Normativa NIS2: requisiti, scadenziario, opportunità e sfide future

ByCentroStudiEuropeo

La Direttiva (UE) 2022/2555, nota come “Network and Information Security Directive” (NIS2), ha introdotto un quadro giuridico europeo armonizzato, volto a rafforzare la resilienza agli attacchi informatici nei settori critici, che riguardano cioè le infrastrutture e i servizi essenziali per il funzionamento della nostra società; l’Italia ne ha effettuato il recepimento entro i termini previsti con il “D. Lgs. n. 138 del 4 settembre 2024”.

In particolare, i settori critici sono stati classificati secondo due tassonomie principali:

· Settori ad alta criticità Entità essenziali: soggetti che operano nell’ambito di energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile ed acque reflue, infrastrutture digitali, spazio e fornitori di servizi tecnologici gestiti.

· Altri settori criticiEntità importanti: soggetti che operano nell’ambito di servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, produzione di dispositivi critici, fornitori di servizi digitali, ricerca e pubbliche amministrazioni.

La Direttiva NIS2 impone a tutte le entità classificate come “essenziali” e “importanti” un’adozione significativa di misure in materia di cybersicurezza, in particolare il 14 aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la “Determinazione 164179/2025”, inclusiva di quattro allegati tecnici, in cui ha dettagliato le specifiche di base per l’adempimento degli obblighi derivanti dalla nuova normativa NIS2, in particolare:

· a carico degli organi di amministrazione e direttivi (le cui persone fisiche ora sono direttamente responsabili in caso di violazioni)

· in materia di misure di sicurezza informatica per i soggetti importanti (37 misure, declinate in 87 requisiti) ed essenziali (ulteriori 6 misure e 29 requisiti per un totale quindi di 43 misure e 116 requisiti)

· in materia di notifica degli incidenti significativi – sono state definite tre fattispecie di incidenti che i soggetti importanti saranno tenuti a notificare al Computer Security Incident Response Team nazionale (CSIRT Italia), ovvero perdita di riservatezza e di integrità dei dati e variazioni anomale dei livelli di servizio, più una ulteriore fattispecie per i soggetti essenziali (accesso non autorizzato a sistemi informativi e di rete rilevanti)

· in materia di sicurezza, stabilità e resilienza dei sistemi di nomi di dominio – specifiche modalità definite in base alle peculiarità dei servizi offerte da questa tipologia di soggetti

I requisiti di cui sopra sono stati raggruppati nelle macrocategorie previste dal “Framework Nazionale per la Cybersecurity e la Data Protection”, a sua volta in linea con il “NIST Cybersecurity Framework”: Governo, Identificazione, Protezione, Rilevamento, Risposta e Ripristino.

A titolo esemplificativo e non esaustivo, si riporta di seguito una sintesi dei relativi aspetti principali:

Governo (Governance): Mappatura del contesto organizzativo | Adozione di policy sulla cybersicurezza (circa 16) | Adozione di strategie e processi di gestione del rischio |Definizione di ruoli, responsabilità e poteri | Effettuazione di controlli rigorosi sui fornitori.

Identificazione (Identify): Mappatura degli asset rilevanti e dei flussi di rete | Definizione dei piani di ripristino in caso di disastro | Miglioramento continuo dei controlli | Valutazione dei rischi su asset e fornitori |Definizione e attuazione di procedure di patch management.

Protezione (Protect): Identità, autenticazione e controllo accessi | Monitoraggio degli amministratori di sistema | Formazione e consapevolezza del personale | Cifratura dei dati | Resilienza infrastrutturale | Sicurezza delle piattaforme.

Rilevamento (Detect): Adozione di soluzioni per la protezione/monitoraggio continuo.

Risposta (Respond): Comunicazione dei progressi di ripristino agli stakeholder.

Ripristino(Recover): Attuazione dei piani di ripristino in risposta agli incidenti.

