SICUREZZA INFORMATICA: LA DIRETTIVA NIS2 RINFORZA RETI E SISTEMI UE
- Posted by autore blog
- On Agosto 4, 2025
- 0
La direttiva NIS2 (Network and Information Security 2) è un quadro normativo europeo che mira a rafforzare la sicurezza informatica nelle reti e nei sistemi informativi degli Stati membri dell’UE, in particolare nei settori considerati critici. L’obiettivo principale è armonizzare le misure di cybersecurity e migliorare la resilienza delle infrastrutture digitali di fronte alle crescenti minacce informatiche.
di Fiorella Manciagli
La sicurezza informatica comporta la protezione dei sistemi informativi e di rete (NIS), dei loro utenti e di altri individui colpiti da incidenti e minacce informatiche. Per rispondere alla maggiore esposizione dell’Europa alle minacce informatiche, la direttiva 2022/2555, nota anche come NIS2, ha sostituito la precedente direttiva (UE) 2016/1148 o NIS1. NIS2 innalza il livello comune di ambizione dell’UE in materia di cybersecurity, attraverso un ambito di applicazione più ampio, norme più chiare e strumenti di vigilanza più solidi.
GLI OBBLIGHI DEGLI STATI MEMBRI
La direttiva impone a ciascuno Stato membro di adottare una strategia nazionale in materia di cybersecurity, che comprenda politiche per la sicurezza della catena di approvvigionamento, la gestione delle vulnerabilità e l’educazione e la sensibilizzazione in materia di sicurezza informatica. Gli Stati membri devono inoltre redigere e aggiornare regolarmente un elenco di operatori di servizi essenziali, garantendo che tali soggetti rispettino i requisiti della direttiva.
Oltre ai settori già coperti dalla NIS 1 – energia, trasporti, assistenza sanitaria, finanza, gestione delle risorse idriche e infrastrutture digitali – le nuove norme si applicano anche ai fornitori di comunicazioni elettroniche pubbliche, a un maggior numero di servizi digitali (come le piattaforme sociali), alla gestione dei rifiuti e delle acque reflue, alla fabbricazione di prodotti critici, ai servizi postali e di corriere e alla pubblica amministrazione a livello centrale e regionale, nonché al settore spaziale. Di norma, i soggetti di medie e grandi dimensioni in questi settori critici dovranno adottare adeguate misure di gestione dei rischi per la cybersecurity e notificare alle autorità nazionali competenti gli incidenti significativi.
La direttiva comprende anche disposizioni in materia di vigilanza, applicazione e valutazioni inter pares volontarie per rafforzare la fiducia reciproca e le capacità di cybersecurity in tutta l’UE.
I PROVVEDIMENTI DELL’AGENZIA PER LA CYBERSICUREZZA
L’Agenzia per la Cybersicurezza Nazionale, a seguito della comunicazione della detta direttiva, ha pubblicato due provvedimenti in materia di misure di sicurezza di base, distinte in base alla qualificazione come soggetto “essenziale” o “importante”, e di notifica degli incidenti di sicurezza.
La classificazione tra soggetti essenziali e importanti si basa sui predetti criteri di criticità del settore, oltre che su alcune soglie dimensionali, ossia parametri quantitativi relativi al fatturato o al numero di dipendenti.
In particolare, un soggetto è ritenuto essenziale se opera in un settore considerato ad alta criticità (cfr. allegato I della Direttiva) e soddisfa una o più delle seguenti condizioni, tali da farlo considerare una grande impresa:
- occupa almeno 250 persone;
- ha un fatturato annuo superiore a 50 milioni di euro;
- ha un totale di bilancio (ossia il totale dell’attivo patrimoniale) annuo superiore a 43 milioni di euro.
