Cos’è la Direttiva NIS e perché è nata la NIS2? “Direttiva NIS e NIS2”

Se lavori in ambito IT, CyberSecurity, GPP o Compliance, probabilmente hai già sentito parlare di NIS e NIS2. Ma spesso quello che manca non è il concetto, ma come tradurlo in azioni concrete.

In questo articolo ti spiego:

• Cos’è la Direttiva NIS,
• Perché la UE ha voluto la NIS2,
• Come verificare se la tua Azienda è già coinvolta,
• Roadmap operativa per CISO / vCiso, Board e Responsabili IT.

Cos’è la Direttiva NIS e NIS2

La Direttiva NIS (Network and Information Security) è stata la Prima Normativa Europea che ha imposto obblighi di CyberSecurity a un insieme di regole definite “essenziali” e “fornitori di servizi digitali”.

In Italia, il quadro è stato recepito via Decreto Legislativo, creando perimetro, registri, responsabilità e procedure di notifica.

Lo spirito della NIS era chiaro: Proteggere i SERVIZI CRITICI

(Energia, Trasporti, Sanità, Infrastrutture…)

da incidenti che potrebbero mettere in ginocchio parti importanti dell’economia e dei servizi pubblici.

Ma dopo alcuni anni due problemi sono emersi:

• Il perimetro era troppo ristretto,
• Molte realtà “importanti” restavano fuori,
• La “Supply Chain” e la ”Gestione degli Incidenti” non erano strutturate abbastanza.

Per questo la UE ha deciso di superare la NIS con la NIS2.

La NIS2: Evoluzione, non Rivoluzione

La Direttiva NIS2 (UE 2022/2555) non cancella la cybersicurezza, ma la rafforza e la estende.
Il quadro giuridico italiano è stato realizzato con il Decreto Legislativo 138/2024, che ha definito:

• I Soggetti essenziali e importanti,
• I Requisiti di sicurezza minimi,
• IL Processo di notifica degli incidenti,
• IL ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN).

In sintesi, la NIS2:

• Include più settori e più aziende,
• Dà più responsabilità al management,
• Introduce standard di sicurezza più strutturati,
• Chiede una gestione operativa degli incidenti e non solo documentazione.

Per approfondire la direttiva a livello europeo puoi partire da: Direttiva NIS2 – sito ufficiale UE (2022/2555)

Come capire se la NIS ti riguarda

Molte aziende pensano di essere escluse, fino al momento in cui arrivano le comunicazioni dell’ACN.
La chiave è non aspettare la lettera ufficiale, ma fare una valutazione proattiva.

1. Soggetti essenziali vs soggetti importanti

La NIS2 distingue due categorie:

• Soggetti essenziali → servizi critici, pesante criticità e impatto sistemico.
• Soggetti importanti → aziende rilevanti, ma con un profilo di rischio leggermente più basso.

Non è una questione solo di dimensione, ma di settore, criticità del servizio e livello di interconnessione.

Documenti di riferimento:

• Decreto Legislativo 4 settembre 2024, n. 138 (D.Lgs. 138/2024) → Testo su Gazzetta Ufficiale
• Determinazioni ACN sul perimetro, registri e misure di sicurezza di base (det. 164179/2025)

Un ottimo punto di partenza operativo è la Guida alle Specifiche di base NIS2 dell’ACN, che spiega in modo chiaro cosa devono fare soggetti essenziali e importanti: Linee Guida NIS – Specifiche di base – Guida alla lettura (ACN)

2. Il portale dell’ACN: dove verificare e registrarsi

L’ACN ha messo a disposizione un portale dedicato alla NIS2, dove:

• le aziende possono registrarsi,
• dare informazioni su settore, dimensione, servizi critici,
• essere inserite nell’elenco dei soggetti NIS se entrano nei criteri.

La registrazione è obbligatoria entro le scadenze previste (in molti casi 28 febbraio 2025 per il censimento iniziale; vedi le determinazioni ACN).
Una guida pratica alla registrazione sul portale ACN la trovi qui: Guida alla registrazione NIS2 sul portale ACN – Studio Legale Delliponti

Se sei titolare, CISO, consulente o responsabile IT, un passo operativo concreto è: accedere al portale ACN con SPID e controllare lo stato della tua azienda (soggetto NIS, essenziale, importante, non identificato, ecc.).

Guida operativa: 3 passi per verificare la NIS in azienda

Per una guida operativa valida sia per aziende medio‑grandi sia per PMI, puoi usare questa mappa mentale.

Passo 1: Mappare Servizi e Criticità

Domande operative:

• Quali servizi non possono fermarsi senza impatto grave su clienti, PA, o fornitori critici?
• Cosa accade se domani non funziona il sistema di fatturazione, di spedizione, di pagamento, di accesso remoto?

Se rispondi “non potremmo lavorare per giorni”, sei già vicino a essere un soggetto potenzialmente essenziale / importante.

Passo 2: Analizzare la Supply Chain ( Filiera Esterna)

La NIS2 ti rende responsabile anche di ciò che succede dentro i fornitori.
Chiediti:

• Ho fornitori ICT che gestiscono miei sistemi (cloud, infrastrutture, applicazioni)?
• Questi fornitori hanno politiche di sicurezza, incident response, procedure di notifica?
• Ne ho traccia contrattuale scritta?

