La tua azienda è nel perimetro NIS2 e non lo sa. Questo è il problema.
Non c'è modo più efficace di iniziare. Non con i soliti ammonimenti sulle "sfide della digitalizzazione" o con le immancabili metafore bellicistiche sulla cybersecurity. Con un fatto: migliaia di imprese italiane sono oggi soggette alla Direttiva NIS2, con obblighi precisi, scadenze già scadute e sanzioni fino a dieci milioni di euro, e non lo sanno. O lo sanno, e hanno delegato la questione al responsabile informatico pensando che bastasse.
Non basta. Quello che segue è ciò che dovresti sapere — e che nessuno ti ha ancora detto con la chiarezza che merita.
NIS2 in 60 secondi
La Direttiva UE 2022/2555, nota come NIS2 (Network and Information Security 2), è il successore — molto più aggressivo — della prima Direttiva NIS del 2016. È entrata in vigore a livello europeo il 16 gennaio 2023. Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale.
L'Italia ha recepito NIS2 con il D.Lgs. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 18 ottobre 2024. L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità competente — quella che regolamenta, vigila, sanziona e gestisce la piattaforma di registrazione obbligatoria.
Cosa cambia rispetto a NIS1? Tutto, nella sostanza. La platea si è allargata in modo radicale: i settori coperti sono passati da 7 a 18. Le soglie dimensionali per rientrare nel perimetro si sono abbassate. Gli obblighi si sono moltiplicati — non solo in numero, ma in qualità. Le sanzioni sono diventate comparabili a quelle del GDPR. E soprattutto è entrato in gioco un principio che NIS1 non conosceva: la responsabilità personale del management.
Chi è soggetto: la mappa del perimetro
NIS2 divide i soggetti obbligati in due categorie, con regimi parzialmente diversi.
Soggetti essenziali: energia (elettricità, gas, petrolio, teleriscaldamento, idrogeno), trasporti (aereo, ferroviario, acqua, strada), banche e infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali (IXP, DNS, TLD, cloud, datacenter, reti CDN, TSP), gestione dei servizi ICT B2B, pubblica amministrazione, spazio.
Soggetti importanti: servizi postali e di corriere, gestione dei rifiuti, fabbricazione e distribuzione di sostanze chimiche, produzione/trasformazione/distribuzione di alimenti, fabbricazione (dispositivi medici, computer ed elettronica, macchinari, autoveicoli, altri mezzi di trasporto), fornitori digitali (marketplace online, motori di ricerca, piattaforme di social network), ricerca.
Fin qui, molti si tranquillizzano: "Non faccio banche, non faccio energia, sono a posto." Sbagliato. Le soglie dimensionali cambiano tutto.
Rientra nel perimetro NIS2 qualunque impresa che operi in uno dei settori elencati e che superi almeno uno di questi parametri: 50 dipendenti oppure 10 milioni di euro di fatturato o di totale attivo. Le imprese più grandi — oltre 250 dipendenti o oltre 50 milioni di fatturato — rientrano tendenzialmente tra i soggetti essenziali.
Il dato che dovrebbe fare riflettere: in Italia ci sono decine di migliaia di imprese nel settore alimentare, nel trasporto merci su strada, nella distribuzione di prodotti chimici, nella fabbricazione di macchinari, nei servizi IT B2B, che superano queste soglie e non hanno mai sentito nominare NIS2.
La registrazione obbligatoria sulla piattaforma ACN doveva avvenire entro febbraio 2025. Non è un adempimento facoltativo — è il primo passo formale dell'assoggettamento alla norma, e la sua omissione è già di per sé una violazione.
Gli obblighi concreti: cosa chiede davvero NIS2
L'articolo 21 del D.Lgs. 138/2024 — che recepisce l'art. 21 della Direttiva — elenca le misure di sicurezza che ogni soggetto obbligato deve adottare. Sono dieci categorie, e nessuna è vaga.
1. Politiche di sicurezza delle reti e dei sistemi informativi. Non un documento da appendere al muro: un sistema documentale aggiornato, con politiche operative effettive.
2. Gestione del rischio. Identificazione e analisi sistematica dei rischi cyber, con valutazione periodica e aggiornamento continuo.
