Direttiva UE 2022/2555 (NIS2) recepita in Italia con Dlgs 138/2024. Si applica a soggetti essenziali/importanti in settori critici (energia, trasporti, sanità, PA digitale, ICT managed services, altri). Le misure dell'art.21 richiedono: analisi rischio, gestione incidenti, continuità, sicurezza supply chain, crittografia, MFA, formazione, autenticazione forte, asset inventory. PSA fornisce le componenti tecniche: NetScavenger (inventory), PAM + firma temporale (audit accessi), SIEM Wazuh (incident management), DR geografico, 2FA obbligatoria, backup con retention. Non siamo consulenti legali: non firmiamo la conformità al posto vostro, ma forniamo strumenti e documentazione che fa superare l'audit.
01NIS2 in due righe
La Direttiva UE 2022/2555 — comunemente NIS2 — aggiorna la precedente NIS del 2016 alzando l'asticella sulla cybersecurity delle organizzazioni considerate rilevanti per il funzionamento del Paese. È stata recepita in Italia con il Dlgs 138/2024, in vigore da ottobre 2024, con scadenze di adeguamento progressive nel 2025-2026.
Esiste perché la NIS1 era troppo stretta come perimetro e troppo debole come sanzioni: poche aziende ci cadevano dentro, e le multe erano simboliche. NIS2 allarga enormemente il raggio (da ~500 a ~15.000 soggetti stimati in Italia) e introduce responsabilità diretta degli organi di amministrazione, con sanzioni che fanno male davvero.
02Chi è soggetto
La norma distingue due categorie, con trattamento sanzionatorio differenziato ma obblighi tecnici sostanzialmente identici:
- Soggetti essenziali: energia, trasporti, banche, infrastrutture di mercato finanziario, sanità, acque potabili e reflue, infrastruttura digitale (TLC, DNS, cloud, data center, CDN), pubblica amministrazione, spazio.
- Soggetti importanti: servizi postali e corrieri, gestione rifiuti, produzione e distribuzione alimentare, manifatturiero critico (dispositivi medici, chimica, automotive, elettronica, macchinari), provider digitali (marketplace, motori ricerca, social), ricerca, ICT service management (managed service provider, MSSP).
Soglie dimensionali: in linea generale si è soggetti se si supera 50 dipendenti o 10 M€ di fatturato. Con deroghe: alcune categorie (provider DNS, TLD, TLC, fiduciari qualificati, PA) sono dentro indipendentemente dalla dimensione. Il nostro consiglio operativo: se avete dubbi, assumete di essere dentro e fate la verifica formale con un legale. Il costo di sbagliare in difetto è molto alto.
03Le misure tecniche dell'art.21
Il cuore operativo della direttiva sta nell'articolo 21, che elenca le misure minime di gestione del rischio di cybersecurity. In pratica:
- Politiche di analisi dei rischi e sicurezza dei sistemi informativi.
- Gestione degli incidenti: rilevazione, risposta, notifica (entro 24 h early warning, 72 h report dettagliato, 1 mese final report all'ACN).
- Continuità operativa e disaster recovery, gestione dei backup, gestione delle crisi.
- Sicurezza della supply chain: fornitori, MSP, prestatori di servizi ICT.
- Sicurezza in acquisizione, sviluppo e manutenzione dei sistemi, inclusa la gestione delle vulnerabilità.
- Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio.
- Pratiche di cyber-igiene di base e formazione.
- Politiche e procedure relative all'uso di crittografia.
- Sicurezza del personale, politiche di controllo accessi, gestione degli asset.
- Uso di autenticazione a più fattori o autenticazione continua, comunicazioni vocali/video/testuali protette, sistemi di comunicazione d'emergenza sicuri.
Nessun elenco prescrittivo di tecnologie. La direttiva è technology-neutral: conta che il controllo sia presente, documentato e dimostrabile all'auditor.
