La NIS2 è già in vigore.
La tua azienda è in regola?
Dal 18 ottobre 2024 la Direttiva NIS2 è recepita in Italia. Coinvolge molte più aziende rispetto alla NIS1 e prevede sanzioni fino a 10 milioni di euro o il 2% del fatturato globale. Il momento di adeguarsi è adesso. Consulenza NIS2 per aziende di Ancona, Jesi, Senigallia e Fano e delle Marche.
La direttiva europea sulla cybersecurity che cambia tutto.
Cos'è
La NIS2 (Network and Information Security Directive 2) è la direttiva europea sulla sicurezza delle reti e dei sistemi informativi, aggiornata nel 2022 per sostituire la precedente NIS1. Stabilisce requisiti minimi di sicurezza informatica per le organizzazioni nei settori critici e importanti dell'economia europea.
Quando è entrata in vigore
La direttiva era in vigore a livello europeo già da ottobre 2022. Il recepimento italiano è avvenuto con il D.Lgs. 138/2024, entrato in vigore il 18 ottobre 2024. Da quella data le organizzazioni soggette devono avere avviato il percorso di adeguamento.
Perché è diversa dalla NIS1
La NIS1 riguardava solo poche centinaia di operatori di servizi essenziali in Italia. La NIS2 allarga enormemente il perimetro: coinvolge decine di migliaia di aziende, abbassando le soglie dimensionali e aggiungendo nuovi settori. Se prima non ti riguardava, adesso potrebbe riguardarti.
Chi controlla e sanziona
In Italia l'Autorità competente NIS è l'ACN (Agenzia per la Cybersicurezza Nazionale). È responsabile dell'applicazione della direttiva, della gestione del registro delle organizzazioni soggette e dell'irrogazione delle sanzioni in caso di non conformità.
Potrebbe riguardare anche la tua azienda.
La NIS2 distingue tra settori "essenziali" (alta criticità) e settori "importanti" (criticità). La soglia dimensionale minima è generalmente 50 dipendenti o 10 milioni di euro di fatturato — ma ci sono eccezioni per organizzazioni critiche indipendentemente dalle dimensioni.
Settori Essenziali
- ● Energia (elettricità, gas, petrolio, idrogeno, teleriscaldamento)
- ● Trasporti (aereo, ferroviario, marittimo, stradale)
- ● Settore bancario e infrastrutture dei mercati finanziari
- ● Sanità (ospedali, laboratori, R&D farmaceutico)
- ● Acqua potabile e acque reflue
- ● Infrastruttura digitale (DNS, IXP, cloud, datacenter)
- ● Pubblica amministrazione
- ● Spazio (operatori di infrastrutture spaziali a terra)
Settori Importanti
- ● Servizi postali e corrieri
- ● Gestione dei rifiuti
- ● Produzione e distribuzione di sostanze chimiche
- ● Produzione, trasformazione e distribuzione di alimenti
- ● Manifattura (dispositivi medici, elettronica, macchinari, automotive)
- ● Provider digitali (marketplace, motori di ricerca, social network)
- ● Ricerca (organizzazioni di ricerca)
Attenzione: Supply Chain
Anche se la tua azienda non rientra direttamente nei settori soggetti, potresti essere coinvolto indirettamente come fornitore di un'azienda soggetta NIS2.
La NIS2 impone alle organizzazioni soggette di garantire la sicurezza della propria catena di fornitura. Questo significa che i fornitori strategici saranno sottoposti a requisiti di sicurezza imposti dai loro clienti soggetti NIS2.
Se lavori con aziende nei settori essenziali o importanti, preparati a dimostrare le tue misure di sicurezza.
Cosa richiede concretamente la NIS2.
La direttiva non prescrive soluzioni tecniche specifiche ma definisce requisiti funzionali. Tradotto: devi dimostrare di avere misure adeguate ai rischi, documentate e operative.
Gestione del rischio
Devi avere un processo formale di identificazione, valutazione e trattamento dei rischi di sicurezza informatica. Non basta avere un antivirus — serve un approccio documentato e ripetibile.
Segnalazione degli incidenti
In caso di incidente significativo: notifica preliminare all'ACN entro 24 ore, notifica completa entro 72 ore. Entro 1 mese, relazione finale. Serve un piano di risposta agli incidenti e la capacità di rilevare e classificare un incidente in tempi brevi.
Sicurezza della supply chain
Devi valutare e gestire i rischi di sicurezza dei tuoi fornitori e partner. Contratti con clausole di sicurezza, valutazione dei fornitori critici, monitoraggio continuativo.
