione di sostanze chimiche 
• Fabbricazione di dispositivi medici e apparecchiature elettroniche 
• Servizi postali e corrieri
• Ricerca

Con l’introduzione della NIS2, molte impese dovranno operare un necessario cambio di mentalità, nonché raggiungere un assetto tecnico e tecnologico tale da poter gestire un eventuale attacco informatico in modo efficace e tempestivo.

Le aziende soggette alla direttiva devono adottare una serie di misure tecniche e organizzative per garantire la continuità dei servizi e la protezione dei dati.

Tra gli obblighi principali troviamo:

• predisporre politiche di gestione del rischio, con procedure di business continuity e disaster recovery
• attivare sistemi di monitoraggio per il rilevamento delle anomalie e degli accessi non autorizzati
• stabilire piani di gestione degli incidenti informatici, con la capacità di notificarli entro 24 ore al CSIRT nazionale
• controllare i fornitori e i partner della supply chain, per evitare vulnerabilità esterne
• formare periodicamente i dipendenti e sensibilizzare il management, che ha una responsabilità diretta nel rispetto della normativa

L’aspetto interessante è che la NIS2 non si limita a prescrivere misure tecniche, ma richiama esplicitamente l’importanza della consapevolezza delle persone.

In un mondo in cui gran parte degli attacchi parte da email di phishing o comportamenti poco prudenti, questo approccio è davvero molto rilevante.

Adeguarsi alla normativa non significa solamente evitare sanzioni – il cui importo, tra l’altro, può arrivare fino al 2% del fatturato annuo – ma anche trarre vantaggio da un percorso che rafforza la resilienza e l’affidabilità dell’impresa.

Un’azienda che rispetta i requisiti previsti dalla direttiva NIS2, infatti:

• è meno esposta al rischio di interruzioni operative dovute a cyberattacchi
• dimostra serietà nella protezione dei dati, tutelando clienti e partner
• migliora la propria immagine sul mercato, potendo comunicare il rispetto degli standard europei in materia di sicurezza informatica
• si prepara meglio ad affrontare futuri scenari normativi e tecnologici, i quali andranno sempre più nella direzione della sicurezza digitale

Spesso erroneamente sottovalutati, questi vantaggi possono influenzare la scelta di un potenziale cliente o la possibilità di siglare nuove partnership, specie in un momento storico in cui la reputazione e l’affidabilità sono fattori determinanti.

Per affrontare il percorso di adeguamento alla NIS2 non è sufficiente ricorrere a soluzioni tecnologiche isolate, come l’adozione di un firewall o di un sistema di backup in cloud. Serve, piuttosto, un approccio integrato, il quale metta al centro le persone e la loro capacità di reagire in maniera consapevole a potenziali minacce.

Oggi esistono piattaforme e strumenti pensati per la cyber awareness aziendale: programmi di formazione continua, simulazioni di phishing, percorsi personalizzati per ogni reparto e metriche utili a misurare il livello di maturità raggiunto. Questi strumenti consentono alle imprese di trasformare il fattore umano – da sempre, il punto più debole della catena – in una vera e propria “risorsa di sicurezza”.

Oltre a investire nella formazione interna, un’azienda sottoposta alla direttiva NIS2 potrebbe, ad esempio, integrare sistemi di monitoraggio in tempo reale, soluzioni di autenticazione avanzata e procedure documentate di gestione degli incidenti.

È, quindi, la combinazione tra tecnologia e cultura aziendale a fare la differenza.

In Italia, la direttiva NIS2 è stata recepita con il Decreto Legislativo 138/2024, pubblicato il 1° ottobre 2024 ed entrato in vigore il successivo 16 ottobre.

Se desideri ottenere la conformità a questa importante direttiva e necessiti di supporto, compila il form di contatto oppure inviaci una email a helpdesk@fol.it: valuteremo la tua situazione, per poi accompagnarti in questo delicato processo.

Massimiliano De Gabriele

CEO di FOL.it

Imprenditore digitale • Information Technology & TLC • founder FOL.it Srl • MiniVip è il mio migliore amico