In generale, le piccole/micro imprese (meno di 10 dipendenti e con un fatturato annuo non superiore a 2 milioni di euro) sono state esonerate dall’obbligo di attuazione della normativa, mentre le rimanenti imprese sono state suddivise in medie e grandi, sulla base di criteri legati alla numerosità dei dipendenti ed al fatturato annuo. È da notare che, a parità di settore critico, su queste ultime due categorie sussiste la medesima obbligatorietà dei requisiti, pertanto la dimensione dell’impresa può influire sui principi di proporzionalità applicati dalle autorità di vigilanza, ed in particolare sulle modalità di verifica adottate o sull’intensità delle sanzioni/azioni correttive richieste.
In Italia, entro il termine previsto a febbraio 2025, circa 30.000 realtà hanno aderito al censimento dei soggetti su cui la Direttiva NIS 2 è potenzialmente applicabile. A partire dal 12 aprile 2025, ACN ha iniziato a comunicare ufficialmente il loro inserimento o meno nell’elenco dei soggetti essenziali/importanti; in particolare, sulla base delle informazioni ricevute ed analizzate, ACN ha individuato oltre 20.000 organizzazioni rientranti nel perimetro di applicabilità, di cui oltre 5.000 come soggetti essenziali.

La su citata “Determinazione ACN del 14 aprile 2025” ha segnato il passaggio tra la prima e la seconda fase del processo di attuazione della disciplina NIS2, che si snoderà lungo un arco temporale fino a ottobre 2026.

Con la recente pubblicazione della “Determinazione 136117 del 10 aprile 2025”, ACN ha inoltre dettagliato le ulteriori informazioni che i soggetti dovranno fornire entro il 31 maggio 2025, nonché le modalità ed il procedimento di designazione dei rappresentanti NIS sul territorio nazionale; in particolare, sarà necessario segnalare all’Agenzia:

· il sostituto punto di contatto, con le relative deleghe, se necessarie

· i componenti degli organi di amministrazione e direttivi, quali persone fisiche responsabili

· gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto

Infine, come disciplinato dalla “Determinazione ACN 136118/2025”, i soggetti NIS dovranno notificare gli eventuali accordi di condivisione delle informazioni sulla sicurezza informatica, sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS.

È da notare che la conformità alla Direttiva NIS2 si interseca con altre importanti normative europee, tra cui il Digital Operational Resilience Act (DORA), che mira a rafforzare la resilienza operativa digitale del settore finanziario, imponendo requisiti specifici in materia di gestione dei rischi ICT, test di resilienza e segnalazione degli incidenti. Di fatto NIS2 e DORA sono complementari dato che, mentre NIS2 definisce un quadro generale per la cybersicurezza, DORA specifica i requisiti per il settore finanziario; tuttavia, essendo lex specialis, DORA prevale su NIS2 per quanto riguarda gli enti finanziari.

Scadenziario
Maggio 2025: integrazione/aggiornamento delle informazioni fornite durante la fase di censimento/registrazione
Gennaio 2026: attivazione delle procedure di notifica degli incidenti significativi al CSIRT
Aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi dei soggetti NIS, nel rispetto dei principi di proporzionalità. L’attività, che dovrà essere condotta a partire dal 2026, consentirà ai soggetti NIS di distinguere, all’interno della loro organizzazione e con il supporto di ACN, i diversi livelli di esposizione al rischio dei propri sistemi informativi e di rete. A tali sistemi si applicheranno, coerentemente con la loro esposizione al rischio, maggiori obblighi finalizzati a innalzarne progressivamente i livelli di sicurezza informatica.
Settembre 2026: completamento dell’implementazione delle misure di sicurezza di base

