NIS 2: Le nuove norme dell'UE sulla sicurezza informatica spiegate
Il NIS2 obbliga le aziende a migliorare la loro sicurezza informatica. Chi è interessato, cosa bisogna fare e perché anche le aziende svizzere dovrebbero reagire.
5
min.
Aggiornato il
5 agosto 2025
L'Unione Europea sta implementando regole più severe sulla sicurezza informatica. Centinaia di migliaia di aziende sono interessate. E non solo loro: Anche le aziende partner e le catene di fornitura devono diventare più sicure. Presentiamo il nuovo regolamento UE sulla sicurezza informatica "NIS2" e diamo un'occhiata a tutto ciò che c'è da sapere sugli obblighi di segnalazione e altro ancora.
L'UE ha lanciato una direttiva "per un elevato livello comune di sicurezza informatica". Ufficialmente nota come "Direttiva (UE) 2022/2555" o in breve "NIS2", è il secondo tentativo di aumentare la sicurezza delle reti e delle informazioni e quindi di rafforzare la resilienza informatica. Dal 17 ottobre 2024, gli Stati membri dell'UE devono recepire la direttiva nel diritto nazionale. In molti Paesi - tra cui Belgio, Danimarca e Italia - ciò è stato fatto. In altri Paesi, l'attuazione completa è in ritardo; in Germania, ad esempio, è prevista la legge di attuazione della NIS2 (NIS2UMSuCG), che sarà sottoposta al parere del Consiglio federale alla fine dell'estate 2025. È rilevante per la Svizzera perché la direttiva include esplicitamente le catene di fornitura e le aziende partner.
Quali sono le aziende interessate?
La nuova direttiva interessa un numero di imprese dieci volte superiore rispetto alla precedente del 2016. Secondo le stime attuali, sono circa 160.000 le aziende interessate in tutta Europa. Solo in Germania, il numero è ora stimato in circa 30.000.
Per esempio, il NIS 2 ha aumentato l'elenco dei settori da otto a 18. Sono classificati come "essenziali" e "importanti". Una panoramica dettagliata si trova negli Allegati I e II della direttiva sopra citata.
I settori dell'energia, dei trasporti, delle banche, delle infrastrutture dei mercati finanziari, della sanità, dell'acqua potabile, delle acque reflue, delle infrastrutture digitali, della gestione dei servizi ICT (B2B), della pubblica amministrazione e dello spazio sono quindi particolarmente importanti.
L'elenco degli "altri" settori critici comprende i servizi postali e di corriere, la gestione dei rifiuti, la produzione, la fabbricazione e il commercio di prodotti chimici, la produzione, la trasformazione e la distribuzione di prodotti alimentari, la fabbricazione/produzione di beni e i fornitori di servizi digitali.
Di norma, le aziende di questi settori sono interessate se impiegano più di 50 persone e hanno un fatturato annuo o un bilancio annuale superiore a 10 milioni di euro. Tuttavia, sono possibili eccezioni, in particolare se un'azienda è l'unico fornitore di un servizio essenziale in uno Stato membro o è di particolare rilevanza per la sicurezza nazionale.
Quali sono i requisiti del NIS2?
Gli obblighi si trovano nel capitolo IV della direttiva. Secondo l'articolo 21, le aziende interessate devono "adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza della rete e dei sistemi informativi (...) e per prevenire o ridurre al minimo l'impatto degli incidenti di sicurezza sui destinatari dei loro servizi e su altri servizi". Ciò che è considerato "proporzionato" dovrebbe dipendere dal rischio valutato, dalle possibili conseguenze e dalle dimensioni dell'operazione, tra le altre cose.
L'articolo 21 elenca anche uno standard minimo per le misure di sicurezza. Queste includono un concetto di analisi del rischio, piani per affrontare gli incidenti di sicurezza, gestione delle crisi e dei backup, concetti per valutare l'efficacia delle misure, crittografia, controllo degli accessi e autenticazione a più fattori.
Le aziende svizzere che si orientano allo standard minimo delle TIC sono già ben posizionate.
L'articolo 21, paragrafo 2, afferma inoltre esplicitamente: "la sicurezza della catena di approvvigionamento, compresi gli aspetti legati alla sicurezza dei rapporti tra le singole entità e i loro fornitori diretti o fornitori di servizi". Il paragrafo 3 afferma che le organizzazioni devono considerare "la qualità complessiva dei prodotti e delle pratiche di cybersecurity dei loro venditori e fornitori di servizi, compresa la sicurezza dei loro processi di sviluppo".
Cosa prevede l'obbligo di segnalazione degli incidenti di sicurezza NIS2?
