NIS 2 e Regolamento 2024/2690: chi si deve adeguare e cosa cambia per le aziende

La NIS 2 distingue tra entità essenziali e entità importanti, e le aziende devono verificare attentamente in quale categoria rientrano, perché da lì derivano gli obblighi di adeguamento.

• Le entità essenziali sono quelle che operano in settori ad alta criticità: energia, trasporti, sanità, finanza, approvvigionamento idrico, gestione delle acque reflue.
• Le entità importanti sono invece realtà non direttamente legate alla sicurezza pubblica, ma comunque strategiche: data center, fornitori cloud, marketplace, motori di ricerca, piattaforme social, provider ICT.

A queste si aggiungono le pubbliche amministrazioni, che devono garantire la protezione dei dati e la continuità dei servizi digitali.

Attenzione: il Regolamento 2024/2690 elenca esplicitamente alcuni dei soggetti coinvolti, tra cui anche i fornitori di servizi DNS, i gestori di domini di primo livello, i prestatori di servizi fiduciari e le reti di distribuzione dei contenuti.

A questo punto molti colleghi chiedono: ok, ma cosa dobbiamo concretamente fare? La risposta è: dipende dalla dimensione e dal rischio, ma ci sono comunque alcune misure minime obbligatorie.

La direttiva e il regolamento parlano chiaro. Serve:

• una valutazione del rischio periodica, per identificare minacce e vulnerabilità;
• un piano di gestione degli incidenti, comprensivo di procedure per rispondere, mitigare e ripristinare l’operatività;
• una politica di notifica, che impone di segnalare incidenti significativi entro 24 ore e poi trasmettere un report completo entro 72 ore;
• misure tecniche (firewall, sistemi di rilevamento intrusioni, autenticazione a più fattori, ecc.);
• formazione continua del personale, compreso il management.

Il Regolamento UE indica anche le fonti normative da seguire: tra queste, gli standard ISO/IEC 27001, ISO/IEC 27002, ETSI EN 319401 e CEN/TS 18026:2024. Non è quindi lasciato nulla all’improvvisazione: chi vuole conformarsi sa dove guardare.

Una delle novità più importanti sta nel fatto che non è più possibile “delegare tutto all’IT”. Il legislatore impone un coinvolgimento diretto degli organi direttivi. Chi siede nel consiglio di amministrazione o ricopre ruoli apicali ha obblighi precisi di supervisione e controllo.

Questo significa che il rischio informatico va integrato nella strategia aziendale. Non è solo una questione tecnica, ma un punto critico anche per governance e reputazione.

E le sanzioni? Sono pesanti: fino al 2% del fatturato annuo mondiale per le entità essenziali, fino all’1,4% per le entità importanti. Non parliamo solo di multe, ma anche di ordini di sospensione e obblighi correttivi imposti dalle autorità.

Qui entra in gioco il Regolamento di esecuzione 2024/2690. Un incidente è significativo quando:

• compromette la continuità dei servizi essenziali,
• ha impatto su un elevato numero di utenti,
• provoca perdita di dati sensibili o violazioni della riservatezza.

La valutazione va fatta considerando le caratteristiche dell’azienda: una microimpresa può usare strumenti compensativi, come maggiore sorveglianza o processi semplificati, ma non può sottrarsi all’obbligo di adottare misure.

La vera sfida sarà integrare tutto questo nella vita quotidiana dell’impresa. Le misure di sicurezza devono diventare parte della cultura aziendale.

La NIS 2 non va vista solo come un vincolo normativo, ma come un’occasione per rendere la propria infrastruttura più solida, per proteggere clienti e processi e per aumentare l’affidabilità sul mercato.

Chi lavora nel settore legale o nella compliance aziendale oggi non può più permettersi di ignorare la sicurezza informatica. È un tema trasversale, che richiede visione, coordinamento e una nuova consapevolezza.