Trustboard logoTrustboard Home

Guida · Compliance

NIS2 cos'è: guida alla Direttiva UE 2022/2555

Aggiornato il 13 giugno 2026 · Lettura ~8 minuti

La Direttiva NIS2 (UE 2022/2555) è la normativa europea che alza il livello minimo di cibersicurezza per soggetti pubblici e privati che operano in settori considerati essenziali o importanti. Sostituisce la prima direttiva NIS del 2016 ed è stata recepita in Italia con il D.lgs. 138/2024, in vigore dal 16 ottobre 2024.

In pratica, NIS2 obbliga molte più aziende rispetto al passato — incluse PMI — ad adottare misure tecniche e organizzative per gestire il rischio cyber, notificare gli incidenti significativi e rispondere alle autorità competenti.

Chi è obbligato ad adeguarsi

NIS2 distingue due categorie di soggetti, in funzione del settore e della dimensione:

  • Soggetti essenziali: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e reflue, infrastrutture digitali, PA, spazio.
  • Soggetti importanti: servizi postali, gestione rifiuti, alimentare, manifattura critica (es. dispositivi medici, elettronica, meccanica), fornitori digitali, ricerca.

La regola dimensionale di base coinvolge organizzazioni con almeno 50 dipendenti o oltre 10 milioni di euro di fatturato annuo. Esistono però eccezioni: per alcuni soggetti (es. fornitori di servizi DNS, registri TLD, PA centrali) la dimensione non rileva.

Le misure di sicurezza richieste

L'articolo 21 della direttiva definisce un set minimo di misure tecniche, operative e organizzative. In sintesi una PMI deve dotarsi di:

  • Politiche di analisi e gestione del rischio e di sicurezza dei sistemi informativi.
  • Gestione degli incidenti: rilevazione, risposta, notifica entro 24/72 ore all'autorità (in Italia ACN).
  • Business continuity: backup, disaster recovery e gestione delle crisi.
  • Sicurezza della supply chain: valutazione dei fornitori critici e clausole contrattuali.
  • Sicurezza nello sviluppo, manutenzione e gestione delle vulnerabilità.
  • Politiche di controllo degli accessi, MFA, gestione degli asset e crittografia.
  • Formazione e responsabilità diretta degli organi di amministrazione.

Sanzioni e responsabilità

Le sanzioni amministrative arrivano fino a 10 milioni di euro o il 2% del fatturatomondiale per i soggetti essenziali, e fino a 7 milioni o 1,4% per i soggetti importanti. Gli organi di amministrazione sono personalmente responsabili dell'adozione delle misure e della loro supervisione.

Come adeguarsi in pratica

  1. Verifica l'ambito: capisci se la tua azienda è soggetto essenziale, importante o fuori scope.
  2. Censisci asset e fornitori: inventario di hardware, software, dati trattati e fornitori critici.
  3. Valuta il rischio: identifica minacce, vulnerabilità e impatti per ogni asset rilevante.
  4. Implementa le misure dell'art. 21 in modo proporzionato e documenta scelte e controlli.
  5. Definisci processi di incident response e canali di notifica all'autorità competente.
  6. Forma il personale e coinvolgi formalmente l'organo di amministrazione.
  7. Mantieni evidenza: log, audit, revisioni periodiche e aggiornamento del piano.

Come Trustboard supporta l'adeguamento

Trustboard è il registro operativo che ti aiuta a tenere insieme tutto ciò che NIS2 richiede di documentare: inventario asset IT, fornitori critici, contratti, scadenze, checklist di controllo e generazione di report PDF per consulenti e clienti.

Inizia gratis

Crea il primo registro asset in pochi minuti, senza carta di credito.

Crea un account gratuito

Questa guida ha scopo informativo e non costituisce parere legale. Per valutazioni specifiche sulla tua organizzazione, rivolgiti a un consulente qualificato.