NIS 2 · Direttiva (UE) 2022/2555

Che cos’è

La direttiva NIS 2 è la nuova cornice europea sulla cybersecurity, entrata in vigore il 16 gennaio 2023 e recepita in Italia con il D.lgs. 138/2024 (in applicazione dal 17 ottobre 2024). Sostituisce la vecchia NIS del 2016 ampliando drasticamente il perimetro dei soggetti obbligati. Due categorie:

• Soggetti essenziali — energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, ICT service management B2B, PA centrale, spazio.
• Soggetti importanti — servizi postali, rifiuti, chimica, alimentare, manifatturiero (con sottoinsiemi specifici), fornitori digitali, ricerca.

Si applica a soggetti con ≥50 dipendenti o fatturato ≥10 M€, con deroghe settoriali. In Italia si stimano oltre 80.000 soggetti nel perimetro, fra essenziali e importanti.

Cosa ottieni

• Assessment del perimetro — determinazione chiara se l’organizzazione rientra come essenziale, importante, o fuori perimetro.
• Gap analysis rispetto ai requisiti minimi di sicurezza (art. 24 del D.lgs. 138) e agli obblighi di governance (art. 23).
• Piano di trattamento del rischio documentato, con misure tecniche e organizzative proporzionate.
• Procedure di gestione degli incidenti con i tempi mandatori: early warning 24h, notifica 72h, relazione finale 1 mese verso ACN e CSIRT Italia.
• Formazione dei vertici — NIS 2 impone responsabilità personali ad amministratori e top management (art. 23, c. 1 e 4): comprendere e approvare le misure di sicurezza.
• Gestione della supply chain — procedure per valutare fornitori, subfornitori, MSP, cloud provider.
• Registrazione presso ACN (Agenzia per la Cybersicurezza Nazionale) entro le deadline previste.

A chi si rivolge

• Aziende manifatturiere in settori critici (farmaceutico, dispositivi medici, automotive, chimica, elettronica).
• Fornitori ICT B2B — MSP, SaaS, cloud, data center, registi DNS.
• Utility energia, acqua, rifiuti.
• Sanità privata e pubblica.
• Pubbliche amministrazioni centrali e locali (sopra certe soglie).
• Catene di subfornitura di soggetti essenziali — ricadono spesso in obblighi contrattuali indiretti.

Metodologia

1. Scope assessment — classificazione dell’organizzazione secondo gli allegati I–II del D.lgs. 138.
2. Gap analysis sui 10 requisiti tecnici minimi (art. 24) e sulla governance (art. 23).
3. Prioritizzazione del trattamento — proporzionalità (art. 21): dimensione, esposizione, impatto sociale.
4. Roadmap di adeguamento con scadenze allineate alle deadline normative.
5. Implementazione coordinata con il SGSI esistente (idealmente ISO 27001) — NIS 2 non reinventa la ruota: chi ha un SGSI maturo è già in larga parte conforme.
6. Set-up del processo di notifica — playbook, matrice RACI, portale ACN.
7. Registrazione formale e follow-up sulle verifiche dell’autorità.

Perché con me

Ho tenuto webinar dedicati alla NIS 2 (“NIS 2 — facciamo chiarezza e iniziamo ad adeguarci”, Musa Formazione 2024) e seguo l’evoluzione normativa dalla direttiva originale del 2016. Ho presentato anche al Secure BIZ 2024 su rischi e superficie d’attacco. La consulenza che offro non fa allarmismo: traduce la norma in azioni concrete, proporzionate, e — dove possibile — coordinate con altre conformità (ISO 27001, DORA, GDPR) per evitare duplicazioni.