NIS2: Cos’è, a chi si applica e perché è una priorità per le aziende

La sicurezza informatica non è più un’opzione. Con la Direttiva NIS2, l’Europa alza il livello: nuove regole, più obblighi, sanzioni concrete. Ma anche un’occasione per rafforzare la resilienza digitale della tua azienda.

Cos’è la Direttiva NIS2?

La NIS2 (Network and Information Security 2) è la nuova direttiva europea sulla cybersecurity, entrata in vigore il 16 gennaio 2023, con recepimento obbligatorio negli Stati membri entro il 17 ottobre 2024.

Sostituisce la precedente direttiva NIS1 (2016) e amplia:

  • Il numero di settori coinvolti;
  • Gli obblighi di sicurezza;
  • La responsabilità degli amministratori;
  • Il regime sanzionatorio.

A chi si applica?

Le aziende coinvolte vengono divise in due categorie:

  • Entità essenziali (grandi operatori in settori critici: energia, sanità, trasporti, bancario, infrastrutture digitali...);
  • Entità importanti(PMI in settori come IT, fornitori cloud, e-commerce, produzione digitale, logistica...).

La soglia generale è: +50 dipendenti o +10 milioni di fatturato.

Ma attenzione: anche realtà più piccole possono rientrare se operano in ambiti strategici o in filiere sensibili.

Cosa prevede in concreto?

Le aziende soggette alla NIS2 dovranno:

  1. Adottare misure tecniche e organizzative per garantire la sicurezza di rete e sistemi;
  2. Valutare i rischi e aggiornare periodicamente la strategia di sicurezza;
  3. Gestire gli incidenti informatici, con obbligo di segnalazione al CSIRT entro 24 ore;
  4. Formare il personale e tenere sotto controllo fornitori e terze parti;
  5. Documentare e dimostrare la compliance, anche tramite audit.

Gli amministratori aziendali sono direttamente responsabili: dovranno vigilare sull’adeguamento e potrebbero rispondere in caso di negligenza.

Quali sono le sanzioni?

Le sanzioni previste sono tutt’altro che simboliche:

  • Fino a 10 milioni di euro o il 2% del fatturato annuo globale per le entità essenziali;
  • Fino a 7 milioni di euro o l’1,4% del fatturato per le entità importanti.

Perché la NIS2 è un’opportunità?

Al di là dell’obbligo legale, la NIS2 è un’occasione per:

  • Rafforzare la sicurezza informatica della tua azienda;
  • Migliorare la fiducia di clienti e partner;
  • Evitare danni operativi, economici e reputazionali in caso di attacco;
  • Allinearsi agli standard internazionali (es. ISO 27001).

Come prepararsi?

Ecco i primi passi consigliati:

  1. Verifica se la tua azienda rientra tra quelle obbligate;
  2. Effettua una valutazione del rischio (es. vulnerability assessment);
  3. Stabilisci un piano d’azione, anche con supporto esterno;
  4. Forma i team e nomina figure responsabili della cybersecurity;
  5. Monitora e documenta ogni iniziativa di messa in conformità.