NIS 2: Spiegazione delle nuove norme dell'UE sulla sicurezza informatica
NIS2 costringe le aziende a migliorare la propria sicurezza informatica. Chi è preoccupato? Que faut-il faire? Et pourquoi faut-il aussi reagir en Suisse?
5
min read
Attualizzato il
August 5, 2025
L'Unione Europea sta implementando norme più severe sulla sicurezza informatica. Centinaia di migliaia di aziende sono interessate. E non solo: anche le aziende partner e le catene di fornitura diventeranno più sicure. Presentiamo il nuovo regolamento UE sulla sicurezza informatica «NIS2" e diamo un'occhiata a tutto ciò che devi sapere sugli obblighi di segnalazione e altro.
L'UE ha lanciato una direttiva «per un elevato livello comune di sicurezza informatica». Conosciuta ufficialmente come «Direttiva (UE) 2022/2555" o «NIS2" in breve, è il secondo tentativo di aumentare la sicurezza delle reti e delle informazioni e quindi rafforzare la resilienza informatica. Dal 17 ottobre 2024, gli Stati membri dell'UE hanno dovuto recepire la direttiva nel diritto nazionale. In molti paesi, tra cui Belgio, Danimarca e Italia, ora è successo. In altri Paesi, la piena attuazione è ritardata; in Germania, ad esempio, è prevista la legge sull'attuazione del NIS2 (NIS2UmSuCG) che sarà sottoposta al parere del Consiglio federale alla fine dell'estate 2025. È rilevante per la Svizzera perché la direttiva include esplicitamente le catene di approvvigionamento e le aziende partner.
Quali aziende sono interessate?
La nuova direttiva riguarda circa dieci volte più aziende rispetto alla precedente del 2016. Secondo le stime attuali, circa 160.000 aziende sono interessate in tutta Europa. Solo in Germania, il numero è ora stimato in circa 30.000.
Ad esempio, NIS 2 ha aumentato l'elenco dei settori da otto a 18. Sono classificati come «essenziali» e «importanti». Una panoramica dettagliata è disponibile negli allegati I e II della direttiva collegata sopra.
I settori dell'energia, dei trasporti, delle banche, dei mercati finanziari, dell'assistenza sanitaria, dell'acqua potabile, delle acque reflue, delle infrastrutture digitali, della gestione dei servizi ICT (B2B), della pubblica amministrazione e dei settori spaziali sono quindi particolarmente importanti.
L'elenco degli «altri» settori critici include i servizi postali e di corriere, la gestione dei rifiuti, la produzione, la fabbricazione e il commercio di prodotti chimici, la produzione, la lavorazione e la distribuzione di prodotti alimentari, la produzione/produzione di beni e i fornitori di servizi digitali.
Come regola generale, le aziende di questi settori sono interessate se impiegano più di 50 persone e hanno un fatturato annuo o un bilancio annuo superiore a 10 milioni di euro. Tuttavia, sono possibili eccezioni, in particolare se un'azienda è l'unico fornitore di un servizio essenziale in uno Stato membro o è particolarmente rilevante per la sicurezza nazionale.
Cosa includono i requisiti NIS2?
Gli obblighi sono riportati nel capitolo IV della direttiva. Ai sensi dell'articolo 21, le aziende interessate dovrebbero «adottare misure tecniche, operative e organizzative appropriate e proporzionate per gestire i rischi per la sicurezza della rete e dei sistemi informativi (...) e per prevenire o ridurre al minimo l'impatto degli incidenti di sicurezza sui destinatari dei loro servizi e su altri servizi». Ciò che è considerato «proporzionato» dovrebbe basarsi, tra le altre cose, sul rischio valutato, sulle possibili conseguenze e sulla dimensione dell'operazione.
L'articolo 21 elenca anche uno standard minimo per le misure di sicurezza. Questi includono un concetto per l'analisi dei rischi, i piani per affrontare gli incidenti di sicurezza, la gestione delle crisi e dei backup, i concetti per la valutazione dell'efficacia delle misure, la crittografia, il controllo degli accessi e l'autenticazione a più fattori.
Aziende svizzere che seguono lo standard minimo ICT sono già ben posizionati qui.
L'articolo 21, paragrafo 2, menziona inoltre esplicitamente: «sicurezza della catena di approvvigionamento, compresi gli aspetti relativi alla sicurezza delle relazioni tra le singole entità e i loro fornitori diretti o prestatori di servizi». Il paragrafo 3 stabilisce che le entità devono considerare «la qualità complessiva dei prodotti e delle pratiche di sicurezza informatica dei loro fornitori e fornitori di servizi, compresa la sicurezza dei loro processi di sviluppo».
Cosa copre l'obbligo di segnalazione degli incidenti di sicurezza NIS2?
