SEM Devs
← Tutti gli articoli
nis2sicurezzacompliancecybersecurity

NIS2: la nuova direttiva UE sulla cybersecurity (e perché tocca anche le PMI)

25 January 20242 min di lettura

La direttiva NIS2 entra in vigore in Italia entro il 2024. Allarga molto il perimetro rispetto alla NIS1: chi è coinvolto, cosa serve fare, e da dove iniziare.

Il 2024 è l'anno della NIS2 in Italia. La direttiva UE 2022/2555 deve essere recepita dagli Stati membri entro il 17 ottobre 2024, e per molte PMI italiane sarà la prima vera norma di cybersecurity con cui dovranno confrontarsi.

Cosa cambia rispetto alla NIS1

La NIS1 (2016) toccava un perimetro ristretto: operatori di servizi essenziali e fornitori di servizi digitali. La NIS2 lo allarga radicalmente, introducendo due categorie:

  • Essenziali: energia, trasporti, banche, sanità, acqua, infrastrutture digitali, pubblica amministrazione.
  • Importanti: servizi postali, gestione rifiuti, alimentare, manifatturiero (medio-alto rischio), fornitori digitali (cloud, data center, MSP), ricerca.

Il criterio è duplice: settore + dimensione. Sono dentro le aziende con almeno 50 dipendenti o 10 milioni di fatturato che operano nei settori sopra. Le micro-imprese restano fuori, salvo eccezioni specifiche (DNS, registrar, fornitori di trust services).

Cosa la direttiva richiede

La NIS2 elenca dieci aree di misure minime di sicurezza, tra cui:

  • Politiche di analisi del rischio e sicurezza dei sistemi informativi.
  • Gestione degli incidenti, con notifica iniziale entro 24 ore e completa entro 72.
  • Continuità operativa e gestione delle crisi.
  • Sicurezza della supply chain — incluso il rapporto con fornitori IT e MSP.
  • Cifratura e crittografia.
  • Multi-factor authentication e gestione degli accessi.
  • Formazione del personale.

Le sanzioni

Per i soggetti essenziali si arriva a 10 milioni di euro o il 2% del fatturato globale. Per gli importanti, 7 milioni o l'1,4%. E — novità rispetto alla NIS1 — c'è una responsabilità diretta del management: amministratori e organi direttivi devono approvare le misure e possono essere ritenuti personalmente responsabili.

Da dove iniziare

Per le PMI che ci chiedono "siamo dentro o fuori?", il percorso che proponiamo è:

  1. Mapping: capire se il settore e la dimensione fanno scattare gli obblighi.
  2. Asset inventory: lista completa di server, applicazioni, fornitori e flussi di dati.
  3. Gap analysis: rispetto alle dieci aree della NIS2 (e ai controlli ISO/IEC 27001, che restano un buon riferimento).
  4. Piano triennale: priorità, budget, responsabilità.
  5. Quick wins: MFA ovunque, backup immutabili, patching automatico, EDR. Anche solo questi quattro coprono molto.

Cosa non aspettare

Alcune misure non hanno bisogno della NIS2 per essere implementate: sono già il minimo sindacale del 2024. Se nella tua azienda non sono ancora in atto, la direttiva è solo un buon motivo per accelerare. Non l'unico.