1. Introduzione a NIS2

Spiegazione generale di NIS2

La NIS2 è la Direttiva (UE) 2022/2555 che stabilisce misure per un elevato livello comune di cybersicurezza nell’Unione Europea. Aggiorna e sostituisce la precedente direttiva NIS, introducendo requisiti più ampi e uniformi per la gestione dei rischi e la segnalazione degli incidenti di sicurezza.

La direttiva si applica a entità essenziali e entità importanti operanti in una serie di settori critici e strategici, con l’obiettivo di rafforzare la resilienza digitale della società e dell’economia europee.

Obiettivi e importanza

• Uniformare il livello di sicurezza tra Stati membri riducendo le disparità.
• Rafforzare la gestione del rischio e la risposta agli incidenti lungo l’intera supply chain.
• Proteggere servizi e infrastrutture critiche, riducendo l’impatto economico e sociale degli attacchi.
• Responsabilizzare i vertici aziendali, collegando la compliance a governance e accountability.

2. Origini e contesto

Evoluzione dalla direttiva NIS originale

La prima direttiva NIS (2016/1148) ha introdotto in UE i principi cardine di gestione del rischio cyber per operatori e fornitori di servizi essenziali. Con il tempo, l’adozione disomogenea e l’evoluzione della minaccia hanno evidenziato la necessità di un aggiornamento sostanziale e più prescrittivo.

Necessità di aggiornamento nel contesto europeo

• Aumento della superficie d’attacco: cloud, lavoro ibrido, IoT/OT, dipendenze da terze parti.
• Ransomware e minacce avanzate sempre più frequenti e impattanti.
• Interdipendenze tra settori e Stati membri che amplificano gli effetti a catena.
• Allineamento normativo con altri atti UE (es. DORA per il finanziario, direttiva CER sulla resilienza delle entità critiche, e sinergie con GDPR).

3. Principali novità di NIS2

Estensione delle aziende soggette

NIS2 amplia significativamente lo scope includendo più settori e applicando la size-cap rule: in generale, medie e grandi imprese rientrano se operano in settori indicati negli Allegati I e II (esempi: energia, trasporti, sanità, acqua, infrastrutture digitali, pubblica amministrazione, spazio, servizi postali e di corriere, gestione rifiuti, manifatturiero critico, fornitori di servizi digitali come cloud e DNS). Alcune micro/piccole possono rientrare se rivestono un ruolo critico o presentano alto rischio.

Le entità sono classificate in Essenziali o Importanti, con livelli di supervisione e potenziali sanzioni differenti.

Requisiti di sicurezza più stringenti

• Gestione del rischio integrata su persone, processi, tecnologie e fornitori.
• Policy e governance documentate, con precise responsabilità del management.
• Inventario e classificazione degli asset IT/OT, dati e servizi critici.
• Controlli tecnici: MFA, segmentazione, hardening, cifratura, backup e recovery testati.
• Monitoraggio e logging con capacità di rilevazione (SIEM/EDR) e conservazione evidenze.
• Vulnerability management e patching tempestivo; politiche di VDP/Vulnerability Disclosure.
• Security by design/default e pratiche di sviluppo sicuro.
• Business continuity e incident response con piani, ruoli e test periodici.
• Supply chain security: due diligence, requisiti contrattuali, monitoraggio terze parti.
• Formazione periodica per personale e vertici (obblighi di training del management).

Maggiore responsabilità di gestione dei rischi

• Accountability del top management per approvazione, supervisione e attuazione delle misure.
• Segnalazione degli incidenti significativi con tempistiche definite:
  • Early warning entro 24 ore dall’identificazione di un incidente significativo.
  • Notifica iniziale entro 72 ore con valutazione preliminare di impatto e severità.
  • Relazione finale entro 1 mese con analisi dettagliata e misure intraprese.
• Supervisione e enforcement rafforzati da autorità competenti e CSIRT nazionali.

4. Impatti sulle imprese

Adeguamenti tecnici e organizzativi

• Struttura di governance: definizione di ruoli (es. CISO), comitati, policy e metriche.
• Processi: gestione vulnerabilità, change management, incident handling, BCM/DR.
• Tecnologia: MFA, EDR/XDR, SIEM, cifratura, backup immutabili, segmentazione di rete.
• Supply chain: clausole contrattuali di sicurezza, valutazioni periodiche dei fornitori, piani di uscita.
• Persone: formazione continua, esercitazioni tabletop, campagne anti-phishing.
• Documentazione e prove: evidenze di controllo, registri, audit trail per ispezioni.

