NIS2 in chiaro.
Pagina di lettura per CEO, direttori generali, membri dell'organo direttivo. Non è una guida per CISO. Spiega gli articoli che spostano la responsabilità su chi firma — e cosa servirebbe avere in archivio se domani arriva il controllo.
Cos'è
Una direttiva europea con nome di legge italiana.
La direttiva UE 2022/2555, nota come NIS2, sostituisce la precedente NIS del 2016 e alza in modo netto le aspettative di sicurezza informatica sulle organizzazioni che operano in settori critici per l'economia europea.
In Italia è stata recepita dal D.Lgs. 138/2024 (entrato in vigore il 16 ottobre 2024). Le scadenze che valgono per la maggior parte delle PMI: registrazione sulla piattaforma ACN entro il 17 gennaio 2025, applicazione piena degli obblighi tecnici entro ottobre 2026.
La novità che conta per chi dirige non è l'elenco dei controlli tecnici — quelli variano sempre — ma il fatto che la responsabilità di approvare e sorvegliare la gestione del rischio cibernetico sia esplicitamente assegnata all'organo direttivo. Non è più un tema delegabile al reparto IT.
A chi si applica
Essenziali, importanti, e chi entra per filiera.
Essenziali
Settori ad alta criticità.
Energia, trasporti, banche, sanità, acqua, infrastruttura digitale, PA centrale. Vigilanza ex-ante, regime più stringente.
Importanti
Settori critici.
Corrieri, fornitori di servizi digitali, alimentare, dispositivi medici, chimica, manifattura critica. Vigilanza ex-post.
Sub-fornitori
Chi entra per filiera.
PMI che lavorano per soggetti essenziali o importanti. Clausole contrattuali NIS2 girate giù dal cliente più grande.
Per capire se la tua azienda rientra, il check NIS2 risponde in 5 minuti, restituisce un PDF orientativo e indica il livello di esposizione del management.
Art. 20
Chi risponde.
L'articolo che cambia il tavolo. La NIS2 assegna la responsabilità di approvare e supervisionare la gestione del rischio cibernetico all'organo direttivo— CdA, amministratore unico, direttore generale. Non al CISO, non al reparto IT.
In caso di violazione grave, l'autorità di vigilanza può disporre la sospensione temporanea del dirigente. È una responsabilità personale, non solo aziendale.
Davanti a un controllo, il CEO deve poter mostrare la delibera di approvazione delle misure, il piano di gestione del rischio e gli attestati di formazione dei dirigenti. Senza, si trova senza i documenti che la norma presume esistano.
Art. 21
Le dieci aree da misurare.
L'articolo 21 elenca le misure minime di gestione del rischio. Per ognuna, qui sotto, cosa chiede in pratica e cosa copre Comprova.
| Lettera | Cosa chiede | In Comprova |
|---|---|---|
| 21.a | Analisi dei rischi e sicurezza dei sistemi informativi. | Risk Register con matrice 4×4, treatment, review annuale. |
| 21.b | Gestione degli incidenti. | Incident Register con timer 24h/72h e bozze ACN già pronte (vedi Art. 23 sotto). |
| 21.c | Continuità operativa, backup, gestione delle crisi. | Schede evidenza BC plan + test ripristino periodico. |
| 21.d | Sicurezza della catena di approvvigionamento (filiera). | Modulo Fornitori: Vendor + DPA + criticality + questionari di filiera. |
| 21.e | Acquisizione, sviluppo e manutenzione sicuri. | Policy template Acquisizione e Sviluppo Sicuro + schede dedicate (patching, vulnerability scan). |
| 21.f | Politiche per valutare l'efficacia delle misure. | Cruscotto compliance con score per controllo, audit trail tracciato, cron review periodiche. |
| 21.g | Formazione e igiene cibernetica di base. | Modulo Formazione personale: corsi, quiz ≥70%, attestato PDF, EvidenceFile derivato annuale. |
| 21.h | Politiche e procedure di crittografia. | Hash SHA-256 su evidenze e Audit Pack. Cifratura at-rest sulle copie di sicurezza. |
| 21.i | Sicurezza del personale, controllo degli accessi, gestione asset. | Ruoli RBAC granulari, MEMBER role per dipendenti, log accessi, scheda inventario asset. |
| 21.j | Autenticazione a più fattori e comunicazioni sicure. | MFA obbligatoria sui ruoli privilegiati, TLS in transito, integrazione PEC futura per notifiche formali. |
Per il dettaglio delle funzioni vedi gli otto moduli in home.
Art. 23
Incidenti e notifiche.
Quando si verifica un incidente significativo, la NIS2 fissa tempi stringenti per informare l'autorità. L'orologio parte dal momento in cui il soggetto viene a conoscenza dell'incidente, non dal momento in cui lo conferma.
In Italia l'autorità competente è ACN tramite CSIRT Italia. La piattaforma di notifica è indicata sul portale ACN.
| Entro | Cosa | A chi |
|---|---|---|
| Entro 24 ore | Allerta preliminare (early warning) con sospetto di causa illecita o transfrontaliera. | CSIRT Italia. |
| Entro 72 ore | Notifica dell'incidente con valutazione iniziale di gravità, impatto, indicatori di compromissione. | CSIRT Italia + destinatari dei servizi se rilevante. |
| Entro 1 mese | Relazione finale con analisi delle cause, misure adottate e mitigazioni in corso. | CSIRT Italia. |
Rispettare questi tempi senza un registro incidenti aggiornato è quasi impossibile. Per questo Comprova include — fin dal piano Pronto — un Incident Register con timer automatici e bozze di notifica già pronte all'allegato V D.lgs. 138/2024.
Sanzioni
Cosa rischia l'azienda, cosa rischia chi firma.
| Soggetto | Massimo edittale | Note |
|---|---|---|
| Soggetti essenziali | Fino a €10 milioni o 2% del fatturato mondiale annuo | Si applica il valore più alto. Sanzione amministrativa pecuniaria. |
| Soggetti importanti | Fino a €7 milioni o 1,4% del fatturato mondiale annuo | Si applica il valore più alto. Sanzione amministrativa pecuniaria. |
| Management — Art. 20 | Sospensione temporanea dalla carica | Prevista per gravi e reiterate violazioni. Responsabilità personale del dirigente. |
Dati da Direttiva (UE) 2022/2555 e D.Lgs. 138/2024. Il regime effettivo dipende dal settore, dalla dimensione e dalla gravità della violazione. Pagina di introduzione, non sostituisce una consulenza legale.
Audit interno prima del controllo
Vuoi essere pronto se l'autorità chiede prove?
Il founder Lead Auditor ISO 27001 può condurre un audit interno (prima parte) in azienda per verificare la copertura dei controlli Art. 21 prima di un eventuale ispezione ACN, e audit di filiera (seconda parte) sui tuoi sub-fornitori critici. Comprova ti porta in conformità sostanziale; l'audit interno fa la verifica indipendente prima che la facciano altri.
Da dove iniziare.
Prima di firmare nulla: fai il check NIS2. Cinque minuti, quadro scritto via PDF dell'esposizione del management.