Controlli degli accessi
Principio del minimo privilegio: ogni utente ha accesso solo a ciò che gli serve. Autenticazione forte (MFA) per gli accessi critici. Gestione delle identità e degli account privilegiati documentata.
Cifratura e crittografia
I dati sensibili devono essere protetti in transito e a riposo. Cifratura dei dispositivi, HTTPS ovunque, cifratura delle comunicazioni interne dove rilevante.
Business continuity
Piano di continuità operativa in caso di incidente grave: backup testati e funzionanti, procedure di disaster recovery documentate, tempi di ripristino definiti (RTO/RPO).
Non adeguarsi ha un costo preciso.
o il 2% del fatturato mondiale totale
Sanzione massima per le organizzazioni nei settori essenziali. Si applica la sanzione più alta tra il massimale fisso e la percentuale del fatturato.
o l'1,4% del fatturato mondiale totale
Sanzione massima per le organizzazioni nei settori importanti. Oltre alle sanzioni finanziarie, è prevista la possibilità di sospensione delle attività nei casi più gravi.
Responsabilità personale dei dirigenti
La NIS2 introduce la responsabilità personale del management: i dirigenti apicali possono essere ritenuti personalmente responsabili in caso di violazioni gravi. Non è solo un rischio per l'azienda — è un rischio per chi la gestisce.
Dalla gap analysis alla conformità documentata.
Accompagniamo le aziende in ogni fase del percorso NIS2: capire dove si è, definire dove si deve arrivare, implementare le misure necessarie, documentare tutto.
Gap analysis NIS2
Valutiamo lo stato attuale rispetto ai requisiti NIS2: misure tecniche in essere, policy esistenti, processi di gestione del rischio, capacità di rilevamento e risposta agli incidenti. Il risultato è un report dettagliato che mappa i gap e li prioritizza.
Remediation roadmap
Sulla base della gap analysis costruiamo un piano di adeguamento realistico: cosa fare subito per ridurre il rischio sanzionatorio, cosa pianificare nei mesi successivi, cosa monitorare nel tempo. Con costi stimati e priorità chiare.
Implementazione tecnica
Implementiamo le misure tecniche richieste: MFA, cifratura dispositivi, email security, vulnerability scanning, backup e disaster recovery, network segmentation. Tutto quello che serve dal punto di vista tecnico per essere conformi.
Documentazione e policy
La NIS2 richiede documentazione: policy di sicurezza, procedure di gestione degli incidenti, registro dei rischi, valutazioni della supply chain. Scriviamo tutti i documenti necessari in formato conforme, pronti per un eventuale audit ACN.
Piano di risposta agli incidenti
Progettiamo e documentiamo il piano di risposta agli incidenti: chi fa cosa, quando, con quali strumenti. Include le procedure di notifica all'ACN nei tempi previsti (24h per notifica preliminare, 72h per la completa). Organizziamo anche esercitazioni per testarlo.
Monitoraggio della conformità
La conformità NIS2 non è un punto di arrivo — è un processo continuativo. Offriamo un servizio di monitoraggio periodico per verificare che le misure rimangano efficaci, aggiornare la documentazione al cambio delle normative e intervenire prontamente in caso di nuovi gap.
Dalla gap analysis alla conformità certificabile.
Gap analysis e assessment
Analizziamo la tua organizzazione rispetto ai requisiti NIS2: infrastruttura tecnica, governance della sicurezza, policy esistenti, capacità di rilevamento e risposta. Ti consegniamo un report dettagliato che mappa ogni gap rispetto agli obblighi normativi, con una stima dell'esposizione sanzionatoria attuale.
Piano di remediation
Costruiamo insieme un piano d'adeguamento che tiene conto del tuo budget, delle tue risorse e delle scadenze normative. Il piano distingue tra azioni urgenti (riduzione del rischio sanzionatorio immediato), azioni a medio termine e monitoraggio continuativo. Ogni azione ha un responsabile, una scadenza e un criterio di verifica.
Implementazione e documentazione
Implementiamo le misure tecniche, scriviamo la documentazione richiesta, eroghiamo la formazione al personale, configuriamo i sistemi di monitoraggio. Al termine ti consegniamo un "dossier di conformità": tutto quello che serve per dimostrare all'ACN di aver adottato misure adeguate.
Le scadenze che non puoi ignorare.
18 ottobre 2024 — D.Lgs. 138/2024 in vigore
Il decreto legislativo di recepimento della NIS2 è entrato in vigore in Italia. Le organizzazioni soggette devono aver avviato il percorso di adeguamento.
