Cos'è la direttiva NIS2 e perché dovrebbe interessarti
La direttiva (UE) 2022/2555, nota come NIS2, è la seconda generazione delle regole europee sulla sicurezza delle reti e dei sistemi informativi. Sostituisce la NIS1 del 2016, che era applicata in modo disomogeneo dai singoli Stati membri e copriva un perimetro troppo stretto: poche centinaia di operatori critici per Paese. NIS2 allarga la platea di un ordine di grandezza, alza l'asticella tecnica e introduce sanzioni reali, paragonabili per impatto a quelle del GDPR.
L'Italia ha recepito la direttiva con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024. Il decreto designa l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità competente: ACN gestisce il registro dei soggetti, riceve le notifiche di incidenti, conduce audit e applica sanzioni. Tutto passa attraverso il portale servizi.acn.gov.it.
Perché dovrebbe interessarti se gestisci una PMI? Perché NIS2 non riguarda più solo telco, energia e trasporti. Tocca settori che fino a ieri vivevano fuori dal radar regolatorio cyber: produzione di alimenti, industria manifatturiera, gestione rifiuti, servizi postali, fornitori IT B2B, servizi sanitari privati, ricerca. Se la tua azienda ha più di 50 dipendenti o supera 10 milioni di fatturato e opera in uno dei settori dell'Allegato I o II del decreto, sei dentro per legge, senza bisogno di iscriverti a niente: la registrazione presso ACN è una conseguenza, non una scelta.
E qui c'è l'ingenuità più diffusa fra i piccoli imprenditori italiani: pensare che NIS2 sia "roba da grandi". I numeri dicono il contrario. ACN ha indicato che i soggetti registrati nella prima finestra hanno superato le 24.000 unità: gran parte sono PMI che fino al 2024 non avevano mai avuto un CISO né un piano di incident response.
Sei dentro o sei fuori? I criteri di applicabilità
L'applicabilità di NIS2 si decide su tre livelli combinati: settore, dimensione e classificazione (essenziale o importante). Sbagliare la classificazione iniziale è uno degli errori più costosi: comporta misure inadeguate, mancata registrazione e sanzioni autonome.
Settori dell'Allegato I (soggetti essenziali)
Il D.Lgs. 138/2024 elenca nell'Allegato I i settori "ad alta criticità": energia (elettricità, gas, petrolio, idrogeno, teleriscaldamento), trasporti (aerei, ferroviari, per vie d'acqua, su strada), bancario, infrastrutture dei mercati finanziari, sanità (ospedali, laboratori, fabbricazione di dispositivi medici critici, prodotti farmaceutici), acque potabili e reflue, infrastrutture digitali (IXP, DNS, TLD, cloud, data center, CDN, fiducia digitale, comunicazioni elettroniche), gestione servizi ICT B2B (MSP, MSSP), pubblica amministrazione, spazio.
Settori dell'Allegato II (soggetti importanti)
L'Allegato II copre settori "altri critici": servizi postali e di corriere, gestione rifiuti, fabbricazione/produzione/distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione (dispositivi medici, computer, apparecchiature elettriche, macchinari, autoveicoli), fornitori di servizi digitali (marketplace, motori di ricerca, social network), ricerca.
Soglie dimensionali
Per la classificazione si usa la definizione UE di media impresa: NIS2 si applica di base ai soggetti che hanno almeno 50 dipendenti oppure fatturato annuo superiore a 10 milioni di euro (con bilancio annuo superiore a 10 milioni). Le grandi imprese (>=250 dipendenti o >50 milioni di fatturato) operanti nell'Allegato I diventano soggetti essenziali; le medie imprese e le grandi dell'Allegato II sono soggetti importanti.
Autoclassificazione
ACN richiede l'autoclassificazione: tocca al soggetto identificarsi, registrarsi e dichiarare attività e dati di contatto. Non c'è un elenco pre-popolato che ti dice "sei dentro". Lo strumento ufficiale è il portale dei servizi ACN, dove la fase di registrazione richiede:
- partita IVA e dati anagrafici dell'ente;
- codice ATECO principale e secondari;
- punto di contatto (PoC) tecnico e legale;
- elenco dei servizi forniti e degli Stati membri in cui sono erogati;
- stima dei soggetti serviti.