Opportunità e sfide future per le imprese coinvolte ed il sistema Paese

La Direttiva NIS2 rappresenta un punto di svolta radicale con il passato, promuovendo una diffusione della cultura della sicurezza non più limitata a poche grandi imprese, ma estesa in modo capillare a tutte le organizzazioni che partecipano al corretto funzionamento del sistema Paese.
Contribuisce quindi in modo determinante a costruire un ecosistema digitale più sicuro, affidabile, stabile e reattivo, elemento imprescindibile per la stabilità economica, il benessere dei cittadini e la sovranità tecnologica dell’Europa.
Giunge tuttavia dopo un ventennio in cui le imprese hanno dovuto fronteggiare crisi economiche internazionali, pandemie, mutazioni geopolitiche e cambiamenti radicali del mercato globale; eventi che hanno portato ad un modus operandi generale focalizzato su una estrema razionalizzazione dei costi e su una riduzione sempre più agguerrita dei tempi di commercializzazione dei prodotti/servizi.
Se da una parte ciò ha consentito alle imprese di rimanere sul mercato, dall’altra ha avuto un effetto penalizzante proprio su quegli aspetti di sicurezza, stabilità ed affidabilità che la Direttiva NIS2 oggi richiede, traducendosi in significativi mancati investimenti organizzativi, culturali, professionali e tecnologici, che sarà impegnativo riuscire a recuperare in diciotto mesi (ancor di più se si considera che i modelli di categorizzazione delle attività partiranno nell’aprile 2026, e che probabilmente molte imprese attenderanno quella data prima di attivarsi fattivamente).

Si riportano quindi di seguito alcune delle principali sfide attese.

Risorse Umane – sarà richiesto un impiego considerevole di professionisti nell’ambito della cybersicurezza. Queste figure dovranno disporre sia di competenze elevate (affinché abbiano contezza delle possibili modalità di implementazione dei requisiti) che di una significativa esperienza (affinché abbiano maturato una visione adeguata del sistema azienda e delle modalità di attuazione dei concetti di proporzionalità, in modo da non portare ad investimenti errati/inefficaci/penalizzanti per le imprese). Sulla base di queste caratteristiche, pertanto, per queste figure non sarà sufficiente il classico approccio di “formazione on the job” (ad esempio per neolaureati, o per figure tecnico/legali riallocate da varie funzioni aziendali), e bisognerà attingere alle figure attualmente presenti sul mercato, è quindi probabile che nel 2026 assisteremo a campagne aggressive di reclutamento. Poiché il sistema Paese ad oggi non dispone di (almeno) 20.000 professionisti effettivi con queste duplici caratteristiche, si potrebbe generare un incremento dell’offerta da parte di soggetti privi di effettive competenze o qualificazioni, con il rischio concreto di una proliferazione di approcci improvvisati o non conformi ai requisiti richiesti. Ai professionisti di cui sopra, andrebbe poi affiancato un numero congruo di figure operative a supporto per l’attuazione dei sistemi di gestione della sicurezza, che ogni impresa dovrà quindi ben ponderare da un punto di vista quantitativo e qualitativo.

Investimenti – sarà richiesta una revisione strutturale degli investimenti in cybersicurezza, con impatti rilevanti sia in termini economici che organizzativi. In primo luogo, sarà necessario dotarsi di soluzioni tecnologiche conformi ai principi di efficacia e proporzionalità, tenendo conto della dimensione, del rischio e della complessità operativa dell’organizzazione. L’acquisizione e l’implementazione di strumenti avanzati per la mappatura degli asset, per il monitoraggio continuo, per la gestione delle vulnerabilità e per la protezione perimetrale e applicativa rappresenteranno voci di spesa significative. A ciò si aggiungeranno i costi di consulenza specializzata, nonché quelli del personale dedicato alla manutenzione e alla gestione delle soluzioni, spesso non sostituibili da automatismi. È il caso, ad esempio, dei processi di patch management, che richiedono ancora interventi manuali e validazioni puntuali, specie in contesti legacy o critici. Inoltre, le imprese dovranno investire in infrastrutture adeguate a garantire la business continuity e il disaster recovery, con costi legati a sistemi di backup, replica geografica e test periodici. Infine, l’introduzione della multi-factor authentication (MFA), ancora scarsamente adottata al di fuori di ambienti IT o finanziari, rappresenta una priorità che impone un’estensione capillare degli strumenti di controllo accessi e delle politiche di identità digitale. In tale scenario, la sostenibilità degli investimenti sarà fortemente legata alla capacità dell’impresa di integrare la sicurezza nei processi esistenti, evitando approcci frammentati o reattivi.

