La NIS2 ha 18 mesi di applicazione effettiva, e a Bruxelles si parla già di NIS3. Niente di ufficiale — siamo in fase di consultazioni informali. Ma i segnali sono interessanti.
Cosa sta emergendo
- Estensione AI: i sistemi AI ad alto impatto entrerebbero esplicitamente nel perimetro, con obblighi specifici di robustezza e adversarial testing.
- Sistemi industriali (OT) più rilevanti: la NIS2 li copre già marginalmente, la NIS3 li metterebbe al centro. Conseguenza per il manifatturiero italiano: lavoro reale.
- Supply chain estesa: oggi i fornitori IT sono nel perimetro, in NIS3 anche fornitori indiretti — second-tier — sarebbero in scope per certi settori.
- Disclosure obbligatoria di breach: oltre la notifica autorità, comunicazione pubblica entro 30 giorni per breach significativi.
Tempistiche realistiche
Se i tempi seguono la NIS2: proposta legislativa 2026-27, approvazione 2027-28, recepimento 2030-31. Sembra lontano, ma per chi gestisce sistemi industriali o supply chain estese, è il momento di iniziare a strutturare programmi pluriennali.
Cosa fare oggi
- Mappare la supply chain estesa: chi sono i fornitori dei tuoi fornitori IT critici? Spesso non lo si sa.
- Iniziare audit OT: per chi ha PLC, SCADA, HMI in fabbrica.
- Logging strutturato di sistemi AI: prepararsi a poter dimostrare cosa fa l'AI in azienda.
Perché ne parliamo già
Le aziende che si sono adeguate alla NIS2 in fretta nel 2024-25 hanno l'esperienza per affrontare la NIS3 con calma. Quelle che hanno tergiversato si troveranno il doppio del lavoro nel 2030. Lo dice la storia del GDPR.