Entro il 2025 — Registrazione obbligatoria all'ACN
Le organizzazioni soggette devono registrarsi sulla piattaforma ACN e comunicare i propri dati. L'ACN definirà formalmente il perimetro soggetto e notificherà le organizzazioni incluse.
Adeguamento continuativo — Adesso
L'adeguamento è un processo, non un evento. Prima si inizia, più tempo c'è per farlo bene — e meno rischio si corre nel frattempo. Non aspettare la notifica ufficiale dell'ACN per iniziare.
Hai qualche dubbio?
Come faccio a sapere se la mia azienda è soggetta alla NIS2?
I criteri principali sono: (1) operare in uno dei settori elencati negli allegati del D.Lgs. 138/2024; (2) superare le soglie dimensionali (in genere: media impresa con 50+ dipendenti o fatturato/bilancio superiore a 10 milioni di euro). Ci sono eccezioni per organizzazioni critiche indipendentemente dalle dimensioni (es. provider di infrastrutture critiche). L'ACN pubblicherà elenchi delle organizzazioni soggette, ma la verifica preventiva è responsabilità dell'organizzazione stessa. Contattateci per una valutazione gratuita del vostro profilo.
Qual è la differenza tra NIS2 e GDPR? Non è la stessa cosa?
No, sono normative distinte con scopi diversi. Il GDPR (Regolamento UE 2016/679) riguarda la protezione dei dati personali e si applica a qualsiasi organizzazione che tratta dati di persone fisiche nell'UE. La NIS2 riguarda la sicurezza delle reti e dei sistemi informativi e si applica a organizzazioni specifiche nei settori critici. Si sovrappongono su alcuni aspetti (entrambe richiedono misure di sicurezza adeguate) ma non sono sinonimi: una PMI può essere soggetta al GDPR ma non alla NIS2, o viceversa, o a entrambe.
Quanto sono elevate le sanzioni in pratica? L'ACN le applica davvero?
Le sanzioni previste dalla NIS2 sono significativamente più alte di quelle della NIS1 — e il legislatore europeo ha voluto che lo fossero deliberatamente, per incentivare l'adeguamento. L'ACN ha poteri ispettivi e sanzionatori chiari. I casi di sanzione aumenteranno nel tempo, specialmente dopo incidenti che coinvolgono organizzazioni che non hanno adottato misure adeguate. La domanda giusta non è "mi sanzionano davvero?" ma "posso permettermi il rischio?"
Quali misure tecniche sono richieste concretamente?
La NIS2 non prescrive tecnologie specifiche ma requisiti funzionali. In pratica, un'organizzazione conforme deve avere: gestione documentata del rischio, autenticazione forte (MFA) per gli accessi critici, cifratura dei dati sensibili, backup testati e funzionanti, piano di risposta agli incidenti, vulnerability management, sicurezza della supply chain gestita. Il livello di dettaglio e robustezza di ciascuna misura dipende dalla classificazione dell'organizzazione (essenziale vs importante) e dalla propria analisi del rischio.
Quanto tempo ci vuole per adeguarsi alla NIS2?
Dipende dal punto di partenza. Un'azienda che ha già implementato misure di sicurezza solide (MFA, backup, policy documentate) ha meno lavoro da fare rispetto a una che parte da zero. Come indicazione generale: un adeguamento completo per una PMI richiede da 3 a 12 mesi a seconda della complessità. Le misure urgenti con maggiore impatto sul rischio sanzionatorio possono essere implementate in poche settimane. Prima si inizia, più agevole è il percorso — e meno costoso in emergenza.
Parliamo del tuo progetto.
Senza impegno.
Raccontaci in che settore opera la tua azienda, quanti dipendenti avete e qual è il vostro stato attuale rispetto alla NIS2. In 24 ore organizziamo una call di valutazione gratuita per capire se siete soggetti e da dove conviene partire.
Errore: Modulo di contatto non trovato.
Dove operiamo: Ancona, Jesi, Senigallia e Fano
Interventi in sede, sopralluoghi tecnici e consulenze nelle province di Ancona e Pesaro-Urbino. Disponibili anche da remoto per tutta Italia.
RootLabs eroga Conformità NIS2 — Consulenza per Aziende nelle Marche a Ancona e nelle aree limitrofe della provincia. RootLabs eroga Conformità NIS2 — Consulenza per Aziende nelle Marche a Jesi e nelle aree limitrofe della provincia. RootLabs eroga Conformità NIS2 — Consulenza per Aziende nelle Marche a Senigallia e nelle aree limitrofe della provincia. RootLabs eroga Conformità NIS2 — Consulenza per Aziende nelle Marche a Fano e nelle aree limitrofe della provincia. Contattaci per un sopralluogo gratuito o una consulenza da remoto.