Direttiva NIS 2

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    La Direttiva NIS 2 (UE 2022/2555, Network and Information Security Directive 2) è il principale atto normativo europeo in materia di cybersecurity per le organizzazioni che operano in settori critici. Pubblicata il 27 dicembre 2022 e con termine di recepimento negli Stati membri fissato al 17 ottobre 2024, sostituisce e supera ampiamente la precedente Direttiva NIS (2016/1148), ampliando il numero di settori coperti, innalzando i requisiti minimi di sicurezza e inasprendo il regime sanzionatorio. In Italia il recepimento è avvenuto con il D.Lgs. 138/2024.

    Perché NIS 2, non NIS 1

    La Direttiva NIS originale aveva dimostrato limiti strutturali: ambito troppo ristretto (pochi settori, soglie elevate che escludevano molte organizzazioni rilevanti), eterogeneità nell’implementazione tra Stati membri, requisiti di sicurezza vagi, sanzioni irrisorie. NIS 2 corregge questi difetti con un approccio armonizzato e molto più prescrittivo.

    Ambito di applicazione

    NIS 2 si applica a due categorie di soggetti:

    Soggetti essenziali (essential entities): settori ad altissima criticità. Energia (elettricità, gas, petrolio, idrogeno), trasporti (aereo, ferroviario, acquatico, stradale), settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali (IXP, DNS, TLD, cloud provider, datacenter, CDN, trust service provider, reti di comunicazione elettronica pubblica), gestione dei servizi ICT, pubblica amministrazione, spazio.

    Soggetti importanti (important entities): settori critici aggiuntivi. Servizi postali e di corriere, gestione dei rifiuti, fabbricazione di sostanze chimiche, produzione e distribuzione di alimenti, fabbricazione (dispositivi medici, elettronica, macchinari, autoveicoli), fornitori digitali (marketplace online, motori di ricerca, social network), ricerca.

    Le soglie dimensionali sono: medie imprese (50–249 dipendenti, fatturato 10–50M€) e grandi imprese (>250 dipendenti o >50M€) — salvo eccezioni per criticità indipendente dalla dimensione.

    Obblighi principali

    Misure di gestione del rischio di cybersecurity (Art. 21): le organizzazioni devono adottare misure tecniche, operative e organizzative proporzionate al rischio, che includano almeno:

    • Politiche di analisi dei rischi e sicurezza dei sistemi informatici
    • Gestione degli incidenti
    • Continuità operativa (backup, disaster recovery, gestione delle crisi)
    • Sicurezza della catena di approvvigionamento (sicurezza dei fornitori e dei service provider ICT)
    • Sicurezza nell’acquisizione, nello sviluppo e nella manutenzione dei sistemi (Secure SDLC)
    • Politiche e procedure per valutare l’efficacia delle misure di gestione del rischio
    • Pratiche di igiene informatica di base e formazione in materia di cybersecurity
    • Politiche e procedure relative all’uso della crittografia e, se del caso, della cifratura
    • Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset
    • Uso di soluzioni di autenticazione multi-fattore o di autenticazione continua

    Notifica degli incidenti significativi (Art. 23): obbligo di notifica su tre livelli:

    EntitàTermineContenuto
    Pre-notifica24 ore dalla scopertaAvviso iniziale all’autorità competente (in Italia: ACN)
    Notifica72 ore dalla scopertaValutazione iniziale dell’incidente (gravità, indicatori)
    Relazione finale1 meseDescrizione completa, causa radice, misure adottate

    Responsabilità del management (Art. 20): gli organi direttivi devono approvare le misure di gestione del rischio, supervisionarne l’attuazione e possono essere ritenuti personalmente responsabili in caso di violazione. È richiesta formazione periodica del management in cybersecurity — una novità significativa rispetto a NIS 1.

    Sanzioni

    Le sanzioni massime per i soggetti essenziali sono 10 milioni di euro o il 2% del fatturato mondiale annuo (il maggiore). Per i soggetti importanti: 7 milioni di euro o l’1, 4% del fatturato. Le autorità competenti possono inoltre imporre misure di supervisione, audit e certificazione.

    Relazione con altri framework

    NIS 2 non prescrive un framework tecnico specifico ma richiede misure «proporzionate al rischio e allo stato dell’arte». Adottare ISO/IEC 27001 o il NIST Cybersecurity Framework costituisce una forte evidenza di conformità, anche se non è obbligatorio. L’ACN italiana ha pubblicato linee guida di attuazione che mappano i requisiti NIS 2 su controlli tecnici specifici.

    Ultimo aggiornamento: