Dal 16 ottobre 2024 è in vigore anche in Italia il Decreto Legislativo n. 138, che recepisce la Direttiva (UE) 2022/2555, meglio nota come NIS 2. È una riforma importante: parliamo di una normativa che rafforza l’obbligo, per aziende pubbliche e private, di dotarsi di misure efficaci per la gestione della cybersicurezza.
Rispetto alla prima direttiva NIS del 2016, qui si fa un salto di qualità. Non solo vengono ampliati i soggetti coinvolti, ma vengono anche introdotti obblighi più precisi e un sistema sanzionatorio più severo. Il Regolamento (UE) 2024/2690, pubblicato a luglio 2024, definisce nel dettaglio come si applicano gli obblighi: è il testo che ci dice quando un incidente è “significativo” e quali sono le buone pratiche tecniche da adottare.
Vediamo insieme, punto per punto, cosa comporta tutto questo per le imprese.
L'articolo continua dopo la pubblicità
Scopri il corso online in diretta Cybersecurity e Direttiva NIS 2
La NIS 2 distingue tra entità essenziali e entità importanti, e le aziende devono verificare attentamente in quale categoria rientrano, perché da lì derivano gli obblighi di adeguamento.
A queste si aggiungono le pubbliche amministrazioni, che devono garantire la protezione dei dati e la continuità dei servizi digitali.
Attenzione: il Regolamento 2024/2690 elenca esplicitamente alcuni dei soggetti coinvolti, tra cui anche i fornitori di servizi DNS, i gestori di domini di primo livello, i prestatori di servizi fiduciari e le reti di distribuzione dei contenuti.
Scopri il corso online in diretta Cybersecurity e Direttiva NIS 2
A questo punto molti colleghi chiedono: ok, ma cosa dobbiamo concretamente fare? La risposta è: dipende dalla dimensione e dal rischio, ma ci sono comunque alcune misure minime obbligatorie.
La direttiva e il regolamento parlano chiaro. Serve:
Il Regolamento UE indica anche le fonti normative da seguire: tra queste, gli standard ISO/IEC 27001, ISO/IEC 27002, ETSI EN 319401 e CEN/TS 18026:2024. Non è quindi lasciato nulla all’improvvisazione: chi vuole conformarsi sa dove guardare.
Scopri il corso online in diretta Cybersecurity e Direttiva NIS 2
Una delle novità più importanti sta nel fatto che non è più possibile “delegare tutto all’IT”. Il legislatore impone un coinvolgimento diretto degli organi direttivi. Chi siede nel consiglio di amministrazione o ricopre ruoli apicali ha obblighi precisi di supervisione e controllo.
Questo significa che il rischio informatico va integrato nella strategia aziendale. Non è solo una questione tecnica, ma un punto critico anche per governance e reputazione.
E le sanzioni? Sono pesanti:
Non parliamo solo di multe, ma anche di ordini di sospensione e obblighi correttivi imposti dalle autorità.
Scopri il corso online in diretta Cybersecurity e Direttiva NIS 2
Qui entra in gioco il Regolamento di esecuzione 2024/2690. Un incidente è significativo quando:
La valutazione va fatta considerando le caratteristiche dell’azienda: una microimpresa può usare strumenti compensativi, come maggiore sorveglianza o processi semplificati, ma non può sottrarsi all’obbligo di adottare misure.
Scopri il corso online in diretta Cybersecurity e Direttiva NIS 2
La vera sfida sarà integrare tutto questo nella vita quotidiana dell’impresa. Le misure di sicurezza devono diventare parte della cultura aziendale.
La NIS 2 non va vista solo come un vincolo normativo, ma come un’occasione per rendere la propria infrastruttura più solida, per proteggere clienti e processi e per aumentare l’affidabilità sul mercato.
Chi lavora nel settore legale o nella compliance aziendale oggi non può più permettersi di ignorare la sicurezza informatica. È un tema trasversale, che richiede visione, coordinamento e una nuova consapevolezza.
Scopri il corso online in diretta Cybersecurity e Direttiva NIS 2