La registrazione si firma digitalmente. La proprietà dei dati resta del soggetto, che ha l'obbligo di aggiornarli ad ogni variazione rilevante (cambio PoC, modifica servizi, fusioni).
Le scadenze che contano
Tre scadenze hanno il peso giuridico vero. Le altre sono pianificazione interna.
| Adempimento | Termine | Riferimento |
|---|---|---|
| Registrazione iniziale presso ACN (prima finestra) | 1 dicembre 2024 – 28 febbraio 2025 | Determina ACN n. 164179/2024 |
| Aggiornamento annuale dati di registrazione | Entro il 31 maggio di ogni anno | D.Lgs. 138/2024, art. 7 |
| Implementazione misure tecniche minime (art. 24 / art. 21 dir.) | Entro 18 mesi dalla notifica di iscrizione | D.Lgs. 138/2024, art. 42 (transitorie) |
| Notifica incidente significativo — early warning | 24 ore dalla scoperta | D.Lgs. 138/2024, art. 25 |
| Notifica incidente — relazione intermedia | 72 ore dalla scoperta | D.Lgs. 138/2024, art. 25 |
| Notifica incidente — relazione finale | 1 mese dalla notifica intermedia | D.Lgs. 138/2024, art. 25 |
La prima finestra di registrazione si è chiusa il 28 febbraio 2025. Se sei una PMI che ha mancato la scadenza, non sei un caso disperato ma sei in violazione: l'omissione di registrazione è una infrazione amministrativa autonoma. La cosa concreta da fare è registrarsi adesso e mettere in fila gli altri adempimenti, non aspettare un controllo.
Il termine dei 18 mesi per le misure tecniche è quello che dà respiro alla pianificazione: una PMI registrata a febbraio 2025 ha tempo fino a metà 2026 per essere sostanzialmente conforme sui controlli dell'art. 24. Non significa che si possa aspettare 17 mesi e poi correre: gli incidenti vanno notificati anche prima del completamento delle misure, e ACN può chiedere evidenze in qualsiasi momento.
I 10 obblighi minimi dell'art. 21
L'art. 21 della direttiva (recepito dall'art. 24 del D.Lgs. 138/2024) elenca le misure minime di gestione del rischio. Sono 10 e funzionano come una checklist: devi dimostrare di averle considerate tutte, anche quando per il tuo contesto operativo una misura non si applica (in quel caso documenti il perché). Questa è la differenza fra "sicurezza" e "conformità documentata": NIS2 vuole entrambe.
| # | Misura | Esempio concreto per una PMI |
|---|---|---|
| 1 | Politiche di analisi del rischio e sicurezza dei sistemi informatici | Documento di policy ISMS, risk register aggiornato almeno annualmente |
| 2 | Gestione degli incidenti | Runbook di incident response, ruoli definiti, canale di escalation |
| 3 | Continuità operativa e gestione delle crisi | BCP/DR plan, backup testati, RTO/RPO scritti per servizi critici |
| 4 | Sicurezza della catena di approvvigionamento | Due diligence sui fornitori IT, clausole contrattuali su sicurezza e notifiche |
| 5 | Sicurezza nell'acquisizione, sviluppo e manutenzione di sistemi | Patch management, SDLC con review, gestione vulnerabilità con SLA per CVE critiche |
| 6 | Politiche per la valutazione dell'efficacia delle misure | Audit interno annuale, KPI di sicurezza, revisione direzione |
| 7 | Pratiche di igiene informatica e formazione | Awareness training annuale, phishing simulation, password policy |
| 8 | Crittografia | TLS su tutti i servizi esposti, encryption at rest dei backup, gestione chiavi |
| 9 | Sicurezza delle risorse umane, controllo accessi, gestione asset | Inventario asset (CMDB), RBAC, MFA su account privilegiati, processo joiner/mover/leaver |
| 10 | Autenticazione a più fattori, comunicazioni sicure (voce, video, testo) e di emergenza | MFA obbligatoria, canale fuori banda per crisis comms (es. Signal in caso di compromissione email aziendale) |
La trappola è la sproporzione: l'art. 21 è scritto pensando a operatori critici grandi, ma ACN si aspetta che una PMI di 60 persone risponda agli stessi 10 punti. La soluzione realistica non è "fingere di avere tutto" ma documentare il principio di proporzionalità: ogni misura deve essere adeguata al rischio specifico dell'ente. Se hai 12 server e 80 dipendenti, un SOC 24/7 con 6 analisti non lo monti: usi tooling automatizzato e un fornitore part-time. Quello che conta è che il rischio residuo sia documentato e accettato dall'organo di gestione.
