La trasformazione digitale ha reso le organizzazioni sempre più interconnesse ma anche più esposte ai rischi informatici. In risposta a questa evoluzione, l'Unione Europea ha introdotto la Direttiva NIS 2 (Network and Information Security 2), recepita in Italia con il Decreto Legislativo n. 138/2024.

Questa normativa rappresenta un'importante evoluzione della precedente direttiva NIS e stabilisce un nuovo standard di riferimento per la cybersecurity, con l'obiettivo di armonizzare e rafforzare la resilienza delle infrastrutture critiche e dei servizi essenziali in tutta l'UE.

A Chi si Rivolge la Direttiva NIS 2?

La NIS 2 espande significativamente il numero di settori e organizzazioni tenute all'adeguamento. La normativa si applica alle medie e grandi imprese (generalmente con più di 50 dipendenti o 10 milioni di euro di fatturato annuo) che operano in settori strategici.

Queste entità sono classificate in due categorie:

1. Soggetti Essenziali (SE): Aziende in settori ad alta criticità come Energia, Trasporti, Bancario, Sanità (incluse RSA e produzione di dispositivi medici), Acqua potabile e Infrastrutture Digitali (come cloud e data center).
2. Soggetti Importanti (SI): Aziende in altri settori critici come Servizi postali, Gestione dei rifiuti, Produzione chimica, Industria alimentare, Manifatturiero (es. elettronica, macchinari, automotive) e Fornitori di servizi digitali.

I Pilastri dell'Adeguamento: Cosa Cambia in Pratica?

La NIS 2 sposta l'accento dalla conformità formale a una gestione del rischio proattiva e integrata. I punti cardine sono:

• Responsabilità della Governance: Per la prima volta, gli organi di amministrazione (CdA) sono chiamati a supervisionare e approvare le strategie di gestione del rischio informatico. I vertici aziendali devono seguire una formazione specifica e sono direttamente responsabili della mancata conformità.
• Gestione dei Rischi: È obbligatorio adottare un approccio "multi-rischio" che includa almeno 10 misure di sicurezza fondamentali. Tra queste: analisi dei rischi, piani di continuità operativa (Business Continuity), crittografia, autenticazione multi-fattore (MFA) e formazione del personale.
• Sicurezza della Catena di Fornitura (Supply Chain): Le aziende devono mappare e gestire i rischi di cybersecurity derivanti dai propri fornitori e partner commerciali, includendo requisiti di sicurezza specifici nelle relazioni contrattuali.
• Notifica Incidenti e Figure Chiave: Vengono introdotti obblighi di notifica stringenti (pre-notifica entro 24 ore e notifica dettagliata entro 72 ore). Per gestire questo flusso, l'ACN (con la Determinazione del 19 settembre 2025) ha stabilito l'obbligo di nominare un "Referente CSIRT". Questa figura, cruciale per l'interlocuzione tecnica con l'autorità, deve essere designata e comunicata tramite il portale ACN entro il 31 dicembre 2025.