La NIS2 (acronimo di Network and Information Security 2) è la Direttiva Europea 2022/2555 che stabilisce misure rigorose per garantire un livello comune elevato di sicurezza informatica in tutta l'Unione. Rappresenta l'evoluzione della precedente Direttiva NIS del 2016, resa necessaria da un panorama di minacce digitali sempre più complesso e aggressivo.
La Direttiva 2022/2555 è stata adottata dal Parlamento Europeo e dal Consiglio dell'Unione Europea, con l'obiettivo di elevare il livello comune di cybersicurezza in tutti gli Stati membri.
Il recepimento ufficiale in Italia è avvenuto con il Decreto Legislativo 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024. Da quella data gli obblighi sono pienamente applicabili.
La NIS2 si applica a un numero molto più ampio di organizzazioni rispetto alla precedente direttiva: dagli 50 dipendenti o 10 milioni di euro di fatturato, in settori critici come sanità, energia, trasporti e infrastrutture digitali.
Le organizzazioni soggette devono notificare gli incidenti significativi entro tempi brevissimi: 24 ore per la notifica iniziale, 72 ore per il rapporto completo al CSIRT Italia, la squadra nazionale di risposta agli incidenti informatici.
L'uso del cloud e l'Internet of Things (IoT) hanno aumentato a dismisura la "superficie di attacco". Tre motivi principali hanno reso necessaria la NIS2.
La Direttiva NIS del 2016 era recepita e applicata in maniera disomogenea tra i vari Stati membri, creando un mosaico di obblighi difformi che rendeva impossibile una difesa coordinata a livello europeo. La NIS2 introduce standard minimi comuni vincolanti.
L'escalation di attacchi ransomware e campagne di cyber-spionaggio contro infrastrutture critiche — come ospedali e reti energetiche — ha reso urgente un aggiornamento del quadro normativo. Le minacce del 2024 non si gestiscono con gli strumenti del 2016.
Se un fornitore digitale critico viene compromesso, può bloccare servizi essenziali in tutta Europa. La NIS2 risponde a questa interdipendenza imponendo la valutazione della sicurezza dell'intera catena di approvvigionamento.
L'obiettivo primario della NIS2 è la resilienza del sistema digitale europeo. La norma mira a tre risultati concreti.
Garantire che trasporti, ospedali e infrastrutture digitali continuino a funzionare anche sotto attacco. Nessun servizio essenziale può permettersi un'interruzione causata da un incidente informatico gestito male.
Imporre misure minime di "igiene informatica" a un numero molto più ampio di aziende: dai 50 dipendenti o 10 milioni di euro di fatturato, in tutti i settori critici e in quelli da essi dipendenti.
Obbligare le aziende a notificare gli incidenti in tempi brevissimi — 24/72 ore — per permettere una difesa collettiva coordinata dal CSIRT Italia e dalla rete europea ENISA.
La vera novità della NIS2 non è tecnica, ma culturale: sposta la responsabilità della cybersecurity dai soli tecnici IT direttamente ai vertici aziendali. I membri del CdA e i Direttori non possono più delegare in bianco la sicurezza informatica.
I membri del CdA e i Direttori sono chiamati ad approvare personalmente le strategie di sicurezza e a formarsi sulle minacce cyber. La delega totale non è più accettata dalla norma.
Non basta più "essere sicuri" — occorre dimostrarlo. In modo documentato e verificabile di aver adottato misure proporzionate al rischio. La documentazione è prova, non formalità.
La sicurezza di un'azienda dipende dai suoi fornitori. La NIS2 impone di valutare e monitorare la sicurezza dell'intera catena di approvvigionamento, non solo dell'infrastruttura interna.
Dimostrare di essere conformi alla NIS2 non significa solo evitare pesanti sanzioni — fino a 10 milioni di euro o il 2% del fatturato globale annuo, a seconda di quale sia il valore più elevato. Significa costruire un rapporto di fiducia solido con clienti e istituzioni, e garantire la continuità operativa della struttura anche in scenari di crisi.
Per supportare la tua struttura in questo percorso, CLAVIS permette di mappare i rischi, valutare la catena di fornitura e generare tutta la documentazione necessaria in modo dinamico e integrato — senza partire da zero.