Il processo di notifica incidenti
La parte operativa più discriminante di NIS2 è la notifica obbligatoria degli incidenti significativi. Si fa via portale ACN, con tre passaggi a tempo:
- Pre-notifica (Early Warning) — entro 24 ore dalla scoperta. È un avviso essenziale: indica che è in corso un incidente, se è probabile che sia di natura malevola e se ha o può avere impatto transfrontaliero. Non serve avere già la diagnosi: serve segnalare. Una PMI con un ransomware in corso, alle 03:00 di domenica, deve poter aprire la pre-notifica entro lunedì alle 03:00.
- Notifica intermedia — entro 72 ore. Aggiorna l'early warning con la valutazione iniziale: gravità, impatto, indicatori di compromissione (IoC) noti.
- Relazione finale — entro 1 mese dalla notifica intermedia. Descrizione dettagliata dell'incidente, causa probabile, misure di mitigazione applicate, lezioni apprese, impatto transfrontaliero finale.
Se l'incidente è ancora in corso al momento della relazione finale, si trasmette una relazione di stato, e poi una finale entro 1 mese dalla risoluzione.
Operativamente, il portale ACN richiede credenziali del soggetto registrato e del PoC. La pre-notifica è un form: campi obbligatori sintetici. La notifica intermedia ammette upload di documenti e IoC. Tutta la corrispondenza è tracciata: ACN può richiedere chiarimenti e fissare colloqui. Le PMI che non hanno log centralizzati e immutabili sono in grossa difficoltà al momento della relazione finale, perché serve una ricostruzione cronologica difendibile e i log locali sui singoli server vengono spesso compromessi durante l'incidente stesso.
Per approfondire la parte tecnica della raccolta evidenze, vedi la documentazione Fenrir su NIS2 e il nostro threat model.
Sanzioni: quanto rischi davvero
Qui i numeri parlano chiaro. NIS2 ha sanzioni amministrative paragonabili al GDPR, e l'Italia le ha recepite senza sconti.
| Categoria | Sanzione massima | Riferimento |
|---|---|---|
| Soggetti essenziali | Fino a 10.000.000 € o 2% fatturato globale annuo (il maggiore) | D.Lgs. 138/2024, art. 38 |
| Soggetti importanti | Fino a 7.000.000 € o 1,4% fatturato globale annuo (il maggiore) | D.Lgs. 138/2024, art. 38 |
| Pubbliche amministrazioni | Sanzioni specifiche differenziate, fino a 125.000 € per violazioni gravi reiterate | D.Lgs. 138/2024, art. 38 |
| Inosservanza obblighi di registrazione e aggiornamento | Sanzione amministrativa autonoma, importi minori ma cumulabili | D.Lgs. 138/2024, art. 39 |
Una PMI italiana con 80 dipendenti e 25 milioni di fatturato classificata come soggetto importante può prendere fino a 7 milioni di sanzione massima teorica. In pratica le sanzioni vere si misureranno in centinaia di migliaia di euro nei casi peggiori, secondo i criteri di proporzionalità che ACN dovrà definire (durata, gravità, reiterazione, cooperazione). Resta il fatto che non sono sanzioni "di facciata": sono pensate per essere sentite a bilancio.
