Tips#24 – NIS2: come gestirla?

NIS2: come prepararsi davvero alla nuova normativa europea sulla cybersecurity 

Il tempo stringe. Il conto alla rovescia per l’adeguamento alla direttiva europea NIS2 è già iniziato: a gennaio 2025 arriva la prima milestone e le imprese dovranno dimostrare di aver adottato misure efficaci la gestione delle procedure di Incident Management per poi completare la compliance a ottobre 2025. Ma cosa comporta davvero questa direttiva? E soprattutto, cosa bisogna fare per essere in regola?

NIS2: di cosa si tratta?

La direttiva NIS2 (Network and Information Security) è il nuovo quadro normativo europeo pensato per rafforzare la resilienza informatica dei settori strategici. Va a sostituire la prima versione del 2016, ampliando lo spettro di applicazione e innalzando gli standard richiesti in termini di gestione del rischio, prevenzione e risposta agli incidenti.

Non si tratta solo di norme generiche: le nuove regole impongono un approccio sistematico alla sicurezza, che coinvolge tecnologia, processi e persone.

Le azioni concrete da intraprendere

Chi gestisce l’infrastruttura IT di un’azienda – CIO, CISO, IT Manager o MSP – deve affrontare un percorso strutturato per garantire la conformità. Ecco i pilastri fondamentali da implementare:

1. Governance del rischio e strategie di resilienza

Ogni organizzazione deve sviluppare una visione completa e aggiornata delle minacce informatiche a cui è esposta. Questo include:

• Valutazioni del rischi con identificazione delle vulnerabilità più critiche;

• Business Continuity e Disaster Recovery, per garantire la continuità operativa anche in caso di eventi distruttivi.

• Politiche di sicurezza formalizzate, con regole chiare su accessi, credenziali, cifratura, segmentazione delle reti e gestione delle patch;

• Piani di risposta agli incidenti, con ruoli, escalation e procedure operative predefinite;

2. Cultura della sicurezza e formazione

Il fattore umano resta uno degli anelli più deboli nella catena della cybersecurity. È quindi obbligatorio investire nella formazione continua del personale, promuovendo comportamenti consapevoli e responsabili su phishing, gestione delle credenziali e utilizzo sicuro degli strumenti digitali.

3. Test, simulazioni e verifica periodica

Non basta adottare misure tecniche: serve metterle alla prova. La normativa spinge verso l’uso di audit interni, test di penetrazione e simulazioni di attacchi per misurare l’efficacia delle difese e identificare punti deboli prima che lo facciano gli attaccanti.

4. Protezione della supply chain

Uno degli aspetti più innovativi di NIS2 è l’attenzione rivolta ai fornitori e ai partner tecnologici. Le aziende devono valutare e monitorare costantemente i rischi introdotti da terze parti, assicurandosi che i soggetti esterni adottino adeguati livelli di sicurezza.

5. Identità digitale e controllo degli accessi

Ogni accesso deve essere tracciato, controllato e verificato. È necessario:

• Adottare autenticazione forte, come MFA (multi-factor authentication);

• Implementare sistemi di autenticazione continua e privilegi minimi (least privilege);

• Verificare costantemente i permessi assegnati agli utenti.

6. Tracciabilità e documentazione

Ogni misura di sicurezza implementata deve essere documentata e aggiornata, inclusi i log delle attività, le revisioni delle policy e gli interventi messi in atto in caso di incidente. Questo permette di dimostrare in modo trasparente il livello di conformità raggiunto.

Ma chi è veramente coinvolto?

NIS2 interessa un numero sempre più ampio di soggetti. Non solo i grandi operatori dei servizi essenziali, ma anche imprese di medie dimensioni che operano in settori considerati critici. Ecco una panoramica semplificata:

Settori essenziali: 

Energia, Trasporti, Sanità, Finanza e Servizi Idrici

Settori importanti: 

Provider di servizi digitali e infrastrutture (MSSP, gestori IT, data center, etc.)

• Provider di servizi infrastrutturali: DNS, servizi cloud, data center, gestori IT e MSSP.

• Aziende attive nei settori aeronautici e aerospaziali

• Pubbliche amministrazioni locali e centrali.

• Logistica (poste, corrieri).

• Poduzione chimica e alimentare.

• Smaltimento rifiuti.

• Motori di ricerca e social network.

• Industria tecnologica e manifatturiera.

• Marketplace digitali

• Enti di ricerca.

Quali le sanzioni se si resta indietro?

La NIS2 non è solo una serie di raccomandazioni: prevede sanzioni significative per chi non si adegua. In particolare:

• Operatori essenziali: fino a 10 milioni di euro o il 2% del fatturato globale.

• Operatori importanti: fino a 7 milioni di euro o l’1,4% del fatturato globale.

In aggiunta, ogni Stato membro potrà introdurre sanzioni penali per violazioni particolarmente gravi. In Italia, la normativa in materia di privacy prevede già pene detentive fino a 7 anni in caso di danni significativi.

Da dove partire?

L’approccio migliore è partire da una valutazione iniziale dello stato attuale, identificare i gap rispetto ai requisiti della direttiva e costruire un piano di azione scalabile. In molti casi, le aziende hanno già in essere alcune misure di sicurezza, ma è necessario consolidarle e integrarle in una governance coerente.

Se vuoi capire come impostare correttamente il percorso di compliance, o se ti manca solo l’ultimo miglio per essere davvero allineato alla NIS2, possiamo aiutarti. Dai piani di business continuity alle policy di accesso, fino alla formazione del personale: ogni tassello conta.