Sono altresì considerati essenziali, a prescindere dal superamento delle anzidette soglie:
- i prestatori di servizi fiduciari qualificati, i gestori di registri dei nomi di dominio di primo livello e i prestatori di servizi DNS;
- i fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese;
- qualsiasi altro soggetto di cui al citato allegato I o II che lo Stato identifica come soggetto essenziale in conformità con la Direttiva. Nel dettaglio, l’Italia considera soggetti essenziali, indipendentemente dalle loro dimensioni, gli organi costituzionali e di rilievo costituzionale, la Presidenza del Consiglio dei ministri e i ministeri, le agenzie fiscali e le autorità amministrative indipendenti;
- le «infrastrutture critiche» ai sensi della cosiddetta direttiva CER, ossia la direttiva UE 2557/2022. Si tratta di quelle infrastrutture che sono essenziali per il funzionamento del tessuto sociale ed economico: ne sono esempi le infrastrutture energetiche, sanitarie, bancarie, delle comunicazioni, bancarie, della sicurezza alimentare e di trasporto.
Un soggetto è invece ritenuto importante se, alternativamente:
- opera in un settore considerato ad alta criticità ai sensi del citato allegato I e ha tra i 50 e i 249 dipendenti o un fatturato annuo tra 10.000.000,01 e 50 milioni di euro o un totale di bilancio tra 10.000.000,01 e 43 milioni di euro (dunque, si deve trattare di una media impresa, cioè un soggetto che supera i massimali per essere considerato una piccola impresa, ma non soddisfa le condizioni tali da farlo considerare una grande impresa);
- opera negli altri settori critici di cui all’allegato II della Direttiva ed è considerato una grande impresa oppure una media impresa in base alle condizioni enunciate nel precedente punto (cioè, l’avere almeno 50 dipendenti, un fatturato annuo superiore a 10 milioni di euro oppure un totale di bilancio annuo superiore a 10 milioni di euro).
A CHI NON SI APPLICA LA NIS2
Ad ogni modo, la NIS 2 non si applica agli enti della pubblica amministrazione che svolgono le loro attività nei settori della sicurezza nazionale, della pubblica sicurezza, della difesa, del contrasto, dell’accertamento e del perseguimento dei reati.
Le misure organizzative, tecniche e operative richieste dalla Direttiva NIS 2 sono state divise in due fasi: una prima, avviata ad aprile 2025, che prevede l’introduzione di misure di sicurezza di base che dovranno essere implementate in sede di prima attuazione della normativa.
In una seconda fase, verosimilmente entro aprile 2026, l’Agenzia per la Cybersicurezza Nazionale elaborerà ulteriori obblighi di lungo periodo.
Inoltre, l’ACN ha introdotto degli obblighi di notifica, in vigore da gennaio 2026, per cui i soggetti importanti saranno tenuti a notificare:
- la perdita di riservatezza dei dati digitali, anche solo parziale;
- la perdita di integrità dei dati digitali, anche in questo caso anche qualora fosse solo parziale;
- la violazione dei livelli di servizio attesi.
In aggiunta agli eventi sopra riportati, i soggetti essenziali dovranno notificare anche l’accesso ai dati digitali non autorizzato o con abuso dei privilegi concessi.
| Ambito | Riferimento normativo | Contenuto / Obblighi principali |
| Responsabilità degli organi di amministrazione e direttivi | Articolo 23 | Gli organi apicali sono direttamente responsabili dell’attuazione e supervisione delle misure di cybersecurity. Devono dimostrare consapevolezza, impegno e vigilanza continua. |
| Misure di sicurezza informatica | Articolo 24 | Implementazione entro ottobre 2026. Per soggetti importanti: 37 misure e 87 requisiti. Per soggetti essenziali: 43 misure e 116 requisiti. Basate sul Framework Nazionale per la Cybersecurity e la Data Protection. |
| Notifica degli incidenti significativi | Articolo 25 | Obbligo attivo da gennaio 2026. Definite le tipologie di incidenti da notificare. Soggetti importanti: 3 fattispecie da monitorare. Soggetti essenziali: 4 fattispecie da monitorare (obblighi più stringenti). |
| Sicurezza, stabilità e resilienza dei DNS | Articolo 29 | I gestori dei sistemi di nomi a dominio (DNS) dovranno adottare misure tecniche specifiche in base alle caratteristiche dei propri servizi per garantire stabilità, sicurezza e continuità. |
QUI LA DIRETTIVA
0 comments on SICUREZZA INFORMATICA: LA DIRETTIVA NIS2 RINFORZA RETI E SISTEMI UE