Particolarmente rilevante è anche l'obbligo di segnalazione introdotto di recente dall'articolo 23: in caso di incidente di sicurezza, deve essere emesso un allarme tempestivo entro 24 ore dal momento in cui se ne viene a conoscenza. Entro 72 ore deve seguire un rapporto più dettagliato con una valutazione iniziale dell'incidente di sicurezza, compresi la gravità e l'impatto. Al più tardi dopo un mese, deve essere presentato all'autorità competente un rapporto di follow-up o finale con un'analisi delle cause e delle contromisure.
Le violazioni dei requisiti di segnalazione o di sicurezza possono essere sanzionate con multe elevate: Alle istituzioni particolarmente importanti possono essere inflitte sanzioni fino a 10 milioni di euro o al 2% del fatturato globale annuo, a seconda del valore più alto. L'attuazione dei requisiti è monitorata negli Stati membri dalle autorità responsabili (ad esempio, il BSI in Germania).
Anche la responsabilità esplicita del management è una novità: CEO, CIO e membri del consiglio di amministrazione devono garantire che le misure richieste non solo siano introdotte, ma anche comprese e monitorate. Molte leggi nazionali prevedono una formazione obbligatoria e la possibilità di responsabilità personale.
Perché queste nuove regole?
È da ieri che la politica dell'UE ha riconosciuto che la crescente digitalizzazione e il collegamento in rete rappresentano una potenziale minaccia. Tuttavia, i precedenti tentativi di innalzare in modo globale gli standard di sicurezza non hanno avuto particolare successo.
Il diretto predecessore della nuova normativa è la Direttiva (UE) 2016/1148, che aveva già la stessa impostazione, ma la sua attuazione negli Stati membri è stata poco monitorata e in molti punti era meno specifica della nuova versione.
Nel frattempo, un numero ancora maggiore di processi è stato digitalizzato, automatizzato e collegato in rete. Allo stesso tempo, è aumentato il numero di attacchi tentati e riusciti alle reti di impianti industriali e istituzioni pubbliche.
Con la NIS2, l'UE risponde a questa situazione di minaccia e garantisce un maggiore impegno e armonizzazione, anche per evitare un livello frammentato di sicurezza informatica in Europa. La direttiva fa anche parte di un pacchetto più ampio sulla resilienza delle infrastrutture critiche.
Parole di chiusura
La nuova direttiva UE segue in larga misura quanto già raccomandato e praticato a livello internazionale. In Svizzera esistono linee guida comparabili, come il Centro nazionale di sicurezza informatica (NCSC) e lo standard minimo TIC per le autorità pubbliche. Inoltre, è in corso una revisione della legge sulla sicurezza delle informazioni (ISG), il cui contenuto è strettamente modellato sulla NIS2.
Tuttavia, è bene che le aziende di ogni tipo siano consapevoli delle potenziali minacce e delle loro conseguenze, anche se non sono considerate parte dell'"infrastruttura critica". I cyberattacchi, come gli attacchi ransomware, possono causare danni monetari considerevoli e rovinare la reputazione di un'azienda.
FAQ: Il NIS2 in sintesi
Che cos'è la direttiva NIS2?
La Direttiva UE 2022/2555 (NIS2) è la nuova normativa UE sulla sicurezza informatica delle organizzazioni critiche e importanti. Sostituisce la direttiva NIS1 del 2016 e ne amplia in modo massiccio l'ambito di applicazione. Persegue l'obiettivo di un livello uniformemente elevato di sicurezza informatica nell'UE, in conformità all'art. 1 della NIS.
Quali aziende sono interessate dal NIS2?
Tutte le aziende dei settori ad alta criticità e di altri settori critici con più di 50 dipendenti e più di 10 milioni di fatturato o di totale di bilancio, nonché i fornitori minori di importanza sistemica.
Cosa richiede effettivamente NIS2?
La NIS2 richiede misure di sicurezza tecniche e organizzative, analisi dei rischi, piani di emergenza, formazione, rapporti sugli incidenti di sicurezza e responsabilità gestionale.
Sono previste sanzioni per le violazioni del NIS2?
Sì, le violazioni del NIS2 sono sanzionate. Possono essere comminate ammende fino a 10 milioni di euro o al 2% del fatturato globale annuo. Anche il management può essere ritenuto responsabile.
La direttiva NIS2 si applica anche alle società svizzere?
Sebbene la Svizzera non sia uno Stato membro dell'UE, il NIS2 può avere un impatto anche qui, in particolare sulle aziende che hanno filiali o clienti nell'UE o che operano come fornitori di servizi nelle catene di approvvigionamento dell'UE.
Più conoscenza che vi porta lontano
Scoprite approfondimenti su temi attuali, sfide e soluzioni che vi aiuteranno ad andare avanti.
