TomatoBlue
Torna ai Servizi
Servizio Core

Direttiva NIS2: Cos'è, Cosa Impone e Come Adeguarsi

La Direttiva (UE) 2022/2555, conosciuta come NIS2, rappresenta il nuovo quadro normativo europeo in materia di cybersecurity e resilienza operativa. Entrata in vigore nel 2023 e recepita in Italia con il D.Lgs. 138/2024, NIS2 sostituisce la precedente direttiva NIS introducendo obblighi molto più estesi e rigorosi per imprese ed enti pubblici. Il suo obiettivo è rafforzare la sicurezza informatica delle infrastrutture critiche e dei servizi essenziali in tutta l'Unione Europea.

Ambito di Applicazione

NIS2 si applica a due grandi categorie di soggetti:

Entità essenziali

Energia, trasporti, sanità, finanza, acqua potabile, infrastrutture digitali, PA centrale.

Entità importanti

Produzione critica, fornitori ICT, servizi postali, gestione rifiuti, PA locali, fornitori di servizi digitali, manifattura high-tech.

L'obbligo di compliance ricade anche sui fornitori terzi di servizi a queste entità. Sono inclusi anche molti operatori privati di medie dimensioni, soprattutto nel settore tecnologico, industriale e sanitario.

Principali Obblighi Normativi

Le organizzazioni soggette a NIS2 devono:

  • Adottare misure tecniche e organizzative adeguate per la gestione del rischio cyber.
  • Redigere e aggiornare policy di sicurezza IT, inclusi piani di risposta agli incidenti.
  • Implementare controlli su supply chain e fornitori critici.
  • Notificare gli incidenti significativi al CSIRT Italia (ACN) con pre-notifica entro 24 ore e notifica entro 72 ore, ai sensi del D.Lgs. 138/2024.
  • Garantire la formazione e responsabilizzazione del top management.
  • Mantenere audit trail e documentazione delle attività di sicurezza.
  • Collaborare con le autorità in fase ispettiva e in caso di incidenti.

Sanzioni

Le sanzioni previste in caso di violazioni sono molto severe:

  • Fino a 10 milioni di euro o 2% del fatturato globale annuo.
  • Responsabilità diretta del Consiglio di Amministrazione e dei dirigenti.
  • Possibilità di sospensione temporanea delle attività in caso di inadempienza grave.

Scadenze

La registrazione e l'aggiornamento dei soggetti sulla piattaforma ACN avvengono ogni anno tra il 1° gennaio e il 28 febbraio. Per i soggetti già inseriti, gli obblighi di notifica degli incidenti sono operativi dal 2026 e le misure di sicurezza di base vanno adottate entro ottobre 2026 (circa 18 mesi), secondo il principio di gradualità e proporzionalità indicato da ACN. Sono previsti termini specifici per i soggetti inseriti per la prima volta.

I Nostri Servizi di Consulenza NIS2

Supportiamo imprese e organizzazioni pubbliche nell'adeguamento integrale alla Direttiva NIS2, offrendo consulenza tecnico-regolamentare specializzata attraverso tre pacchetti scalabili:

Pacchetto Base

Analisi di Conformità

  • Gap analysis rispetto ai requisiti NIS2
  • Report executive sui rischi e sulle misure assenti
  • Identificazione obblighi specifici (essenziale/importante)
  • Timeline di adeguamento con priorità
Pacchetto Avanzato

Implementazione Operativa

Redazione e/o revisione delle policy obbligatorie:

  • Security policy aziendale
  • Incident response policy
  • BYOD e smart working policy
  • Gestione credenziali e accessi
  • Redazione del piano di notifica e comunicazione incidenti
  • Formazione obbligatoria al personale
  • Linee guida per il Consiglio di Amministrazione
Pacchetto Completo

Governance, Audit, Contratti

  • Audit di sicurezza su fornitori critici
  • Integrazione clausole NIS2 nei contratti (SLA, obblighi cooperazione, audit rights)
  • Simulazioni di data breach e tabletop exercise
  • Assistenza in caso di ispezione ACN
  • Programma di mantenimento continuo della conformità

Il primo passo è un confronto preliminare gratuito di 30 minuti: verifichiamo se rientri nel perimetro NIS2, individuiamo le priorità di adeguamento e tracciamo il primo tratto di roadmap. Senza impegno.

Richiedi il confronto preliminare