Da dove partire: roadmap pratica per una PMI
Una PMI di 50-200 dipendenti, partendo da zero, può essere conforme NIS2 in modo difendibile in 4-6 mesi, spendendo molto meno di quello che propongono i Big4. Lo schema che usiamo con i clienti è in 6 step.
Step 1 — Scoping (1-2 settimane)
Determinare con certezza se sei soggetto essenziale, importante o fuori perimetro. Verificare ATECO, dipendenti, fatturato, settori dell'Allegato I/II. Identificare PoC tecnico e legale. Output: nota di applicabilità firmata dall'amministratore delegato che cristallizza la classificazione (se ACN ti contesta dopo, hai documentato la tua valutazione di buona fede).
Step 2 — Gap analysis (3-4 settimane)
Mappare le 10 misure dell'art. 24 contro lo stato attuale. Per ogni misura: hai un controllo? È documentato? È testato? Output: matrice di gap con priorità (alta/media/bassa) e stima costi/tempi. Strumenti utili: ENISA NIS2 self-assessment, framework ISO 27001 Annex A come riferimento, controlli NIST CSF 2.0.
Step 3 — Policy e governance (4-6 settimane)
Scrivere o aggiornare i documenti minimi: politica ISMS, procedura di incident response, BCP/DR, supplier security policy, acceptable use policy. Definire il comitato di sicurezza (può essere semplicemente CEO + IT manager + DPO + un consulente esterno) che si riunisce trimestralmente. Approvare formalmente con delibera dell'organo di gestione.
Step 4 — Tooling tecnico (in parallelo a Step 3)
Implementare i controlli tecnici minimi: log centralizzati e immutabili, MFA su account privilegiati, monitoraggio detection per server e endpoint, gestione vulnerabilità, backup off-site testati. Questo è il livello dove un agente come Fenrir SOC copre la parte ricorrente automaticamente: monitoraggio Linux/macOS 24/7, detection comportamentale, evidence pack pronto per audit. Vedi la sezione pricing per il dimensionamento.
Step 5 — Training (2 settimane)
Formazione obbligatoria del management (art. 23), awareness training per tutti i dipendenti, simulazione phishing trimestrale. Il punto è generare evidenze: registri presenze, slide, attestati. Non basta dire "ne abbiamo parlato": ACN vuole vedere il tracciamento.
Step 6 — Audit interno e tabletop (1 settimana)
Audit interno sulle 10 misure prima di considerare chiusa l'implementazione. Esercizio tabletop su uno scenario di incidente realistico (ransomware, esfiltrazione dati, supply chain compromise) per testare le 24/72 ore. La prima volta che una PMI prova a notificare in 24 ore lo fa sempre male: scoprilo durante un'esercitazione, non durante un incidente vero.
Vuoi vedere come Fenrir copre gli adempimenti NIS2?
15 minuti di demo: ti mostro log immutabili, registro accessi, evidence pack pronti per ACN sui tuoi server reali.
Richiedi una demo →Come Fenrir SOC aiuta sugli adempimenti tecnici
Fenrir non è un software di compliance: è un SOC autonomo che gira on-premise sui server Linux e macOS della PMI e copre la parte ricorrente degli adempimenti tecnici di NIS2. La differenza pratica con un ISMS in PowerPoint è che le evidenze le genera automaticamente, ogni giorno, senza che qualcuno debba ricordarsi di esportare report.
Ecco la mappatura concreta tra obblighi NIS2 e funzionalità Fenrir:
- Log immutabili centralizzati — i log degli agenti vengono firmati e replicati: anche se un attaccante compromette un server, la copia degli eventi pre-compromissione resta intatta. Questo serve direttamente all'art. 24 lettera i (gestione asset) e alla relazione finale di un incidente.
