NIS2 è il più grande cambiamento normativo in cybersecurity che l'Europa abbia visto nell'ultimo decennio, e per molte PMI italiane è una novità a cui non sono preparate. Sul piano formale è la Direttiva (UE) 2022/2555, che gli Stati membri dovevano recepire entro il 17 ottobre 2024; l'Italia l'ha trasposta con il Decreto Legislativo 138/2024, che individua nell'Agenzia per la Cybersicurezza Nazionale (ACN) l'autorità competente e impone alle entità in perimetro la registrazione presso l'ACN. In altre parole: non "sta arrivando", è già qui, ed è vincolante.
Sei nel perimetro? Essenziali e importanti
La prima domanda è se la direttiva ti riguarda, e la risposta dipende da due assi: il settore e la dimensione. NIS2 allarga drasticamente i settori coperti rispetto alla vecchia NIS - oltre a energia, trasporti, banche e sanità (gli "altamente critici" dell'Allegato I) entrano manifatturiero, alimentare, gestione dei rifiuti, prodotti chimici, servizi postali, fornitori digitali e altri (Allegato II). Sulla dimensione vale la "size-cap rule": di norma rientrano le imprese medie e grandi, cioè da almeno 50 dipendenti oppure oltre 10 milioni di euro di fatturato. La direttiva distingue poi tra soggetti essenziali e soggetti importanti, con obblighi simili ma vigilanza e sanzioni di intensità diversa.
C'è però un secondo modo, più subdolo, di finire in perimetro: la supply chain. Anche se la tua azienda non rientra direttamente, i tuoi clienti grandi - che ci rientrano - sono obbligati a mettere in sicurezza la propria catena di fornitura, e lo faranno chiedendo a te requisiti di sicurezza contrattuali. Per molte PMI, NIS2 arriva da questa porta prima ancora che da quella normativa.
Cosa chiede, concretamente
NIS2 non è una lista di buone intenzioni: l'articolo 21 impone misure minime di gestione del rischio, concrete e verificabili. Non si parla di "fare sicurezza" in astratto, ma di aree precise.
Sulla notifica degli incidenti significativi i tempi sono stringenti, ed è qui che molte aziende si fanno trovare impreparate: un pre-allerta entro 24 ore, una notifica completa entro 72 ore, e una relazione finale entro un mese. Devi sapere in anticipo chi, in azienda, fa partire l'orologio.
E poi c'è la parte che cambia davvero le carte: la responsabilità del management. Gli organi di amministrazione approvano le misure, le supervisionano, e possono risponderne in prima persona. Le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato annuo globale per i soggetti essenziali (7 milioni o 1,4% per gli importanti). La sicurezza smette di essere "un problema dell'IT" e diventa un dovere del vertice.
Il vero scoglio non è la tecnologia, è il processo
L'equivoco più comune è pensare che NIS2 si risolva comprando dei prodotti. Non è così. Le misure tecniche (MFA, backup, patching) sono spesso la parte facile: la maggior parte delle PMI ha lacune lì, ma colmabili. Lo scoglio vero è il processo - il risk assessment fatto sul serio, la governance con responsabilità assegnate, la documentazione che dimostra cosa fai e perché, il coinvolgimento del management. È lavoro organizzativo prima che tecnico, e non si implementa in un weekend: per una PMI che parte da zero, diversi mesi sono una stima realistica.
Cosa fare, in ordine
- Determina il perimetro: settore, dimensione, ed esposizione via supply chain.
- Fai un gap assessment rispetto alle misure dell'Art. 21: cosa hai già, cosa manca.
- Assegna la governance: chi è responsabile, come il management approva e supervisiona.
- Implementa le misure - molte coincidono con buone pratiche che dovresti avere comunque.
- Prepara il processo di notifica: chi fa partire l'orologio delle 24 ore, e come.
- Estendi alla supply chain e documenta tutto: senza prove, per l'auditor non esiste.
Non solo un costo: una leva commerciale
Vista come pura spesa di compliance, NIS2 è un peso. Vista bene, è un vantaggio competitivo: i clienti grandi devono mettere in sicurezza la propria filiera, e sceglieranno i fornitori che sono già a posto. Essere NIS2-ready diventa un argomento di vendita. È la prospettiva con cui ho costruito Cipher, la piattaforma che traduce i rischi cyber in linguaggio di business: perché NIS2 richiede il coinvolgimento del management, e il management decide solo se capisce i rischi nei propri termini - impatto, probabilità, costo - non in gergo tecnico.
La conclusione
La scadenza europea è passata, l'Italia ha recepito, e il management può risponderne di persona: l'alibi del "c'è tempo" non esiste più. Ma NIS2, spogliato della paura, chiede in larga parte ciò che un'azienda dovrebbe già fare - valutare i propri rischi, proteggersi in modo proporzionato, saper reagire a un incidente, e dimostrarlo. La differenza è che ora è scritto, è obbligatorio, e qualcuno in cima ne risponde.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →Analisi su cybersecurity, vulnerability research e difesa concreta per le imprese. Niente spam: solo quando ho qualcosa che vale. Disiscrizione in un clic.