La direttiva NIS2 ha esteso enormemente il perimetro dei soggetti obbligati. Sanità privata, trasporti e logistica, manifattura per settori critici, fornitori di servizi digitali, infrastrutture finanziarie. Le sanzioni sono pesanti — fino al 2% del fatturato globale — e gli adempimenti sono concreti, non solo carta.

Chi è obbligato

La NIS2 individua due categorie: soggetti essenziali e soggetti importanti. La differenza è soprattutto nella severità delle sanzioni e nei controlli, ma gli adempimenti tecnici sono molto simili. Sono coinvolte le organizzazioni:

  • Con almeno 50 dipendenti oppure 10M€ di fatturato annuo
  • Operanti nei settori "essenziali" — tra cui sanità, trasporti, banche e servizi finanziari, fornitori di reti pubbliche, infrastrutture digitali, gestione rifiuti, energia
  • Operanti in settori "importanti" che includono fornitori digitali, servizi postali, manifattura per settori critici (es. dispositivi medici, automotive, chimica, alimentare), ricerca

Tradotto: la maggior parte delle organizzazioni mission-critical sopra i 50 dipendenti è coinvolta, anche quando non se ne accorge.

Cosa bisogna fare, in pratica

1. Gap assessment iniziale

Mappatura dello stato attuale rispetto ai 10 controlli minimi previsti dall'art. 21 della direttiva: gestione del rischio, gestione degli incidenti, business continuity, sicurezza della supply chain, sicurezza nello sviluppo e manutenzione, valutazione dell'efficacia, igiene di base, crittografia, controllo accessi, sicurezza del personale.

2. Piano di adeguamento

Sulla base del gap, un piano in fasi con tempi e budget realistici. Non tutto va fatto in tre mesi: la NIS2 ammette un'implementazione progressiva purché documentata e con priorità chiare.

3. Notifica obbligatoria degli incidenti

Gli incidenti significativi devono essere notificati all'autorità competente entro 24 ore (allerta iniziale), 72 ore (notifica completa) e 1 mese (relazione finale). Serve quindi un processo interno di rilevamento, classificazione e notifica — non improvvisato dopo l'incidente.

4. Mantenimento nel tempo

NIS2 non è "ottieni il certificato e chiudi la pratica". È un sistema di gestione: vulnerability assessment ricorrenti, penetration test, formazione del personale, aggiornamento continuo della documentazione, test di business continuity periodici.

Le sanzioni

Per i soggetti essenziali: fino a 10M€ o 2% del fatturato globale (il maggiore dei due). Per i soggetti importanti: fino a 7M€ o 1,4% del fatturato. Inoltre, la direttiva prevede la responsabilità diretta dei membri dei vertici aziendali per la mancata supervisione — un punto importante che cambia il rischio personale di amministratori e direzione.

La NIS2 non è uno scudo che si compra. È un percorso operativo che integra sicurezza informatica, gestione del rischio e governance aziendale.

Da dove iniziare

Se la vostra organizzazione non ha ancora fatto un gap assessment NIS2, è il primo passo. Aiutiamo i clienti a farlo in modo strutturato (di solito 5–10 giorni lavorativi a seconda della complessità) e a costruire il piano di adeguamento. Possiamo anche gestirne l'implementazione e il mantenimento, ma il primo passo — la mappatura onesta del punto di partenza — è il più importante.

Pronti a discutere la vostra continuità?

Un sopralluogo non vincolante, una valutazione tecnica onesta sui rischi e sulle priorità. Senza presentazioni in PowerPoint.