La direttiva NIS 2 (UE 2022/2555) non è più un orizzonte futuro ma una realtà operativa. In Italia, con l’entrata in vigore dal 1° gennaio 2026 degli obblighi pienamente applicabili in materia di gestione del rischio e notifica degli incidenti, il quadro regolatorio entra nella fase di effettiva attuazione. Le autorità competenti esercitano poteri di vigilanza, audit e sanzione, mentre la norma estende la protezione a un numero più ampio di settori e impone alle organizzazioni di medie e grandi dimensioni misure strutturate di cybersecurity e continuità operativa, rendendo il management direttamente responsabile.
Classificazione delle entità secondo NIS 2
Le entità sono classificate come “essenziali” o “importanti” secondo la criticità del settore e la dimensione; entrambe devono adottare le stesse misure, ma nel primo caso la supervisione è proattiva e le sanzioni massime più elevate. Il perimetro include energia, trasporti, sanità, infrastrutture digitali e altri settori economici, con un’applicazione generalizzata alle imprese di almeno 50 dipendenti e 10 milioni di euro di fatturato. In alcuni casi anche una piccola azienda può essere designata come essenziale se la sua interruzione creerebbe un rischio sistemico.
Approccio olistico e misure di compliance NIS 2
L’articolo 21 introduce un approccio olistico: occorre implementare misure tecniche, operative e organizzative proporzionate, istituire politiche di continuità operativa, garantire la sicurezza della catena di fornitura e svolgere programmi di formazione obbligatoria, poiché l’errore umano rimane un vettore rilevante. La norma prevede anche che i fornitori vengano sottoposti a due diligence e inserisce clausole contrattuali per estendere gli obblighi lungo la supply chain. La compliance non può essere affrontata come un esercizio formale: l’incapacità di dimostrare la validità delle misure può comportare responsabilità personali e sanzioni.
Processo di notifica degli incidenti secondo NIS 2
Per gli incidenti significativi il processo di notifica è scandito in tre tempi: un avviso preliminare entro 24 ore, una comunicazione dettagliata entro 72 ore e un report conclusivo entro un mese. Questo obbliga le organizzazioni a definire procedure di escalation, valutare rapidamente la gravità degli eventi e documentare ogni decisione. Poiché la notifica è richiesta anche quando l’evento è in corso o incerto, la classificazione tra evento operativo, incidente di sicurezza e incidente NIS 2 diventa centrale.
Prove tangibili e audit nella NIS 2
Il nodo cruciale è produrre prove tangibili. Le autorità possono effettuare ispezioni e imporre ammende che arrivano a 10 milioni di euro o al 2% del fatturato globale per le entità essenziali e 7 milioni di euro o l’1,4% per quelle importanti. Per superare un audit occorrono registri strutturati: politiche firmate, risk register, ticket degli incidenti, verbali delle prove di continuità, elenchi dei fornitori, indicatori di prestazione e documentazione della formazione. La disponibilità di tracce di audit, versioning e metadati facilita la verifica e consente di dimostrare nel tempo la maturità del proprio modello di sicurezza.
NIS 2 e governance della sicurezza
La NIS 2 segna quindi un passaggio da un approccio focalizzato sulla tecnologia a una governance della sicurezza. La sfida non è tanto comprendere il testo della direttiva, quanto attuare una cultura della protezione, integrare la compliance nei processi e dotarsi di strumenti che rendano misurabile e tracciabile il livello di aderenza agli obblighi. In questo contesto si inserisce Atena, la piattaforma di Hermes Bay per la gestione della compliance. Atena consente di costruire check‑list personalizzate, valutare la maturità, confrontare assessment e valutare remediation con stime di costi e complessità, supportando l’organizzazione nell’adempimento degli obblighi di NIS 2 e nella capacità di dimostrare la propria preparazione.
Luisa Franchina, Presidente AIIC
Tommaso Diddi, analista Hermes Bay
