Direttiva NIS2: cosa prevede e come adeguarsi in Italia

La direttiva NIS2 alza il livello di cybersicurezza richiesto a un'ampia platea di organizzazioni europee. In Italia è già stata recepita e gli obblighi sono operativi: capire se si rientra tra i soggetti coinvolti — e cosa fare — è diventato urgente.

Questa guida spiega cosa prevede NIS2, chi riguarda in Italia, quali sono gli obblighi e come si rapporta con il regolamento DORA per il settore finanziario.

Che cos'è la direttiva NIS2

NIS2 è la Direttiva (UE) 2022/2555, che sostituisce e amplia la precedente direttiva NIS del 2016. Punta a innalzare e armonizzare il livello di sicurezza delle reti e dei sistemi informativi in tutta l'Unione, estendendo gli obblighi a molti più settori e introducendo requisiti più severi.

In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. L'autorità competente è l'ACN — Agenzia per la Cybersicurezza Nazionale, presso cui i soggetti rientranti devono registrarsi.

A chi si applica NIS2 in Italia

NIS2 distingue due categorie, con obblighi e vigilanza graduati:

• Soggetti essenziali — operatori nei settori a più alta criticità;
• Soggetti importanti — operatori in ulteriori settori rilevanti.

I settori coperti includono, tra gli altri: energia, trasporti, settore bancario e infrastrutture dei mercati finanziari, sanità, acqua potabile e reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione, spazio, servizi postali, gestione dei rifiuti, produzione e distribuzione di alimenti, fabbricazione e ricerca.

La classificazione dipende in genere da settore, dimensione dell'impresa e criticità del servizio.

Quali sono gli obblighi della NIS2

NIS2 si fonda su due gruppi di obblighi principali:

1. Misure di gestione del rischio di cybersicurezza

Le organizzazioni devono adottare misure tecniche, operative e organizzative adeguate, tra cui analisi del rischio, gestione degli incidenti, continuità operativa e backup, sicurezza della supply chain, crittografia e igiene informatica di base.

2. Notifica degli incidenti

In caso di incidente significativo è prevista una notifica in più fasi all'autorità competente:

• un preallarme entro 24 ore;
• una notifica dell'incidente entro 72 ore;
• una relazione finale entro un mese.

Un elemento centrale è la responsabilità degli organi di gestione, chiamati ad approvare le misure e a vigilare sulla loro attuazione, con possibili responsabilità dirette in caso di inadempimento.

NIS2 e DORA: qual è il rapporto

Per le entità finanziarie il punto è cruciale: il regolamento DORA è considerato lex specialis rispetto a NIS2 per quanto riguarda la gestione del rischio ICT. In altre parole, dove DORA disciplina in modo specifico la resilienza operativa digitale del settore finanziario, prevalgono le sue regole.

Per questo banche e intermediari devono leggere i due quadri insieme: vedi la nostra guida al regolamento DORA.

Come adeguarsi alla NIS2

L'adeguamento a NIS2 richiede di mappare misure, evidenze e responsabilità e di mantenerle aggiornate e verificabili nel tempo, non solo in vista di un controllo. Consolidare policy, controlli e documentazione in un'unica base di conoscenza verificabile rende il presidio sostenibile.

È l'approccio della piattaforma SinergIA: agenti AI che consultano normative ed evidenze, verificano i controlli e generano report tracciabili fino alla fonte, grazie al RAG privato con dati trattati in UE e conformi al GDPR.

---

Questa guida ha scopo informativo e non costituisce consulenza legale. Per l'applicazione della NIS2 alla tua organizzazione, fai riferimento alla Direttiva (UE) 2022/2555, al D.Lgs. 138/2024 e alle indicazioni dell'ACN.