NIS2 — Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi
La direttiva europea sulla cybersicurezza che sostituisce la NIS1, con obblighi estesi a un numero molto maggiore di soggetti e sanzioni più severe.
Definizione
La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, amplia significativamente il perimetro della precedente NIS1. Distingue tra soggetti essenziali (sanità, energia, trasporti, finanza, acqua, infrastrutture digitali) e soggetti importanti (servizi postali, gestione rifiuti, manifattura critica, alimentare, servizi digitali). Introduce obblighi di governance, gestione del rischio, notifica degli incidenti e responsabilità personale degli organi di gestione.
Riferimenti normativi
D.Lgs. 138/2024, art. 24
«I soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete.»
Implicazioni pratiche
Chi è soggetto a NIS2
Organizzazioni con almeno 50 dipendenti o 10 milioni di euro di fatturato che operano nei settori individuati dall'Allegato I (essenziali) o II (importanti). Alcune categorie sono soggette indipendentemente dalla dimensione (es. fornitori DNS, registri nomi di dominio).
Notifica incidenti
I soggetti NIS2 devono notificare all'ACN gli incidenti significativi: preavviso entro 24 ore, notifica iniziale entro 72 ore, relazione finale entro un mese.
Domande frequenti
NIS2 e GDPR si sovrappongono?
In parte. Entrambi riguardano la sicurezza dei dati, ma con finalità diverse: GDPR tutela i dati personali, NIS2 la resilienza dei sistemi e delle reti. Un'organizzazione può essere soggetta a entrambi e un incidente informatico può generare obblighi sia verso ACN (NIS2) che verso il Garante (GDPR).