Compliance NIS 2: cosa devono fare le imprese entro il 2026

Infatti, entro ottobre 2026, le imprese che sono state incluse nel perimetro di applicazione della Direttiva NIS 2 saranno tenute ad implementare le cosiddette “misure di base”. Tuttavia, occorre precisare fin da subito che non si tratta si un mero adempimento tecnico, ma di una vera e propria evoluzione del legislatore rispetto alla sicurezza informatica, che da tema tecnico e settoriale viene elevata al rango di tema di governance dell’ente, con relativa responsabilità diretta dei vertici aziendali.

Dal tecnico al consiglio di amministrazione: il cambio di paradigma

Uno degli aspetti più innovativi sottolineati dalle linee guida riguarda proprio la centralità del management a cui si accennava poc’anzi. La protezione dei sistemi informativi e delle reti non è più considerata un adempimento esclusivo dei responsabili IT o dei tecnici di sicurezza, ma un dovere che coinvolge direttamente gli organi di amministrazione e le direzioni generali.

Le aziende devono infatti approvare formalmente una serie di documenti strategici, come politiche di sicurezza, piani di gestione del rischio, piani di formazione, continuità operativa e disaster recovery, che non possono più essere predisposti esclusivamente dai dipartimenti IT senza la necessaria consapevolezza da parte della governance aziendale. Questo significa che i vertici aziendali dovranno essere attivamente coinvolti nei processi al fine di conoscere le implicazioni delle scelte fatte, assumersi la responsabilità delle decisioni e, in definitiva, rendere la sicurezza parte integrante della gestione d’impresa, quale elemento chiave della corporate governance.

Per molte realtà si tratta di un cambio di mentalità notevole. Non basta investire in software o hardware di protezione: occorre costruire un sistema di gestione della sicurezza informatica, con ruoli e responsabilità chiari, processi strutturati e verificabili, e una catena di controllo che arrivi fino al board.

Misure di sicurezza: organizzative, legali e tecnologiche

Il cuore delle linee guida è costituito dalle misure di sicurezza minime obbligatorie, che variano a seconda della classificazione dell’azienda come “soggetto importante” o “soggetto essenziale”. I primi devono rispettare 37 misure articolate in 87 requisiti; i secondi, più esposti a rischi di impatto sistemico, devono adottare 43 misure con 116 requisiti.

La distinzione non è meramente quantitativa: riflette la maggiore responsabilità che grava su chi eroga servizi essenziali per la collettività – come energia, trasporti, sanità, telecomunicazioni – rispetto ad altre realtà importanti ma meno critiche.

Le misure si dividono in due grandi categorie: requisiti organizzativi e requisiti tecnologici.

I requisiti organizzativi riguardano processi, policy e documentazione: dalla definizione dell’organizzazione di sicurezza, alla redazione di politiche formali, alla gestione dei registri di attività e manutenzione. Sono misure che chiedono soprattutto di formalizzare ciò che spesso esiste in maniera implicita o informale, rendendo tracciabili decisioni e responsabilità.

I requisiti tecnologici, invece, chiamano in causa strumenti concreti: cifratura dei dati, autenticazione a più fattori, sistemi di rilevamento delle intrusioni, monitoraggio costante del traffico di rete, test periodici di backup e ripristino. Anche qui la logica non è quella di accumulare tecnologie, ma di usarle in maniera coerente e proporzionata, in base ai rischi effettivi.

Il tema, tuttavia, non è esclusivamente di natura tecnica, rendendosi necessario anche un supporto legale volto a verificare che le attività svolte corrispondano alle prescrizioni del legislatore e a tutelare il management da eventuali responsabilità.

L’approccio basato sul rischio

Ancora una volta, è il principio del risk-based approach a guidare l’intera architettura delle linee guida. Non tutte le organizzazioni, e nemmeno tutte le parti di una stessa organizzazione, sono ugualmente esposte. Per questo le misure non vanno applicate indistintamente, ma adattate in funzione dei rischi reali.

Le aziende devono identificare i propri sistemi informativi e di rete rilevanti, ossia quelli la cui compromissione avrebbe effetti significativi sulla riservatezza, l’integrità o la disponibilità dei servizi e delle attività. È su questi sistemi che si devono concentrare le misure più stringenti: dalle verifiche periodiche sui backup alle soluzioni di autenticazione a più fattori, fino al monitoraggio avanzato degli accessi.