3. Gestione degli incidenti. Procedure formalizzate per rilevare, classificare, contenere e rispondere agli incidenti. Non basta "chiamare il tecnico informatico".
4. Continuità operativa e gestione delle crisi. Business continuity plan, disaster recovery, backup — e test periodici che dimostrino che funzionano davvero.
5. Sicurezza della supply chain. Questo è il punto che fa più paura alle aziende che lo capiscono: non basta che tu sia sicuro. Devi valutare e gestire i rischi cyber dei tuoi fornitori IT, dei tuoi partner, di chi accede ai tuoi sistemi.
6. Sicurezza nello sviluppo e acquisizione di sistemi. Chi compra software o servizi cloud deve verificarne la sicurezza. Chi sviluppa sistemi deve integrare la cybersecurity nel processo, non aggiungerla come rifinitura finale.
7. Procedure per valutare l'efficacia delle misure. Audit, test di penetrazione, vulnerability assessment — con frequenza documentata e risultati tracciabili.
8. Formazione del personale. Non la slide annuale sulla password sicura. Formazione strutturata, verificabile, con evidenza documentale.
9. Autenticazione a più fattori (MFA). Obbligatoria. Su tutti i sistemi critici. Senza eccezioni.
10. Crittografia e cifratura. Dei dati in transito e a riposo, dove rilevante per il rischio.
Il caso MOVEit del 2023 ha reso visibile nel modo più brutale possibile la vulnerabilità della supply chain. Un bug in un software di trasferimento file usato da migliaia di aziende nel mondo ha esposto i dati di centinaia di organizzazioni — ospedali, agenzie governative, banche — che non avevano nemmeno accesso diretto al sistema compromesso. Lo avevano i loro fornitori. La sicurezza non ha confini aziendali: questo è il messaggio che NIS2 ha istituzionalizzato.
La segnalazione degli incidenti: i tempi che nessuno rispetta
Se c'è una parte di NIS2 che rivelerà la sua brutalità nelle prime sanzioni, è la disciplina della segnalazione degli incidenti.
Quando si verifica un incidente significativo — definito come un incidente che causa interruzioni operative rilevanti o perdite finanziarie significative, oppure che interessa altre organizzazioni o persone fisiche — il soggetto obbligato deve rispettare tre scadenze.
24 ore: pre-notifica all'ACN. Entro un giorno dall'incidente, l'autorità deve sapere che è successo qualcosa. Non i dettagli, non la causa — ma l'esistenza dell'incidente e una prima classificazione.
72 ore: notifica completa. Analogo a quanto previsto dal GDPR per i data breach — e non casualmente: quando l'incidente coinvolge dati personali, scattano in parallelo sia il termine NIS2 verso ACN sia il termine GDPR verso il Garante della Privacy. Sono due flussi di notifica distinti, a due autorità diverse, con contenuti parzialmente sovrapposti ma non identici. Gestirli male è un errore che molte aziende faranno.
1 mese: relazione finale. Un documento completo sull'incidente, le sue cause, le misure adottate in risposta, le lezioni apprese. Non è un'email. È un atto formale con potenziale valenza probatoria.
L'elemento più sottile è la definizione di "incidente significativo". La soglia non è altissima — un attacco ransomware che blocca l'operatività per qualche ora è quasi certamente significativo. Un data exfiltration che riguarda i dati di clienti o partner lo è certamente. La mancata pre-notifica nelle 24 ore non è un'omissione tecnica: è una violazione autonoma, sanzionabile indipendentemente dall'incidente che ne è occasione.
La responsabilità del CdA: art. 20 e il punto di non ritorno
Qui si smette di parlare di IT e si inizia a parlare di responsabilità personale.
L'articolo 20 del D.Lgs. 138/2024 — uno dei più rilevanti dell'intera norma — stabilisce con chiarezza che gli organi di amministrazione e direttivi dei soggetti obbligati devono:
- essere formati in materia di cybersecurity, con frequenza sufficiente ad assicurare una comprensione adeguata dei rischi;
- approvare le misure di gestione del rischio adottate dall'organizzazione;
- vigilare sulla loro attuazione;
- rispondere delle violazioni degli obblighi NIS2.