Cultura – sarà richiesto un profondo cambiamento culturale, che andrà ben oltre l’introduzione di strumenti tecnici o procedure formali. In primo luogo, sarà necessaria una presa di consapevolezza da parte del top management circa la serietà degli obblighi imposti dalla normativa e le potenziali conseguenze in caso di inadempienza, che includono anche responsabilità dirette e misure interdittive nei confronti degli organi di amministrazione. Questo scenario rende auspicabile un ripensamento dei vecchi modelli organizzativi e delle deleghe operative, in particolare per quelle realtà che tendono a concentrare i poteri decisionali e di firma esclusivamente nel vertice aziendale. L’adozione di modelli di firma più distribuiti, con un’articolazione prudente e funzionale delle responsabilità, può costituire una misura di continuità aziendale, mitigando il rischio che un provvedimento sanzionatorio blocchi l’operatività dell’impresa. Affinché la cybersicurezza diventi parte integrante della cultura aziendale, occorrerà una trasformazione della mentalità organizzativa, in cui la sicurezza non sia percepita solo come un adempimento tecnico, ma come valore strategico e abilitante per la resilienza e la competitività dell’impresa.

Pragmatismo esecutivo – fondato non solo sul rispetto formale delle disposizioni, ma sull’effettiva integrazione delle misure di sicurezza nel contesto operativo aziendale. Ad esempio, non sarà sufficiente adottare politiche di sicurezza generiche o mutuare modelli disponibili pubblicamente: tali strumenti dovranno essere adattati alla realtà organizzativa, ai processi, alle risorse e ai rischi specifici dell’impresa, affinché risultino realmente efficaci ed efficienti. Inoltre, alcuni obblighi della NIS2 – come la gestione del rischio cyber – si sovrappongono a requisiti già previsti da altre normative settoriali, pertanto in assenza di un lavoro di omogeneizzazione normativa e procedurale, si rischierà di generare duplicazioni operative e un aumento non necessario dei costi di compliance. Il vero sforzo richiesto sarà quindi quello di tradurre la normativa in prassi aziendali coerenti, sostenibili e integrate, evitando approcci frammentari o documentali privi di reale valore funzionale.

Gestione dei Fornitori – le imprese dovranno rivedere i criteri di selezione, qualificazione e monitoraggio dei fornitori, aggiornando le informazioni richieste in sede di offerta, i contenuti contrattuali e le clausole di sicurezza, ma soprattutto definendo metriche di valutazione oggettive e replicabili. Sarà essenziale seguire i processi in modo rigoroso, anche accettando l’eventualità che un fornitore desiderato possa non risultare conforme ai requisiti di sicurezza attesi. Delegare la responsabilità solo a clausole contrattuali non sarà più sufficiente: la Direttiva impone un approccio attivo e documentato, che includa verifiche periodiche, controlli in esercizio e aggiornamento costante degli obblighi di compliance lungo tutta la durata della fornitura. In sintesi, la gestione dei fornitori diventerà parte integrante della postura di sicurezza dell’impresa, richiedendo coerenza tra strategia, contratti e operatività.

Education – sarà necessario introdurre un cambio di paradigma anche nella formazione, che non potrà più limitarsi a contenuti generalisti – come ad esempio i seppur utili ma consueti corsi base sul phishing – ma dovrà essere strutturata, mirata e ad alto impatto. Il focus si sposterà sulla formazione specifica degli organi di amministrazione e direzione, dei responsabili di funzione e di tutti gli attori coinvolti nell’attuazione delle misure di conformità. Si tratta di creare cultura e consapevolezza operativa sui principi e sugli obblighi della direttiva, rendendo chiari i rischi, le responsabilità e le priorità da perseguire. La formazione diventerà così uno strumento strategico, non solo per evitare sanzioni, ma per garantire che le misure adottate siano comprese, applicate e sostenute da chi deve portarle a compimento, trasformando la compliance da adempimento a competenza aziendale diffusa.

