NIS2 spiegata: obblighi, soggetti e scadenze
La NIS2 è la direttiva UE 2022/2555 sulla sicurezza delle reti e dei sistemi informativi, recepita in Italia col D.Lgs. 138/2024. Impone a soggetti essenziali e importanti misure di sicurezza e la notifica degli incidenti significativi al CSIRT Italia: preavviso entro 24 ore, notifica entro 72 ore, relazione finale entro 30 giorni. Le sanzioni arrivano a 10 milioni di euro o il 2% del fatturato.
Cosa cambia con la NIS2
La NIS2 (direttiva UE 2022/2555) sostituisce la NIS1 e allarga di molto la platea dei soggetti obbligati: dai pochi operatori di servizi essenziali della prima direttiva a interi settori dell’economia. Insieme alla platea sale l’asticella: misure di sicurezza più stringenti, responsabilità diretta in capo agli organi direttivi, obblighi di notifica con scadenze precise e sanzioni paragonabili a quelle del GDPR. In Italia è legge con il D.Lgs. 138/2024, che affida ad ACN (Agenzia per la Cybersicurezza Nazionale) il ruolo di autorità competente e al CSIRT Italia la gestione delle notifiche.
- 24 hpreavviso al CSIRT · dalla consapevolezza dell'incidente
- 72 hnotifica completa · valutazione e indicatori
- 30 ggrelazione finale · cause, impatto, misure
- 10 M€sanzione max · o 2% del fatturato (essenziali)
Due categorie di soggetti
La direttiva distingue soggetti essenziali e soggetti importanti. La categoria dipende da settore e dimensione aziendale (in genere si parte dalle medie imprese: oltre 50 dipendenti o 10 milioni di euro di fatturato, con eccezioni per soggetti critici a prescindere dalla dimensione). La differenza non è formale: cambia il regime di vigilanza e l’entità delle sanzioni.
- Soggetti essenziali · vigilanza proattiva (ex ante): l’autorità può ispezionare e richiedere prove di conformità senza attendere un incidente. Sanzioni fino a 10 M€ o il 2% del fatturato annuo mondiale, a seconda di quale sia maggiore. Tipici settori: energia, trasporti, sanità, finanza, infrastrutture digitali, acqua potabile, PA centrale.
- Soggetti importanti · vigilanza reattiva (ex post): l’autorità interviene quando emergono indizi di non conformità o a seguito di un incidente. Sanzioni fino a 7 M€ o l’1,4% del fatturato. Tipici settori: servizi postali, gestione rifiuti, chimica, alimentare, manifatturiero, fornitori digitali, ricerca.
Verificate la vostra qualifica. L'inclusione nel perimetro NIS2 si determina sul portale ACN, dove i soggetti rientranti sono tenuti a registrarsi. Settore e dimensione decidono se siete essenziali, importanti o fuori perimetro: è il primo passo, prima ancora delle misure tecniche.
La catena degli obblighi
La NIS2 non è una checklist isolata: è una catena che parte dalla governance, passa per le misure tecniche e arriva alla notifica. Saltare un anello rende fragili gli altri.
Le misure di gestione del rischio
L’articolo 21 della direttiva (recepito dal D.Lgs. 138/2024) elenca le misure minime che ogni soggetto deve adottare, con un approccio proporzionato al rischio. In sintesi:
- Analisi dei rischi e politiche di sicurezza dei sistemi informativi.
- Gestione degli incidenti · prevenzione, rilevazione, risposta.
- Continuità operativa · backup, disaster recovery, gestione delle crisi.
- Sicurezza della supply chain · valutazione dei fornitori e dei loro requisiti di sicurezza.
- Sicurezza nello sviluppo e nella manutenzione di reti e sistemi, gestione delle vulnerabilità.
- Politiche di valutazione dell’efficacia delle misure adottate.
- Igiene informatica di base e formazione in materia di cybersecurity.
- Crittografia e, dove opportuno, cifratura.
- Sicurezza delle risorse umane, controllo degli accessi, gestione degli asset.
- Autenticazione a più fattori, comunicazioni sicure (voce, video, testo) e comunicazioni di emergenza.
La responsabilità è degli organi direttivi. La NIS2 sposta l'accountability sul vertice: il consiglio approva le misure, ne sorveglia l'attuazione e segue formazione dedicata. In caso di violazione, gli amministratori possono rispondere personalmente. La sicurezza non è più una delega tecnica.
Le scadenze di notifica
Quando un incidente è significativo (causa un grave impatto operativo o perdite finanziarie, o tocca terzi con danni rilevanti), scatta l’obbligo di notifica al CSIRT Italia secondo tre tempi. La sequenza completa: rilevazione, valutazione, notifica, relazione.