04Come PSA copre i controlli tecnici
Il nostro ruolo non è decidere cosa dovete fare — lo decide il vostro DPO, il consulente legale, o l'internal audit. Il nostro ruolo è mettervi in condizione di dimostrare che i controlli tecnici esistono, funzionano e sono tracciabili. Il mapping tra le misure dell'art.21 e le capabilities della nostra piattaforma:
| Misura NIS2 (art.21) | Cosa richiede | Con cosa copriamo |
|---|---|---|
| Asset inventory | Censimento continuo e aggiornato di host, servizi, versioni, owner | NetScavenger (scan di rete + correlazione CMDB) con aggiornamento automatico |
| Controllo accessi privilegiati | Tracciabilità delle sessioni amministrative, approvazione JIT, registrazione | PAM proprietario con registrazione sessione e firma temporale qualificata |
| Autenticazione forte | MFA su accessi amministrativi e servizi critici, evidenza delle policy | 2FA obbligatoria su tutti i backend PSA — niente eccezioni per comodità |
| Gestione incidenti | Rilevazione, classificazione, risposta, notifica autorità entro scadenze | SIEM Wazuh con alerting integrato, runbook di notifica ACN, log immutabili |
| Backup e continuità | Backup offline/air-gapped, test di ripristino, RPO/RTO definiti | Proxmox Backup Server + retention tiered + DR geografico tra data center IT |
| Audit log | Log firmati, ritenuti a lungo, non ripudiabili dall'operatore | Logging centralizzato con firma temporale, retention configurabile per norma |
| Supply chain sicurezza | Evidenza dei controlli applicati dai fornitori ICT (MSP/MSSP) | Documentazione operativa PSA + SLA scritti + dashboard self-service con audit log |
| Vulnerability management | Scansione continua, patch management, evidenza delle tempistiche | Scansioni pianificate + patch window tracciate + SLA di remediation contrattualizzati |
Niente di questo è "magia NIS2". Sono strumenti che usiamo da anni per i nostri clienti — la direttiva ha semplicemente reso obbligatorio ciò che per noi era già il modo corretto di lavorare.
05Cosa NON facciamo
Per onestà — e per risparmiarvi spiacevoli sorprese:
- Non facciamo consulenza legale. L'interpretazione del Dlgs 138/2024, la classificazione del soggetto, la redazione delle policy corporate: quello lo fa un legale specializzato o il vostro DPO. Non firmiamo la conformità al posto vostro.
- Non ci assumiamo la responsabilità organizzativa. NIS2 responsabilizza esplicitamente gli organi di amministrazione. Nessun fornitore tecnico può deresponsabilizzarli, per legge.
- Non vendiamo certificazioni ISO 27001 o simili. Supportiamo con documentazione e controlli tecnici chi sta facendo il percorso di certificazione, ma il certificato lo rilascia un ente accreditato, non noi.
- Non facciamo formazione cyber end-user. Awareness, phishing simulation, formazione utenti: esistono realtà specializzate. Possiamo indirizzarvi, non erogare.
Quello che facciamo: forniamo gli strumenti tecnici e la documentazione operativa (runbook, SLA, evidenze di log, report periodici) che l'auditor deve vedere per spuntare la casella. Il 90% dei problemi NIS2 nelle PMI non è il disaccordo filosofico sulle policy — è l'impossibilità pratica di produrre evidenze quando vengono chieste.
06Timeline di adozione tipica
Un percorso realistico per un cliente che si affaccia alla NIS2 senza copertura pregressa:
- Gap analysis tecnico (2-3 settimane): mappiamo i controlli art.21 contro l'infrastruttura attuale, segnaliamo i vuoti. È la parte più utile e più sottovalutata: capire cosa manca davvero prima di comprare soluzioni.
- Deploy capabilities mancanti (6-12 settimane a seconda del perimetro): SIEM, PAM, inventory, MFA dove assente, backup rivisto, logging centralizzato. In parallelo al lavoro legale/organizzativo che procede sul suo binario.
- Verifica e documentazione (2 settimane): produzione di evidenze, runbook, report di test DR. Simulazione di un audit, se il cliente vuole.
- Manutenzione continua: la parte più importante. Un controllo senza evidenze aggiornate non serve a niente. Canone di gestione con report trimestrale che è pronto da consegnare all'auditor senza ricostruzioni dell'ultimo minuto.
07Le sanzioni rendono la cosa seria
Sotto NIS1 le sanzioni italiane arrivavano a circa 150.000 €. Con NIS2 i massimali diventano:
- Soggetti essenziali: fino a 10 M€ o 2% del fatturato annuo mondiale, il valore più alto dei due.
- Soggetti importanti: fino a 7 M€ o 1,4% del fatturato, il valore più alto dei due.
- Responsabilità personale degli organi di amministrazione, con possibili sospensioni temporanee da ruoli dirigenziali in caso di violazioni gravi.
La differenza con il passato non è solo l'importo. È il fatto che la non-conformità non passa più inosservata: ACN ha potere di ispezione, richiesta di informazioni, audit. E soprattutto: un incidente grave diventa automaticamente lo scatto che innesca la verifica della vostra postura di sicurezza pregressa. Non aspettate l'incidente per mettervi in regola.
08Come iniziamo una valutazione
Se state facendo il percorso NIS2 — da zero, o con consulenti già coinvolti sul piano legale — una chiamata di un'ora è di norma sufficiente per inquadrare il perimetro tecnico. Portate l'elenco dei sistemi in scope, eventuali policy già scritte, l'ultima analisi dei rischi (se c'è). Rispondiamo con una mappatura onesta dei vuoti tecnici e una stima realistica di tempi e costi per colmarli. Nessuna slide da tre ore sulla direttiva — la leggete meglio da soli.