Il recepimento italiano della direttiva NIS2 è del 2024. Ma il momento in cui un'azienda se ne accorge davvero è adesso, quando arrivano le prime richieste di evidenza. Tolto il rumore dei convegni, restano sei obblighi concreti e due date. Vediamoli senza giri di parole.
01Chi è dentro e chi è fuori
Prima domanda, quella che conta: NIS2 ti riguarda? La direttiva distingue soggetti essenziali e importanti, in base al settore e alla dimensione. La soglia di base è 50 dipendenti o 10 milioni di fatturato, ma con eccezioni che tirano dentro anche realtà più piccole se operano in filiere critiche.
In pratica, se sei una PMI manifatturiera, un fornitore della sanità, un gestore di servizi digitali o lavori nella filiera energetica o dei trasporti, è molto probabile che tu sia dentro. Anche come fornitore di un soggetto essenziale: è il punto che molti sottovalutano.
02I sei obblighi che contano
L'articolo 21 elenca le misure di gestione del rischio. Tradotte in cose che un IT manager deve effettivamente fare:
- Analisi del rischio e policy di sicurezza. Documentate, non a voce. Devono esistere su carta e essere aggiornate.
- Gestione degli incidenti. Un processo scritto per rilevare, classificare e rispondere, con i ruoli definiti prima che serva.
- Continuità operativa. Backup testati, piani di ripristino, obiettivi di tempo dichiarati. Un backup mai ripristinato non è un backup.
- Sicurezza della supply chain. Valutazione dei fornitori ICT e delle loro esposizioni.
- Igiene di base e cifratura. Patch management, autenticazione a più fattori, cifratura dove serve.
- Formazione e accountability del vertice. Il consiglio risponde. Non è più solo un problema dell'IT.
03Le due date
Il recepimento è già avvenuto. Quello che cambia nel 2026 è l'applicazione: registrazione dei soggetti presso l'autorità competente, e attivazione concreta degli obblighi di notifica. La finestra di notifica di un incidente significativo è stretta e va ricordata a memoria.
Se non hai un processo che ti permette di rispettare le 24 ore, la conformità formale non serve a niente: nel momento dell'incidente sarai in ritardo per definizione.
04Cosa puoi ignorare
Buona notizia: non devi diventare una banca. NIS2 chiede misure proporzionate al rischio e alla dimensione. Una PMI da 120 persone non deve costruire un security operations center interno con venti analisti. Deve dimostrare che ha valutato i rischi e adottato misure ragionevoli.
Puoi ignorare, per ora, le certificazioni volontarie usate come spauracchio dai venditori. La norma non impone ISO 27001. Aiuta, ma non è un obbligo di legge. Diffida di chi te la vende come unica via.
05Da dove iniziare, concretamente
L'errore più comune è partire dalla policy. Si parte invece dalla fotografia: cosa hai, cosa è esposto, dove sono i buchi. Senza quella, ogni policy è teoria. Per questo proponiamo quasi sempre un audit della rete come primo passo: sette giorni, on-prem, e in mano un documento che mappa ogni finding sull'articolo NIS2 corrispondente.
Da lì la conformità diventa una lista di cose da chiudere in ordine di priorità, non un mostro indistinto. La parte difficile non è capire la norma. È sapere a che punto sei.