Il conto alla rovescia è finito, con l’avvicinarsi dell’attuazione della Direttiva Europea NIS2 (Network and Information Systems Directive 2), le imprese europee si preparano a una trasformazione radicale nella gestione della sicurezza informatica.

Cosa cambia

La NIS2, entrata in vigore nel 2023 e da recepire a livello nazionale entro ottobre 2024, sostituisce la precedente NIS ampliando il campo di applicazione.
Introduce due categorie di soggetti:

• Soggetti Essenziali: energia, trasporti, sanità, finanza, infrastrutture digitali;
• Soggetti Importanti: settori come servizi postali, gestione rifiuti, alimentare e ICT B2B.

Obblighi per le imprese

Le aziende devono adottare un approccio proattivo alla sicurezza digitale:

• Gestione del rischio cyber e piani di risposta agli incidenti;
• Notifica obbligatoria degli incidenti significativi entro 24 ore;
• Business continuity e piani di crisi;
• Controllo della supply chain e valutazione dei fornitori;
• Formazione continua per personale e management.

Sanzioni

Il mancato adeguamento comporta sanzioni elevate:

• Soggetti Essenziali: fino a 10 milioni di euro o 2% del fatturato globale;
• Soggetti Importanti: fino a 7 milioni di euro o 1,4% del fatturato globale.

In Italia la vigilanza è affidata all’Agenzia per la Cybersicurezza Nazionale (ACN), con poteri di controllo e sospensione delle attività in caso di gravi violazioni.
La NIS2 segna un cambio di paradigma: la cybersecurity diventa una responsabilità strategica dell’intera organizzazione, non solo dell’area IT.

La notifica degli incidenti informatici diventa un obbligo operativo

Con l’entrata in vigore piena della direttiva NIS 2, dal 2026 la gestione degli incidenti informatici non può più essere affidata a valutazioni discrezionali o a comunicazioni informali. Per i soggetti rientranti nel perimetro normativo, la notifica degli incidenti di sicurezza diventa un adempimento obbligatorio e scandito da tempistiche precise.

In caso di attacco informatico, blocco dei sistemi, compromissione dei servizi o violazione dei dati, le imprese e le organizzazioni interessate sono tenute a trasmettere una prima segnalazione all’autorità competente entro 24 ore dall’evento. A questa comunicazione iniziale deve seguire una relazione tecnica più dettagliata, contenente la descrizione dell’incidente, l’impatto sui servizi e le misure correttive adottate o pianificate per il ripristino e la mitigazione del rischio.

L’obbligo di notifica non riguarda esclusivamente i grandi operatori o le infrastrutture critiche tradizionali. La NIS 2 estende il perimetro anche a numerosi soggetti economici, tra cui imprese ICT, fornitori di servizi digitali, cloud provider, data center, aziende che trattano dati sensibili, operatori della sanità, dei trasporti e del settore finanziario, oltre alle pubbliche amministrazioni. In molti casi, rientrano negli obblighi anche imprese di medie dimensioni che svolgono funzioni essenziali nella catena dei servizi digitali.

Questo passaggio segna un cambiamento culturale rilevante: la cybersecurity non è più solo una questione tecnica o di protezione dei sistemi informativi, ma diventa un obbligo organizzativo e di compliance, paragonabile agli adempimenti in materia di lavoro, privacy e sicurezza sul lavoro. Le imprese sono quindi chiamate a dotarsi di procedure formalizzate, ruoli chiari e sistemi di monitoraggio in grado di individuare tempestivamente gli incidenti e gestire correttamente le comunicazioni verso le autorità competenti.