Notifica degli incidenti – le imprese dovranno strutturarsi affinché siano in grado di inviare un preallarme entro 24 ore dall’identificazione di un incidente significativo, seguito da una notifica estesa entro 72 ore e da una relazione finale dettagliata entro un mese, contenente cause, impatti e misure correttive adottate. La normativa introduce inoltre la possibilità di coinvolgere ACN per ricevere supporto durante la gestione dell’incidente, tuttavia, è lecito domandarsi quante imprese ricorreranno effettivamente a questo strumento, considerato che il coinvolgimento diretto dell’autorità potrebbe portare alla luce eventuali non conformità e innescare procedimenti sanzionatori. Il rischio, quindi, è che si inneschi un effetto opposto, in cui le aziende preferiscano effettuare la gestione degli incidenti in esclusiva autonomia, perdendo il valore aggiunto offerto dalla esperienza e capacità di condivisione delle informazioni in ACN.

Monitoraggio continuo, adattamento evolutivo e aggiornamento continui – La conformità alla Direttiva NIS2 richiede un approccio dinamico e strutturato. Le organizzazioni devono assicurare un monitoraggio costante dell’efficacia delle misure di sicurezza adottate, aggiornandole periodicamente sulla base dell’evoluzione delle minacce, delle vulnerabilità emergenti e delle indicazioni delle autorità competenti. È altresì essenziale prevedere audit interni regolari e verifiche di conformità. Considerata la natura europea della direttiva, soggetta a possibili revisioni normative, le imprese dovranno mantenere un sistema di aggiornamento normativo attivo, in grado di recepire tempestivamente eventuali modifiche e integrarle nei propri processi di gestione del rischio.

Sovranità tecnologica – permane l’annoso problema sul come sia possibile raggiungere una resilienza efficace se la gran parte delle soluzioni digitali critiche utilizzate da enti pubblici e imprese private è progettata, sviluppata e controllata da soggetti extraeuropei, spesso al di fuori di qualsiasi giurisdizione nazionale. Si potrà invocare il presidio contrattuale, la gestione della supply chain, la due diligence, ma il limite oggettivo è che non si può governare realmente su ciò di cui non si ha visibilità, e ciò che non si controlla direttamente rimane una vulnerabilità sistemica. La NIS2 impone requisiti rigorosi in materia di sicurezza, ma sarà necessario portare avanti una visione strategica che promuova lo sviluppo e l’adozione di tecnologie europee, il rischio è che si costruisca un sistema formalmente conforme ma strutturalmente dipendente. Per essere efficace, quindi, la resilienza dovrà poggiare anche su autonomia digitale e capacità di verifica e controllo diretto delle infrastrutture e dei servizi critici.

Mercato globale – Il quadro regolatorio introdotto dalla NIS2 si inserisce in un contesto più ampio di forte accelerazione normativa a livello europeo in materia di cybersicurezza, protezione dei dati e resilienza digitale. Questo “grande boom regolatorio” rappresenta, da un lato, un importante passo avanti per rafforzare la fiducia e la sicurezza del mercato interno, ma dall’altro rischia di essere percepito come un peso competitivo, soprattutto rispetto a paesi extra-UE dove i requisiti sono meno stringenti o applicati in modo più flessibile. Diventa quindi fondamentale trasformare la conformità normativa in un vantaggio competitivo, valorizzando le imprese europee come attori affidabili, resilienti e conformi agli standard più elevati. Per farlo, si renderà necessario smontare la narrazione secondo cui le regole europee sarebbero una “zavorra” per l’industria: la compliance può e deve diventare un marchio di qualità, un fattore di attrattività e un argomento commerciale nei mercati globali. In gioco non c’è solo l’adeguamento, ma la capacità di coniugare sicurezza, innovazione e leadership industriale.

E infine, lo Stato – l’implementazione della NIS2 stimola un ripensamento del ruolo dello Stato nel supporto alle imprese. Fino ad oggi si è spesso adottato un modello basato sul principio del “ottempera o ti sanziono”, facendo leva più sulla paura che sulla collaborazione. Tuttavia, la paura non sempre genera comportamenti virtuosi: può indurre le imprese a scelte affrettate, deleghe inconsapevoli o, come già detto, perfino all’omissione di segnalazioni per timore di esporsi a rischi sanzionatori maggiori. In un contesto normativo così vasto e complesso, si auspica invece un approccio cooperativo e orientato alla leadership istituzionale, quasi in una logica di “Stato as a Service”. Le imprese, spesso già caratterizzate da cali di introiti e carenza di risorse qualificate, dovrebbero essere guidate, sostenute e accompagnate, non semplicemente obbligate. Questo è ancor più necessario considerando che i criteri estesi della NIS2 coinvolgeranno decine di migliaia di organizzazioni, rendendo difficile immaginare una vigilanza efficace basata sul solo controllo ex post. I tempi sono forse maturi per valorizzare strumenti di affiancamento operativo, modelli di conformità predefiniti, piattaforme comuni e incentivi, per costruire un ecosistema realmente resiliente e sostenibile.