Non è una questione di deleghe al dipartimento IT. L'organo di amministrazione — il consiglio di amministrazione, l'amministratore unico, i soci nella SRL con gestione informale — è il soggetto responsabile. Non può delegare la responsabilità: può delegare l'esecuzione, ma deve dimostrare di aver compreso, approvato e vigilato.
La sanzione più severa prevista — la sospensione temporanea del manager responsabile dalle funzioni direttive — non è un'ipotesi accademica. È una sanzione accessoria espressamente prevista, applicabile ai soggetti essenziali in caso di gravi violazioni e mancata compliance dopo diffida. È il corrispettivo NIS2 dell'interdizione dai pubblici uffici: una misura che colpisce la persona fisica, non la società.
Un imprenditore che firma bilanci, presiede riunioni del CdA e poi dichiara di non sapere cosa fosse NIS2 non ha una posizione difendibile. Il sistema è costruito per chiudere questa scappatoia.
Le sanzioni: i numeri che fanno fare i conti
La struttura sanzionatoria di NIS2 è ispirata — deliberatamente — al GDPR. Non è una coincidenza: il legislatore europeo voleva replicare lo shock regolatorio che il GDPR aveva prodotto nel mondo della privacy.
Soggetti essenziali: sanzioni amministrative fino al massimo tra 10 milioni di euro e 2% del fatturato mondiale annuo. Si applica il maggiore tra i due importi.
Soggetti importanti: massimo tra 7 milioni di euro e 1,4% del fatturato mondiale annuo.
Ma le sanzioni pecuniarie non sono la parte più temibile. Le sanzioni accessorie completano il quadro:
- Audit obbligatori da parte dell'ACN, con costi a carico del soggetto sanzionato;
- Comunicazione pubblica della violazione — con nome, cognome aziendale, natura dell'inadempimento. Il danno reputazionale in certi settori vale più della sanzione pecuniaria;
- Sospensione temporanea di certificazioni o autorizzazioni necessarie all'esercizio dell'attività;
- Per i soggetti essenziali, sospensione del manager responsabile.
Va precisato che il regime sanzionatorio italiano entrerà a regime gradualmente — le prime sanzioni concrete emergeranno verosimilmente nel 2026-2027, man mano che l'ACN consolida la propria capacità ispettiva. Ma la gradualità dell'enforcement non riduce la portata degli obblighi, già pienamente in vigore.
5 cose da fare adesso — senza aspettare
1. Verificare se sei nel perimetro e registrarti sull'ACN
Il primo passo è fatale per molti: non sanno di dover fare nulla. La piattaforma di registrazione dell'ACN (nell'area dedicata a NIS2 su acn.gov.it) è lo strumento attraverso cui le imprese si identificano come soggetti obbligati. La registrazione andava completata entro febbraio 2025. Chi non l'ha fatto è già in violazione — e deve rimediare il prima possibile, comunicando anche il ritardo.
2. Mappare i sistemi IT critici
Quali sistemi informatici supportano i processi operativi essenziali? Quali, se compromessi, bloccherebbero l'attività? Questa mappatura — spesso chiamata "asset inventory" nel linguaggio tecnico — è il prerequisito di qualunque valutazione del rischio e non richiede competenze informatiche avanzate: richiede che qualcuno si sieda e risponda a domande semplici con risposte concrete.
3. Fare una valutazione del rischio
Non un documento formale da consegnare a un'autorità, ma un'analisi operativa: quali sono i rischi cyber realistici per questo tipo di impresa, in questo settore, con questa infrastruttura? Un fornitore di software B2B ha rischi diversi da un produttore alimentare con impianti OT (operational technology). La valutazione deve essere specifica, non copiata da un template generico.
4. Definire una procedura di incident response
Cosa succede se domani mattina i sistemi aziendali sono inaccessibili? Chi viene chiamato? Chi decide di pagare o non pagare il riscatto? Chi notifica l'ACN nelle 24 ore? Chi gestisce la comunicazione con clienti e fornitori? La procedura di incident response — anche in forma semplice — deve essere scritta, nota alle persone chiave, e testata almeno una volta.
