Skip to main content
Privacy In Pillole

NIS2: cosa prevede e quali aziende italiane devono adeguarsi

By 02/10/2025Novembre 12th, 2025No Comments

NIS2 (Network and Information Security Directive 2), formalmente Direttiva (UE) 2022/2555, è la revisione aggiornata della direttiva NIS del 2016, con l’obiettivo di rafforzare la cybersecurity, ampliare il campo di applicazione e introdurre obblighi più stringenti per Stati membri, pubbliche amministrazioni e imprese.

L’Italia ha recepito NIS2 con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, che è entrato in vigore il 16 ottobre 2024.

Cosa cambia con NIS2 rispetto alla versione precedente

  • Maggiore ampiezza del perimetro soggettivo: più settori diventano coperti, compresi alcuni che prima non lo erano; anche le dimensioni aziendali (numero di dipendenti, fatturato) diventano criteri oggettivi per stabilire se un’organizzazione rientra.
  • Obblighi più stringenti in tema di gestione del rischio, continuità operativa, segnalazione degli incidenti e sicurezza della supply chain.
  • Misure organizzative e tecniche più robuste: autenticazione multifattoriale, sicurezza delle comunicazioni, cifratura, protezione delle vulnerabilità, gestione dei fornitori.
  • Maggiore responsabilizzazione degli organi aziendali, non solo dei reparti IT, anche del management e degli organi di governo.
  • Rafforzamento dei poteri di vigilanza delle autorità nazionali, ispezioni, audit, sanzioni più severe per le violazioni.

Obblighi principali sottoposti dalla NIS2 alle aziende soggette

Le imprese che rientrano nel perimetro di NIS2 devono adottare una serie di misure. Ecco le principali:

  1. Gestione del rischio informatico: valutazioni periodiche, identificazione delle vulnerabilità, protezione della supply chain, piani di mitigazione.
  2. Continuità operativa e resilienza: piani di disaster recovery, piani di continuità, gestione degli impatti derivanti da incidenti, riduzione dei tempi di interruzione.
  3. Notifica degli incidenti: obbligo di segnalazione tempestiva (entro 24 ore dall’identificazione dell’incidente significativo), con report ulteriori e collaborazione con le autorità competenti.
  4. Misure tecniche di sicurezza: autenticazione forte / multifattoriale, cifratura, protezione delle reti, sicurezza dei sistemi di comunicazione, gestione delle vulnerabilità note.
  5. Formazione e consapevolezza: attività regolari di formazione su minacce informatiche per tutto il personale; coinvolgimento dei livelli dirigenziali.
  6. Audit, verifiche e conformità: controlli interni ed esterni, ispezioni da parte dell’ACN (Agenzia per la Cybersicurezza Nazionale), documentazione, tracciabilità delle attività e delle misure adottate.
  7. Protezione della supply chain: obblighi estesi ai fornitori diretti; verifica che anche i fornitori adottino misure adeguate.

Tempistiche e scadenze rilevanti

  • La direttiva UE è entrata in vigore il 16 gennaio 2023.
  • L’Italia ha recepito con il D.Lgs. n. 138/2024, in Gazzetta Ufficiale il 1° ottobre 2024, effettivo dal 16 ottobre 2024.
  • Le aziende interessate devono già aver iniziato i processi di implementazione; alcune disposizioni richiedono adempimenti immediati, altre prevedono periodi di adattamento per misure più complesse.

Rischi per le aziende che non si adeguano

  • Sanzioni amministrative: possono arrivare a cifre rilevanti, percentuali del fatturato, a seconda della gravità della violazione.
  • Rischi operativi: attacchi, interruzioni del servizio, perdita di dati, danni reputazionali.
  • Perdita di opportunità: impossibilità di partecipare a gare pubbliche, perdere contratti con soggetti che richiedono compliance normativa.
  • Obbligo di controllo da parte dell’autorità competente: ACN in Italia, ispezioni, audit, documentazione richiesta.

Fonti

Direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE.

Corte dei Conti – Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato.

Piccirilli, R. Relazione della Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato. Roma: Corte dei Conti.

Cerimoniale, D. Relazione della Sezione centrale di controllo sulla gestione delle Amministrazioni dello Stato. Roma: Corte dei Conti.