Dipartimento Tecnologie Innovative & Cybersecurity – Marcello David

Similar Posts

Impatto ecologico della collisione nel mare del Nord: analisi delle conseguenze ambientali

Impatto ecologico della collisione nel mare del Nord: analisi delle conseguenze ambientali

ByCentroStudiEuropeo

La collisione avvenuta il 10 marzo 2025 nel Mare del Nord tra la petroliera MV Stena Immaculate e la nave cargo Solong ha generato un’emergenza ambientale di rilevanza internazionale, caratterizzata dallo sversamento di carburante per aeromobili (Jet-A1) e cianuro di sodio. Questo incidente offre un caso studio critico per valutare gli effetti degli inquinanti chimici…

La Terra di Mezzo del Green Deal europeo

La Terra di Mezzo del Green Deal europeo

ByCentroStudiEuropeo

La Commissione europea ha presentato una raccomandazione per l’obiettivo di riduzione delle emissioni per il 2040 e per tracciare il percorso verso la neutralità climatica nel 2050. Il quadro deriva dagli impegni assunti dall’UE nell’ambito dell’accordo di Parigi, e le misure indicate dall’UE fanno riferimento “alla garanzia della competitività dell’industria europea, una maggiore attenzione a…

Syrian refugee mother and child in Istanbul, Turkey

Israele vs Iran: buonsenso o guerra regionale?

ByCentroStudiEuropeo

In un mondo decisamente in crisi nervosa taluni hanno la convinzione che rispondere colpo su colpo sia scelta saggia. Però a ben vedere la scelta saggia dovrebbe essere quella di congelare una situazione ben capace di deflagrare con esiti dal finale decisamente imprevedibile e/o doloroso, perché in gioco non vi è solo la proiezione di…

Il Centro Studi Europeo partecipa all’evento ‘Edilizia 5.0’ di Ance Aies Giovani

Il Centro Studi Europeo partecipa all’evento ‘Edilizia 5.0’ di Ance Aies Giovani

ByCentroStudiEuropeo

Il 16 e 17 aprile, Salerno sarà al centro del dibattito nazionale sull’edilizia del futuro con l’evento “Edilizia 5.0 – Transizione ecologica e digitale per un settore innovativo”, promosso dal Gruppo Giovani ANCE Aies Salerno, presieduto dall’imprenditore trentinarese Stefano Di Sessa, in collaborazione con ANCE Aies Salerno e il Consiglio Nazionale dei Giovani Imprenditori Edili….

Dettaglio di un fascio di fibre ottiche con le terminazioni illuminate, blu su sfondo scuro.

Dominio Underwater e future networks

ByCentroStudiEuropeo

Nell’età contemporanea il funzionamento della rete è inestricabilmente legato alle infrastrutture che ne consentono l’operatività. Allo stato dell’arte, la trasmissione dei dati Internet nel mondo avviene via satellite solo per l’1% del totale, mentre per il 99% corre lungo le dorsali marittime e oceaniche, all’interno dei cavi sottomarini. Questi ultimi rivestono un ruolo centrale nei…

Industrie creative e digitali: aumento della domanda per content creation, marketing digitale e design ux

Industrie creative e digitali: aumento della domanda per content creation, marketing digitale e design ux

ByCentroStudiEuropeo

tecnologica e dalle nuove esigenze di comunicazione e interazione. Content creation, marketing digitale e design UX sono diventati settori centrali per le imprese che vogliono distinguersi e rimanere competitive in un mercato sempre più orientato verso il digitale. La content creation è oggi uno degli strumenti principali per attirare l’attenzione del pubblico. I formati video…