Tra le 24 e le 72 ore il CSIRT può richiedere una notifica intermedia di aggiornamento. Per gli incidenti ancora in corso al trentesimo giorno, la relazione finale va presentata entro un mese dalla chiusura. Il vincolo reale non è burocratico: per notificare con cognizione serve avere già le evidenze, e questo dipende da un monitoraggio che giri prima dell’incidente, non dopo.
NIS2 e GDPR: due notifiche diverse
NIS2 e GDPR si sovrappongono ma non coincidono. La NIS2 riguarda l’incidente di sicurezza (la compromissione di reti e sistemi) e si notifica al CSIRT Italia. Il GDPR riguarda la violazione di dati personali e si notifica al Garante entro 72 ore (art. 33). Un ransomware con esfiltrazione di dati personali può far scattare entrambe: due notifiche, due autorità, due cronometri. Vedi data breach GDPR.
Come ci si mette in regola
La NIS2 non si chiude con un documento: chiede capacità operative dimostrabili. Cinque pilastri su cui costruire la conformità:
- Governance al vertice. Gli organi direttivi approvano le misure, le sorvegliano e seguono formazione: l'accountability è loro.
- Misure di gestione del rischio. I dieci ambiti dell'articolo 21, proporzionati al rischio e documentati.
- Monitoraggio e detection continui. Senza visibilità 24·7 non si rileva un incidente significativo in tempo per notificarlo.
- Capacità di response. Contenere l'attacco e limitare l'impatto fa parte delle misure, non è un'opzione.
- Evidenze pronte per la notifica. IOC, timeline e impatto raccolti durante l'incidente, non ricostruiti dopo.
Governance e misure organizzative restano in capo all’azienda. La parte operativa, monitoraggio continuo, detection mappata sulle tecniche reali, response e raccolta delle evidenze, è esattamente ciò che un presidio gestito copre: compliance NIS2 Fortgale.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo, e poterlo documentare nei termini di legge, è il secondo.
Soggetti essenziali vs importanti
| Essenziali | Importanti | |
|---|---|---|
| Esempi settori | Energia, trasporti, sanità, finanza, infrastrutture digitali | Postali, rifiuti, chimica, alimentare, manifatturiero, ricerca |
| Sanzione max | 10 M€ o 2% fatturato | 7 M€ o 1,4% fatturato |
| Vigilanza | Proattiva (ex ante) | Reattiva (ex post) |
| Responsabilità organi direttivi | Approvano le misure, vigilano, possono rispondere personalmente | Approvano le misure, vigilano, possono rispondere personalmente |
Nell'Operation Storming Tide il team Fortgale ha contenuto un'intrusione e raccolto le evidenze utili alla notifica: monitoraggio continuo e capacità di documentare l'incidente sono esattamente ciò che la NIS2 richiede.
Leggi l'analisi →Domande frequenti.
Chi è obbligato dalla NIS2?
I soggetti essenziali e importanti nei settori indicati dal D.Lgs. 138/2024 (energia, trasporti, sanità, finanza, infrastrutture digitali, manifatturiero, spazio, acque, rifiuti, PA), generalmente medie e grandi imprese. La qualifica si verifica sul portale ACN.
Quali sono le scadenze di notifica NIS2?
Preavviso entro 24 ore, notifica completa entro 72 ore, relazione finale entro 30 giorni, al CSIRT Italia. Vedi notifica incidente NIS2.
La notifica NIS2 è la stessa del Garante?
No. La NIS2/CSIRT riguarda l'incidente di sicurezza; la notifica al Garante (GDPR art. 33) riguarda i dati personali. Un ransomware con esfiltrazione di dati può attivarle entrambe. Vedi data breach GDPR.
Come ci si mette in regola con la NIS2?
Con misure di gestione del rischio (monitoraggio, detection, response, governance) e capacità di notifica. Un SOC/MDR gestito copre la parte operativa: monitoraggio 24·7, raccolta IOC e supporto alle notifiche.
Cosa rischiano gli amministratori se l'azienda non è conforme?
La NIS2 mette gli organi direttivi al centro: devono approvare le misure di gestione del rischio, sorvegliarne l'attuazione e seguire formazione specifica. In caso di violazione possono essere chiamati a rispondere personalmente, oltre alle sanzioni amministrative a carico del soggetto. La sicurezza non è più una delega tecnica: è una responsabilità di governance.
Dalla teoria al presidio reale.
Quello che leggi qui, Fortgale lo opera ogni giorno con un SOC italiano 24·7·365: 287 tra tool e attori profilati, contenimento mediano <30 min. Approfondisci il servizio: Compliance NIS2 Fortgale.
Risorse correlate: Data breach GDPR · Cos'è un SOC · Notifica incidente NIS2
Una conversazione tecnica, non un funnel.
Lasciate i contatti: un nostro analista vi richiama entro un giorno lavorativo. SOC italiano, stesso fuso orario, intelligence proprietaria sugli attori attivi in Italia.