La Direttiva NIS 2 (Network and Information Security 2) rappresenta un vero cambio di paradigma nella gestione della sicurezza informatica.
Approvata dall’Unione Europea nel 2022, ha l’obiettivo di rafforzare la resilienza digitale di aziende e istituzioni pubbliche, trasformando la cybersecurity in un pilastro della governance aziendale.

Gli obiettivi principali della Direttiva NIS 2

La NIS 2 punta a:

• Aumentare la resilienza informatica di enti pubblici e aziende private considerate essenziali per la società e l’economia.
• Uniformare le misure di sicurezza e gli obblighi di gestione del rischio informatico in tutti gli Stati membri, riducendo le differenze di applicazione.
• Migliorare la segnalazione degli incidenti di sicurezza, con l’obbligo di notificare entro 24 ore un primo rapporto.
• Rafforzare la cooperazione tra Stati membri, promuovendo la condivisione di informazioni e una gestione coordinata delle crisi informatiche.
• Estendere il campo di applicazione rispetto alla precedente NIS del 2016, includendo più organizzazioni e soggetti della supply chain che gestiscono dati o servizi critici.

Chi è obbligato a rispettare la NIS 2

La Direttiva si applica a medie e grandi imprese (oltre 50 dipendenti o fatturato superiore a 10 milioni di euro) che operano in settori essenziali o importanti.
Anche le piccole imprese possono rientrare se svolgono ruoli critici, ad esempio come subfornitori IT di ospedali o infrastrutture strategiche.

Entità essenziali (Essential Entities)

Sono organizzazioni che erogano servizi fondamentali per la società o l’economia e devono rispettare requisiti di sicurezza più severi.
Esempi:

• Energia (elettricità, gas, petrolio, idrogeno)
• Trasporti (aereo, ferroviario, marittimo, stradale)
• Banche e infrastrutture finanziarie
• Sanità (ospedali, laboratori, produttori di farmaci e dispositivi medici)
• Acqua potabile e reflua
• Infrastrutture digitali (DNS, data center, reti di comunicazione, cloud)
• Pubblica Amministrazione centrale e locale
• Spazio (servizi satellitari, comunicazioni spaziali)

Entità importanti (Important Entities)

Comprendono aziende e organizzazioni che, pur non essendo essenziali, possono generare impatti significativi in caso di attacco informatico.

Esempi:

• Servizi postali e di corriere
• Gestione rifiuti
• Fornitura e produzione alimentare
• Fabbricazione di dispositivi critici (es. elettronica, chimica, meccanica avanzata)
• Servizi digitali (piattaforme online, marketplace, motori di ricerca, social network)
• Ricerca (centri e istituti con attività sensibili)

Tutte queste entità devono:

• Gestire i rischi di cybersecurity (analisi, misure tecniche e organizzative adeguate).
• Designare un referente per la sicurezza informatica.
• Notificare gli incidenti entro:
  • o   24 ore → notifica iniziale,
  • o   72 ore → rapporto dettagliato,
  • o   1 mese → relazione finale.
• Sottoporsi a controlli e sanzioni in caso di mancato adeguamento (sanzioni fino a 10 milioni di euro o al 2% del fatturato).

Cybersecurity come leva strategica per la governance

Con l’ampliamento del perimetro di responsabilità introdotto dalla Direttiva NIS 2, la sicurezza informatica non è più solo una questione tecnica.
Diventa un elemento strategico che coinvolge l’intera organizzazione, a partire dal management.

Non è più sufficiente delegare tutto ai reparti IT: i vertici aziendali devono sviluppare competenze e consapevolezza per prendere decisioni informate in materia di cyber risk.

Formazione e cultura della sicurezza

Per affrontare questa sfida, è essenziale implementare programmi di formazione dedicati alle figure apicali e a tutti i dipendenti.
Solo attraverso una cultura diffusa della sicurezza digitale è possibile ridurre i rischi, proteggere i dati sensibili e garantire la continuità operativa.