Particolarmente rilevante è anche il nuovo obbligo di segnalazione introdotto all'articolo 23: in caso di incidente di sicurezza, deve essere emesso un preavviso entro 24 ore dal momento in cui ne viene a conoscenza. A ciò segue, entro 72 ore, una relazione più dettagliata con una valutazione iniziale dell'incidente di sicurezza, compresa la sua gravità e il suo impatto. Una relazione di follow-up o finale con un'analisi delle cause principali e contromisure deve essere presentata all'autorità competente al più tardi dopo un mese.
Le violazioni dei requisiti di segnalazione o di sicurezza possono essere punite con multe salate: per istituzioni particolarmente importanti possono essere comminate multe fino a 10 milioni di euro o al 2 percento del fatturato globale annuo, a seconda di quale sia l'importo più elevato. L'attuazione dei requisiti è monitorata negli Stati membri dalle autorità responsabili (ad esempio il BSI in Germania).
Anche la responsabilità esplicita del management è nuova: amministratori delegati, CIO e membri del consiglio di amministrazione devono garantire che le misure richieste non solo siano introdotte, ma anche comprese e monitorate. Molte leggi nazionali richiedono una formazione obbligatoria e la possibilità di responsabilità personale.
Perché queste nuove regole?
Non è solo da ieri che la politica dell'UE ha riconosciuto che anche la crescente digitalizzazione e il networking rappresentano una potenziale minaccia. Tuttavia, i precedenti tentativi di innalzare in modo completo gli standard di sicurezza non hanno avuto particolare successo.
Il diretto predecessore dei nuovi regolamenti è la direttiva (UE) 2016/1148, che aveva già avuto lo stesso impulso, ma la sua attuazione negli Stati membri è stata difficilmente monitorata e in molti punti era meno specifica della nuova versione.
Nel frattempo, ancora più processi sono stati digitalizzati, automatizzati e collegati in rete. Allo stesso tempo, il numero di tentativi riusciti attacchi a reti di impianti industriali e istituzioni pubbliche è aumentato.
Con NIS2, l'UE sta rispondendo a questa situazione di minaccia e garantendo un maggiore impegno e armonizzazione, anche per evitare un livello frammentato di sicurezza informatica all'interno dell'Europa. La direttiva fa anche parte di un pacchetto più ampio sulla resilienza delle infrastrutture critiche.
Conclusione
La nuova direttiva UE segue in gran parte ciò che è già raccomandato e praticato a livello internazionale. In Svizzera esistono linee guida comparabili, come il National Cyber Security Center (NCSC) e lo standard minimo ICT per le autorità pubbliche. Inoltre, è in corso una revisione della legge sulla sicurezza delle informazioni (ISG), il cui contenuto è fortemente basato sul NIS2.
Tuttavia, è una buona idea che le aziende di ogni tipo siano consapevoli delle potenziali minacce e delle loro conseguenze, anche se non sono considerate parte dell' "infrastruttura critica». Gli attacchi informatici come gli attacchi ransomware possono causare ingenti danni monetari e rovinare la reputazione di un'azienda.
Domande frequenti: Il NIS2 a colpo d'occhio
Cos'è la direttiva NIS2?
La direttiva UE 2022/2555 (NIS2) è il regolamento UE rivisto sulla sicurezza informatica di strutture critiche e importanti. Sostituisce la direttiva NIS1 del 2016 e ne amplia notevolmente il campo di applicazione. Persegue l'obiettivo di un livello uniformemente elevato di sicurezza informatica nell'UE ai sensi dell'articolo 1 NIS.
Quali aziende sono interessate dal NIS2?
Tutte le aziende di settori ad alta criticità e di altri settori critici con più di 50 dipendenti e più di 10 milioni di fatturato o totale di bilancio, nonché fornitori più piccoli di importanza sistemica.
Cosa richiede effettivamente NIS2?
NIS2 richiede misure di sicurezza tecniche e organizzative, analisi dei rischi, piani di emergenza, formazione, rapporti sugli incidenti di sicurezza e responsabilità di gestione.
Sono previste sanzioni per le violazioni del NIS2?
Sì, le violazioni del NIS2 sono sanzionate. Possono essere inflitte multe fino a 10 milioni di euro o al 2% del fatturato globale annuo. Anche la direzione può essere ritenuta responsabile.
La direttiva NIS2 si applica anche alle società svizzere?
Sebbene la Svizzera non sia uno Stato membro dell'UE, NIS2 può avere un impatto anche in questo caso, in particolare sulle aziende che hanno filiali o clienti nell'UE o sono attive come fornitori di servizi nelle catene di approvvigionamento dell'UE.
More knowledge that takes you further
Discover relevant insights on current topics, challenges and solutions that will help you move forward.