- Gestione incidenti automatica (Tier-1) — detection comportamentale per brute force, escalation, processi sospetti, drift della baseline. Quando un evento supera la soglia, Fenrir lo classifica e prepara il case file con timeline, IoC e processi coinvolti. Il PoC riceve la notifica e ha già il 70% del materiale per l'early warning ad ACN.
- Registro accessi privilegiati — tutti gli accessi sudo, su, login SSH e cambi utente vengono tracciati con stamping temporale. Esportabile come CSV o JSON per audit.
- Classificazione asset (CMDB minimale) — ogni server gestito è inventariato con OS, kernel, servizi esposti, ruolo. Cambio di rete o di configurazione genera evento.
- Evidence pack per auditor — comando singolo che esporta in PDF/JSON tutti gli artefatti rilevanti per le 10 misure dell'art. 24, datati e firmati. Quando arriva l'auditor o ACN, gli porti il pacchetto e si parla di sostanza.
- Vulnerability tracking — scansione delle CVE note sui pacchetti installati. Allinea la realtà operativa al requisito di patch management dell'art. 24 lettera e.
- On-premise sovrano — nessun dato lascia l'infrastruttura del cliente. Compatibile con la strategia cloud nazionale ACN e con la lettura più stretta del GDPR. Vedi anche la documentazione GDPR.
Fenrir non sostituisce il consulente legale che redige le policy né il DPO: copre il livello tecnico/operativo che altrimenti consumerebbe 30-40 ore/mese di un sistemista interno per produrre report a mano. Per una PMI italiana media il calcolo è semplice: lo strumento si paga da solo entro il primo audit serio.
Domande frequenti
La mia PMI è soggetta a NIS2 anche se ha meno di 50 dipendenti?
Generalmente no, perché NIS2 si applica alle medie imprese (>=50 dipendenti o >=10 milioni di fatturato) operanti nei settori dell'Allegato I e II. Tuttavia esistono eccezioni: fornitori di servizi DNS, registri TLD, fornitori di servizi fiduciari qualificati e pubbliche amministrazioni rientrano indipendentemente dalla dimensione. Verifica caso per caso con l'art. 3 del D.Lgs. 138/2024.
Cosa succede se non mi sono registrato sul portale ACN entro il 28 febbraio 2025?
La mancata registrazione è una violazione amministrativa autonoma. ACN ha previsto sanzioni specifiche per omissioni di registrazione e aggiornamento dati. Se sei in ritardo, registrati immediatamente: la registrazione tardiva è meno grave dell'omissione persistente, e il portale resta operativo per nuovi soggetti che superano le soglie nel corso dell'anno.
Quanto rischiano personalmente gli amministratori di una PMI sotto NIS2?
L'art. 23 del D.Lgs. 138/2024 prevede responsabilità diretta degli organi di amministrazione e direttivi: devono approvare le misure di gestione del rischio, supervisionarne l'attuazione e seguire formazione obbligatoria. In caso di violazioni reiterate, ACN può sospendere temporaneamente i dirigenti dall'esercizio di funzioni dirigenziali nell'ente.
Devo notificare ad ACN qualunque incidente di sicurezza?
No. Vanno notificati solo gli incidenti significativi, definiti come quelli che hanno causato o sono in grado di causare grave perturbazione operativa o perdita finanziaria, oppure danno materiale o immateriale considerevole ad altri soggetti. Eventi minori, falsi positivi, scansioni di rete e tentativi falliti non vanno notificati ma devono essere documentati internamente.
Posso esternalizzare gli adempimenti NIS2 a un fornitore SOC?
Puoi esternalizzare l'esecuzione tecnica (monitoraggio, detection, gestione log, supporto alla notifica) ma la responsabilità giuridica resta sempre del soggetto registrato presso ACN. Il fornitore SOC, anche se gestisce tutto, non può firmare le notifiche al posto tuo: deve abilitarti a farlo rispettando le scadenze. Verifica che il contratto SOC includa SLA allineati alle 24 e 72 ore. Vedi anche le FAQ generali sul nostro modello operativo.