Violazioni e sanzioni

NIS2 prevede sanzioni amministrative significative e misure correttive. Indicativamente, per entità essenziali fino a 10 milioni di euro o 2% del fatturato mondiale (il maggiore), per entità importanti fino a 7 milioni di euro o 1,4% del fatturato. Le autorità possono imporre ordini vincolanti, audit, e misure specifiche in caso di non conformità.

5. Implementazione pratica

Come prepararsi

1. Determinare l’applicabilità: settore, dimensione, ruolo critico; classificazione come entità essenziale o importante.
2. Stabilire la governance: responsabilità del management, nomine (es. CISO), comitato rischio cyber.
3. Eseguire una gap analysis: confrontare lo stato attuale con i requisiti NIS2 e le norme interne.
4. Valutare i rischi: mappare minacce, vulnerabilità, impatti su servizi critici e processi.
5. Inventariare e classificare gli asset: IT, OT, dati sensibili, dipendenze esterne.
6. Definire un piano di remediation: priorità, tempistiche, budget, responsabilità, KPI/KRI.
7. Rafforzare i controlli: MFA, segmentazione, cifratura, EDR/SIEM, backup e recovery testati.
8. Formalizzare IR/BCM: playbook di incident response, crisis management, esercitazioni periodiche.
9. Gestire la supply chain: due diligence, requisiti minimi, monitoraggio continuo, piani di continuità dei fornitori.
10. Implementare il reporting incidenti: canali, criteri di significatività, tempi (24h/72h/1 mese), responsabilità.
11. Formazione e cultura: programmi per personale e vertici; campagne di sensibilizzazione.
12. Monitorare e auditare: controlli interni, audit indipendenti, miglioramento continuo.
13. Allineare i framework: integrazione con ISO/IEC 27001, NIST CSF, GDPR, DORA (se applicabile), e politiche interne.

Checklist operativa

• [ ] Scoping: entità, servizi e processi critici mappati e classificati.
• [ ] Governance: policy approvate, ruoli e responsabilità assegnati.
• [ ] Risk management: metodologie documentate, risk register aggiornato.
• [ ] Asset management: inventario IT/OT e dati con livelli di criticità.
• [ ] Controlli baseline: MFA, segmentazione, cifratura, backup, hardening implementati.
• [ ] Monitoring: log centralizzati, allarmi, casi d’uso SIEM/EDR definiti.
• [ ] Vulnerability & patch: scansioni regolari, SLA di remediation, VDP.
• [ ] Incident response: playbook, catena di escalation, war room, esercitazioni.
• [ ] BCM/DR: RTO/RPO, test di ripristino, piani di crisi con ruoli chiari.
• [ ] Supply chain: requisiti contrattuali, valutazioni periodiche, piani di continuità dei fornitori.
• [ ] Reporting: procedure e modelli per 24h/72h/1 mese; canali con CSIRT/autorità.
• [ ] Training: programmi per personale, management e team tecnici.
• [ ] Evidenze: registri, log, report di audit e prove di test disponibili.
• [ ] Miglioramento: ciclo PDCA e riesami periodici del management.

6. Conclusioni

Riflessioni finali

NIS2 eleva l’asticella della cybersicurezza in Europa, rendendo la resilienza digitale un requisito di business. Il successo passa da una visione di lungo periodo, una governance matura e un programma di miglioramento continuo che integri tecnologia, processi e persone, incluso l’ecosistema dei fornitori.

Le aziende che investono in modo proattivo non solo riducono il rischio di sanzioni e incidenti, ma guadagnano vantaggio competitivo in termini di affidabilità e fiducia del mercato.

Risorse utili

• Testo ufficiale NIS2 su EUR-Lex
• ENISA – Agenzia dell’Unione europea per la cybersicurezza
• CSIRT Italia – Avvisi e linee guida
• Garante per la protezione dei dati personali – GDPR e sicurezza
• ISO/IEC 27001 – Sistemi di gestione per la sicurezza delle informazioni
• NIST Cybersecurity Framework