Se gestisci un'azienda in Italia, c'è una normativa europea che probabilmente ti riguarda — anche se nessuno te ne ha ancora parlato. Si chiama NIS2, è la nuova direttiva sulla sicurezza informatica, e prevede obblighi precisi con sanzioni pesanti. Qui ti spieghiamo in modo chiaro chi è coinvolto, cosa devi fare e entro quando.
Cos'è la Direttiva NIS2
La NIS2 (Direttiva UE 2022/2555) è la normativa europea che alza l'asticella della sicurezza informatica in tutta l'Unione Europea. Sostituisce la vecchia NIS del 2016, ma con regole più rigide, un campo di applicazione molto più ampio e sanzioni decisamente più pesanti. L'Italia l'ha recepita con il Decreto Legislativo 138/2024.
L'obiettivo è rendere più resistenti i sistemi informatici delle aziende europee, ma le conseguenze vanno ben oltre i settori tradizionalmente considerati critici. Il principio è la proporzionalità: le misure di sicurezza devono essere adeguate ai tuoi rischi specifici, ma se rientri nel perimetro, non puoi fare finta di niente.
Chi è Coinvolto: Soggetti Essenziali e Importanti
La NIS2 allarga enormemente il numero di settori e aziende coinvolte. La vecchia normativa riguardava soprattutto le grandi utility e i fornitori digitali. Adesso le organizzazioni si dividono in due categorie:
Soggetti Essenziali (settori ad alta criticità)
- Energia: elettricità, petrolio, gas, idrogeno, teleriscaldamento
- Trasporti: aereo, ferroviario, marittimo, stradale
- Settore bancario e infrastrutture dei mercati finanziari
- Sanità: ospedali, laboratori, ricerca farmaceutica, produttori di dispositivi medici
- Acqua potabile e acque reflue
- Infrastrutture digitali: data center, CDN, DNS, cloud computing, servizi fiduciari
- Pubblica amministrazione (a livello centrale e regionale)
- Spazio
Soggetti Importanti (altri settori critici)
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione di prodotti chimici, alimentari, dispositivi medici, apparecchiature elettriche, macchinari, veicoli
- Fornitori di servizi digitali: marketplace, motori di ricerca, social network
- Ricerca scientifica
Attenzione: la catena di fornitura
Anche se la tua azienda non rientra direttamente nei settori elencati, potresti essere coinvolto come fornitore di un soggetto essenziale o importante. Molte grandi aziende stanno già chiedendo ai propri fornitori di dimostrare la conformità NIS2 come requisito per continuare a lavorare insieme.
I Principali Obblighi della NIS2
La NIS2 non chiede solo di installare un firewall. Richiede un approccio organizzato alla sicurezza informatica, che coinvolge la tecnologia, le procedure e le persone.
1. Governance e Responsabilità del Management
Ecco la novità più grossa: il management risponde direttamente. L'amministratore delegato e il CDA devono approvare le misure di sicurezza, controllare che vengano applicate e formarsi in materia. Non puoi più dire "se ne occupa l'IT": è una responsabilità aziendale.
2. Misure di Gestione del Rischio
Devi adottare misure tecniche, operative e organizzative adeguate. In pratica:
- Analisi dei rischi e politiche di sicurezza dei sistemi informativi
- Gestione degli incidenti di sicurezza con procedure documentate
- Continuità operativa e disaster recovery
- Sicurezza della catena di approvvigionamento
- Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi
- Politiche di crittografia e cifratura dei dati
- Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
- Autenticazione multi-fattore — MFA (cioè il doppio passaggio per accedere ai sistemi) — e comunicazioni sicure
3. Obbligo di Segnalazione degli Incidenti
Se subisci un incidente informatico significativo, non puoi tenerlo per te. La NIS2 impone tempi precisi:
- Entro 24 ore: inviare un preallarme al CSIRT nazionale
- Entro 72 ore: trasmettere una notifica dettagliata dell'incidente
- Entro 1 mese: presentare una relazione finale con analisi delle cause e misure adottate
4. Sicurezza della Catena di Fornitura
Devi valutare e gestire i rischi legati ai tuoi fornitori. In pratica: devi verificare che i tuoi fornitori abbiano pratiche di sicurezza adeguate, mettere requisiti di cybersecurity nei contratti e monitorare i rischi nel tempo. Se sei una PMI che lavora con grandi aziende, questo punto ti riguarda direttamente.
Le Scadenze da Rispettare nel 2026
Segna queste date in agenda. Il calendario è preciso e non aspetta:
Entro 28 Febbraio 2026
Scadenza per la registrazione sulla piattaforma dell'ACN (Agenzia per la Cybersicurezza Nazionale) per i soggetti che rientrano nel perimetro NIS2.
Aprile 2026
L'ACN comunica l'elenco definitivo dei soggetti essenziali e importanti e notifica l'inserimento alle organizzazioni coinvolte.
Entro Gennaio 2027
Obbligo di adeguamento agli obblighi di notifica degli incidenti e di governance (responsabilità degli organi direttivi).
Entro Ottobre 2027
Piena conformità a tutte le misure di gestione del rischio e agli obblighi di sicurezza previsti dalla normativa.
Le Sanzioni Previste
Le sanzioni sono pesanti, ed è voluto. Servono come deterrente:
- Soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (il maggiore tra i due)
- Soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato mondiale annuo
E non finisce qui: la normativa prevede anche la sospensione temporanea di certificazioni e autorizzazioni, e il divieto temporaneo per i dirigenti di ricoprire il proprio ruolo. In pratica: la NIS2 non è facoltativa.
Come Adeguarsi: i Passi Concreti
Ok, e nella pratica cosa fai? Ecco i passi, in ordine:
Verifica se la tua azienda rientra nel perimetro NIS2
Fai un checkup completo della tua sicurezza informatica attuale
Identifica i gap: cosa ti manca rispetto ai requisiti NIS2
Attiva un sistema di gestione della sicurezza delle informazioni
Prepara le procedure per gestire e segnalare gli incidenti
Forma il management e il personale sulla cybersecurity
Valuta la sicurezza dei tuoi fornitori
Installa le protezioni tecniche necessarie (firewall WatchGuard, EDR Bitdefender, MFA, backup Veeam)
Documenta tutto quello che hai fatto
Pianifica audit periodici e test di sicurezza
Come BullTech Informatica Può Aiutarti
Noi di BullTech facciamo questo da oltre 15 anni: sicurezza informatica per le aziende. Ti seguiamo dall'inizio alla fine nel percorso di conformità NIS2. Ecco come lavoriamo:
Checkup iniziale
Analizziamo la tua sicurezza attuale e identifichiamo cosa ti manca rispetto alla NIS2.
Piano di adeguamento
Definiamo un piano su misura con priorita, tempistiche e budget chiari.
Installazione e configurazione
Installiamo e configuriamo le protezioni necessarie: firewall WatchGuard, EDR Bitdefender (sorveglianza continua dei PC), backup Veeam.
Monitoraggio continuo
Teniamo sotto controllo i tuoi server, PC e rete 24/7 con il nostro SOC e gli strumenti NinjaOne.
Il nostro team di tecnici certificati si occupa di tutto: dalla sicurezza informatica alla gestione delle reti aziendali, passando per backup e disaster recovery. Siamo a Vimercate e copriamo tutta la Lombardia con interventi rapidi e supporto remoto immediato.
Non aspettare le scadenze: inizia adesso. Un checkup gratuito dei tuoi server, PC e rete è il primo passo per proteggere l'azienda e metterti in regola.