Skip to main content
Redergo

NIS2: cosa cambia per le PMI italiane e i loro fornitori

5 minuti di lettura
NIS2: cosa cambia per le PMI italiane e i loro fornitori

La NIS2 è la Direttiva (UE) 2022/2555, recepita in Italia con il Decreto Legislativo 138/2024 e in vigore da ottobre 2024. Estende gli obblighi di cybersecurity a circa diciotto settori. I soggetti interessati devono registrarsi all'ACN, adottare misure di gestione del rischio e notificare gli incidenti significativi entro 24 e 72 ore.

Un cliente ci manda un questionario di sicurezza prima di firmare il contratto. Dieci pagine: come gestiamo gli accessi, quanto in fretta segnaliamo una violazione, se i nostri stessi subfornitori sono verificati. Fino a qualche anno fa quel documento non esisteva per un'azienda delle nostre dimensioni. Oggi arriva sulle scrivanie di chi non aveva mai messo la cybersecurity tra i propri problemi. Il motivo ha un nome: NIS2.

La direttiva è legge in Italia da ottobre 2024, e i suoi obblighi entrano in vigore a scaglioni tra 2025 e 2026. Gran parte del rumore attorno alla norma sbaglia bersaglio quando si parla di aziende piccole. Non serve essere una banca o un gestore di rete elettrica per esserne toccati. Basta stare nella filiera di uno di loro.

Cos'è la NIS2, senza la zuppa di acronimi

La NIS2 è la Direttiva (UE) 2022/2555, che eredita la vecchia direttiva NIS del 2016. L'Italia l'ha recepita con il Decreto Legislativo 138/2024, in vigore dal 16 ottobre 2024. L'autorità competente è l'ACN, l'Agenzia per la Cybersicurezza Nazionale, che gestisce la piattaforma di registrazione e riceve le notifiche di incidente.

L'obiettivo è diretto: alzare il livello minimo di sicurezza nei settori da cui dipende un Paese, e smettere di trattare la cybersecurity come una cosa da aggiungere alla fine. Dove la vecchia NIS copriva pochi operatori, la NIS2 allarga la rete a circa diciotto settori e a migliaia di soggetti.

Se ti riguarda o no

A deciderlo sono due criteri. Primo il settore: energia, trasporti, banche, sanità, acqua, infrastrutture digitali e pubblica amministrazione, ma anche manifattura, alimentare, gestione dei rifiuti, servizi postali, chimica e fornitori di servizi digitali. Secondo la dimensione: di regola i soggetti medi e grandi, cioè dai 50 dipendenti o oltre 10 milioni di euro di fatturato.

I soggetti si dividono tra "essenziali" e "importanti". L'etichetta cambia quanto sei vigilato da vicino e quanto pesano le sanzioni, non se devi adeguarti. Sotto la soglia dimensionale di solito resti fuori, con eccezioni per chi lo Stato considera critico a prescindere dal numero di dipendenti.

È la clausola sulla filiera a tirare dentro le aziende piccole

Ecco la parte che coglie di sorpresa software house, agenzie e fornitori specializzati. Un soggetto che rientra deve gestire la sicurezza della propria catena di fornitura. In pratica gira quei requisiti a valle, dentro i contratti. Così un'azienda di venti persone che sviluppa software per un ospedale o una utility energetica finisce per rispondere di controllo degli accessi, aggiornamenti e notifica degli incidenti, anche se la NIS2 non l'ha mai nominata direttamente.

Lo vediamo già nelle gare e nell'onboarding dei fornitori. Il questionario non è una formalità. Rispondere "prendiamo la sicurezza sul serio" senza prove è sempre più un modo per perdere il contratto.

Sala server con cablaggio di rete in un data center

Cosa devi fare davvero

La direttiva elenca le misure di gestione del rischio che ogni soggetto deve adottare: controllo degli accessi, cifratura, segmentazione della rete, backup con ripristino testato, gestione delle vulnerabilità e patching, sicurezza lungo la filiera. Niente di esotico. Per lo più è quello che un sistema ben fatto dovrebbe già fare.

Il vero cambiamento è la responsabilità. L'organo di gestione deve approvare le misure di sicurezza, può risponderne di persona e deve ricevere formazione. La sicurezza smette di essere una cosa delegata interamente a chi tiene i server.

Notifiche: 24 ore, 72 ore, un mese

Un incidente significativo fa scattare una sequenza fissa. Un preallarme all'ACN entro 24 ore, una notifica più completa entro 72 ore con una prima valutazione, e una relazione finale entro un mese. Quelle finestre sono impossibili da improvvisare durante una violazione vera, ed è per questo che logging e rilevamento devono esserci prima che succeda qualcosa.

Dove entrano le scelte software

Gran parte di ciò che la NIS2 chiede si decide molto prima di un audit, in come il software è costruito. Sistemi che registrano gli accessi come si deve, che si aggiornano senza riscrivere tutto, che tengono i dati al minimo e che non ti imprigionano in un fornitore da cui non puoi uscire trasformano la conformità in una checklist. Sistemi che non fanno niente di tutto questo la trasformano in una ricostruzione. Quando progettiamo software su misura li trattiamo come impostazioni di default, non come extra, e la stessa logica attraversa il modo in cui gestiamo i dati personali sotto il GDPR.

La NIS2 non è un motivo per andare nel panico, e le scadenze non sono un conto alla rovescia da marketing. È un pavimento. Se la tua azienda sta in uno dei settori coperti, o vende a chi ci sta, la mossa pratica è mappare dove sei oggi e chiudere le lacune evidenti prima che lo faccia il questionario di un cliente. Se vuoi un secondo paio d'occhi sul lato software, parlane con noi.

Domande frequenti

Quando è entrata in vigore la NIS2 in Italia?

L'Italia ha recepito la NIS2 con il Decreto Legislativo 138/2024, in vigore dal 16 ottobre 2024. Gli obblighi concreti, dalla registrazione all'ACN alle misure di gestione del rischio, entrano a scaglioni tra 2025 e 2026 a seconda del soggetto.

La mia azienda è piccola. La NIS2 può comunque riguardarci?

Sì, in modo indiretto. Anche sotto la soglia dimensionale, se fornisci un'azienda che rientra, il suo obbligo di mettere in sicurezza la filiera ti arriva attraverso il contratto. Software house e fornitori specializzati sono il caso tipico.

Qual è la differenza tra soggetti essenziali e importanti?

Entrambi devono adeguarsi. La distinzione riguarda quanto sono vigilati da vicino e le sanzioni massime. Gli essenziali hanno una vigilanza più stretta e proattiva; gli importanti sono vigilati soprattutto dopo un incidente o una segnalazione.

Quali sono le scadenze di notifica degli incidenti con la NIS2?

Per un incidente significativo: un preallarme entro 24 ore, una notifica più completa entro 72 ore con una prima valutazione, e una relazione finale entro un mese.

Domande correlate

  • La NIS2 si applica ai fornitori di software?
  • Quali sanzioni introduce la NIS2?
  • Che differenza c'è tra NIS2 e GDPR?

Hai un nuovo Progetto?