Se non hai clausole di sicurezza e notifica in contratto, la responsabilità in caso di incidente ricadrà su di te.

Passo 3: verificare Misure Minime e Gap

L’ACN ha definito Misure di Sicurezza di Base per:

• Soggetti essenziali (più stringenti),
• Soggetti importanti (più flessibili, ma sempre obbligatorie).

In sintesi, si tratta di misure su:

• Gestione del rischio e valutazioni periodiche
• Governance e responsabilità del management
• Accessi e Privilegi (controllo, MFA, password)
• Gestione Patch e Vulnerabilità
• Backup e Disaster Recovery
• Gestione fornitori e catena del valore
• Incident management e Notifica
• Formazione continuativa

Per una visione chiara delle misure, puoi consultare:

• la Guida alle Specifiche di base NIS2 (ACN – 2025) → Linee Guida – Specifiche di base – Guida alla lettura
• le determinazioni ACN 164179/2025 che dettagliano 37 misure per i soggetti importanti e 43 per quelli essenziali → Riepilogo misure NIS2 – Allegati 1 e 2

Roadmap operativa: 5 consigli pratici per il CISO / vCiso (e il Board)

La NIS2 non è solo una questione di IT, ma di Governance. Ecco una Roadmap Operativa.

1. Auto‑Categorizzazione Immediata

Non aspettare la comunicazione formale dell’ACN: verifica subito se la tua azienda ricade tra i soggetti essenziali o importanti in base a settore, dimensione e criticità dei servizi.

Se rientri:

• Registra la tua azienda sul portale ACN,
• Designa un punto di contatto NIS (responsabile comunicazioni e adempimenti),
• Monitora le scadenze (registrazione, notifica incidenti, implementazione misure).

Documento utile: DITEDI – guida pratica alla registrazione al portale ACN

2. Audit della “catena del valore”

La supply chain è un vettore di rischio che la NIS2 non lascia alla buona volontà.

Cosa fare oggi:

• Mappare i fornitori ICT critici (cloud, MSP, integrazione di sistemi, managed SOC/CSIRT).
• Aggiornare i contratti con clausole specifiche su:
  • Notifica di incidenti entro X ore,
  • Diritto di audit e accesso ai log,
  • Standard minimi di sicurezza e riferimenti a MFA, patch management, backup, ecc.

Se il fornitore subisce un breach e non ti avvisa, la responsabilità e la sanzione potrebbero ricadere sulla tua organizzazione.

3. Simulazione “Incident Reporting” in 24 ore

La NIS2 impone tempistiche stringenti:

• Pre‑allarme entro 24 ore,
• Notifica formale entro 72 ore,
• Relazione finale entro 30 giorni.

Per testare il processo:

• Organizza un tabletop exercise (simulazione di incidente),
• Coinvolgi: IT, CyberSecurity, Legal, Management,
• Simula uno scenario realistico (Ransomware, Data Breach, attacco Multiplo su fornitori, dDOS).

Il risultato? Sapere chi deve chiamare chi, dove trovare i dati di rilevamento e come preparare la documentazione da inviare tramite il portale ACN/CSIRT Italia.

Linee guida ufficiali: NIS2 – Linee Guida ACN sulla gestione degli incidenti

4. Formazione obbligatoria per il Management

La direttiva è chiara: la responsabilità CyberSecurity è del Top Management, non solo del CISO.

Per evitare corsi teorici inutili, proponi:

• Una “Cyber Awareness per Executive”
• Focus su Impatto Economico e Legale di un attacco (Costi, Sanzioni, Reputazione)
• Analisi di casi reali (attack, incidenti nel settore dell’azienda)

Se il Board comprende il rischio in modo concreto, il budget per la sicurezza non sarà più un problema di “costo”, ma di investimento di resilienza.

5. Igienizzazione Digitale + Zero Trust (fin da ora)

Mentre il tavolo ACN dettaglia standard e misure, non trascurare le basi operazionali:

• Implementare o rafforzare MFA ovunque possibile (accessi privilegiati, VPN, cloud, mail, backend)
• Applicare Zero Trust dove serve: controllo dei dispositivi, micro‑segmentazione, Least Privilege
• Fare patching rigoroso e gestione vulnerabilità sistematica

Molti incidenti gravi (specialmente nel settore bancario e finance) nascono da Credenziali Rubate e Assenza di Controlli interni. La NIS2 aiuta a correggere queste lacune.

Quando la NIS2 diventa concreta in Italia

A livello operativo, il 2026 è l’anno in cui la NIS2 passa dalla direttiva alla pratica:

• Notifica degli incidenti tramite il portale ACN/CSIRT Italia a partire da 1° gennaio 2026,
• Misure di sicurezza di base da implementare entro ottobre 2026 per molti soggetti,
• Linee guida ACN diventano il riferimento per verifiche, audit e ispezioni.

Una guida aggiornata sugli adempimenti e le scadenze lo trovi qui: Guida operativa NIS2 – prossimi passi per imprese e PA

AUDIT DI SICUREZZA A UNA PMI

ACN & NIS2 2026: cosa cambia davvero per le Imprese Italiane

Linee Guida Cyber Security Italia 2026