5. Includere clausole NIS2 nei contratti con i fornitori IT
Ogni fornitore che accede ai tuoi sistemi — il gestionale, il CRM, il cloud provider, il consulente che entra in VPN — è un potenziale vettore di incidente. I contratti con questi soggetti devono ora includere: obblighi di sicurezza minimi, diritti di audit, obbligo di notifica in caso di incidente che coinvolga i tuoi sistemi, e clausole risolutive per violazione grave degli standard NIS2. Le grandi imprese lo stanno già facendo. Chi è in mezzo alla catena lo scoprirà quando riceverà l'addendum contrattuale da firmare.
Il rischio "chain of liability": quando sei tu il fornitore
C'è un aspetto di NIS2 che raramente viene discusso e che merita attenzione specifica: la responsabilità a catena nella supply chain.
Se la tua impresa fornisce servizi IT, software, accesso a sistemi, o qualunque componente digitale a un'impresa NIS2, la tua sicurezza informatica diventa contrattualmente rilevante per il tuo cliente. Non perché la norma ti obblighi direttamente (potresti essere sotto soglia), ma perché il tuo cliente NIS2 è obbligato a valutare e gestire i rischi provenienti dalla filiera — e lo fa attraverso il contratto con te.
Le clausole standard che le imprese NIS2-compliant stanno inserendo nei contratti con i loro fornitori informatici ricalcano in gran parte quelle già viste con il GDPR: dichiarazioni di conformità ai requisiti di sicurezza, diritti di audit, obbligo di notifica in caso di incidente entro 24 ore, standard tecnici minimi da rispettare (MFA, crittografia, gestione degli accessi privilegiati), e clausole risolutive di diritto in caso di violazione grave.
La differenza rispetto al GDPR è che qui il rischio per il tuo cliente non è solo un data breach: è un'interruzione operativa che potrebbe costare milioni, una segnalazione all'ACN, una sanzione, e — nei casi peggiori — una comparsa in una notifica pubblica di violazione. Questo alza il livello di pressione contrattuale ben oltre quello che il GDPR aveva prodotto.
Il fornitore IT che non è in grado di dimostrare un livello minimo di maturità cyber si troverà escluso dalle gare e sostituito. Non per una scelta etica del cliente — ma per un obbligo di legge che il cliente non può ignorare.
Conclusione: NIS2 non è un problema IT
Esiste un errore che si ripete ogni volta che una norma tecnicamente complessa entra in vigore: delegarla a chi ne capisce la tecnica, pensando che chi ne capisce la tecnica ne gestisca anche il rischio legale.
Con il GDPR, molte imprese hanno scoperto a proprie spese che il data breach non era un problema del tecnico che non aveva aggiornato il firewall — era un problema dell'imprenditore che aveva firmato informative incomplete, che non aveva nominato il DPO quando era obbligatorio, che non aveva un registro dei trattamenti. Il costo era stato suo, non del tecnico.
Con NIS2, la struttura è identica — ma la posta è più alta. Le sanzioni sono più severe. La responsabilità personale del management è esplicita nel testo della norma. E la gamma dei soggetti obbligati è enormemente più ampia di quella del GDPR in settori specifici.
L'imprenditore che legge questo articolo e pensa "lo mando al mio IT manager" ha già sbagliato la prima mossa. L'IT manager può aiutare a eseguire. Non può sostituire la decisione strategica, l'approvazione formale delle misure, la firma sulla relazione di incident response alle 3 di notte quando il ransomware ha già cifrato i server di produzione.
NIS2 chiede al management di capire. Non di diventare ingegneri informatici — di capire. E di mettere per iscritto che ha capito, che ha approvato, che ha vigilato.
Chi non lo fa non sta rischiando un'ammenda. Sta rischiando la sospensione dall'incarico, la comunicazione pubblica della violazione, e una responsabilità personale che nessuna polizza assicurativa aziendale copre automaticamente.
Il brivido non è nella norma. È nella firma in calce a un verbale del CdA che attesta l'approvazione di misure di sicurezza che nessuno ha mai letto.