Inoltre, le linee guida ammettono la possibilità di deroghe, ma a precise condizioni. Se per motivi tecnici o normativi una misura non può essere applicata – ad esempio nel caso di dispositivi medici che non possono ospitare software di protezione senza comprometterne la certificazione – l’azienda dovrà documentare accuratamente la ragione e introdurre misure compensative. Non è quindi un’esclusione dagli obblighi normativi, ma un invito a una gestione consapevole e trasparente del rischio residuo.

La dimensione documentale

Molto spesso le imprese tendono a sottovalutare l’importanza della documentazione. In realtà, il nuovo quadro normativo pone l’accento proprio sulla capacità di dimostrare, con atti formali e approvati dal management, che la sicurezza è stata presa in carico.

Inventari dei sistemi, elenchi del personale autorizzato, piani di trattamento dei rischi, registri di formazione, piani di continuità operativa e di gestione delle crisi: sono tutti documenti che devono esistere, essere aggiornati e resi disponibili in caso di controlli, nell’ottica della trasparenza e della accountability dell’ente.

Un’azienda che dispone di documenti chiari e approvati mostra non solo di rispettare la legge, ma anche di avere un sistema di governance maturo, capace di resistere a imprevisti e di rispondere in modo ordinato a eventuali incidenti.

Incidenti significativi: il dovere della notifica

Le linee guida si soffermano anche su un altro adempimento essenziale, previsto in questo caso entro gennaio 2026: l’obbligo di notifica degli incidenti. Nello specifico, ogni volta che si verifica un evento con impatto rilevante, come, ad esempio, perdita di riservatezza o integrità dei dati, violazione dei livelli di servizio, accessi non autorizzati o abuso di privilegi, l’azienda è tenuta a segnalarlo al CSIRT Italia.

A tal proposito, una delle caratteristiche della Direttiva NIS 2 è la definizione di una tassonomia di incidenti che sono soggetti a notifica. Quindi, al verificarsi di un incidente, le aziende dovranno prima di tutto essere in grado di qualificare l’evento e valutarne la riconducibilità ad una delle categorie definite dalla normativa. Inoltre, dovranno attivare prontamente i procedimenti interni necessari per raccogliere le informazioni da comunicare al CSIRT Italia. Infatti, i tempi sono molto stretti: entro 24 ore deve essere inviata una pre-notifica ed entro 72 ore una notifica completa. Questo implica che le aziende devono dotarsi di procedure interne chiare per individuare, classificare e comunicare gli incidenti, senza rischiare ritardi o omissioni.

Tempistiche e transizione

Il legislatore ha fissato scadenze precise: entro gennaio 2026 le società dovranno essere in grado di ottemperare agli obblighi di notifica, mentre entro ottobre 2026 dovranno aver adottato le misure di sicurezza di base. Sebbene questo lasso di tempo possa apparire ampio, in realtà richiede un impegno immediato. Basti pensare al lavoro necessario per mappare sistemi e servizi, effettuare valutazioni di rischio, redigere piani e documenti, approvarli in sede di consiglio di amministrazione e, infine, implementare le tecnologie richieste.

A tal proposito, la raccomandazione dell’ACN è chiara: partire subito con un percorso strutturato, che permetta di rispettare le scadenze senza soluzioni improvvisate.

Conclusioni

Quali potrebbero essere, quindi, i primi passi da compiere? Le linee guida offrono dei suggerimenti molto utili: la fase iniziale consiste nel mappare i servizi e i sistemi critici, così da sapere esattamente quali asset ricadono nel perimetro NIS. Su questa base si effettua una valutazione dei rischi, per individuare vulnerabilità e priorità.

Segue la definizione di un piano di adeguamento, che deve prevedere interventi sia tecnologici sia organizzativi. Il management deve essere coinvolto fin dall’inizio, non solo per l’approvazione dei documenti ma anche per assicurare le risorse necessarie e garantire un monitoraggio costante. Parallelamente, occorre formare il personale, perché la consapevolezza dei dipendenti è uno degli strumenti più efficaci per ridurre il rischio di attacchi informatici.

Infine, bisogna predisporre procedure e strumenti per la gestione delle notifiche: sapere chi deve segnalare, come raccogliere le evidenze, come distinguere un incidente significativo da altri eventi meno rilevanti, come garantire il rispetto delle scadenze di 24 e 72 ore.

È evidente che tutto questo rappresenta una sfida impegnativa, soprattutto per le aziende che non hanno una maturità consolidata in materia di sicurezza informatica, ma potrebbe essere vista anche una grande opportunità. Adeguarsi alle nuove regole significa infatti migliorare la propria resilienza digitale, rafforzare la fiducia di clienti e partner, garantire la continuità operativa. In un contesto in cui gli attacchi informatici sono sempre più frequenti e sofisticati, gli investimenti in sicurezza informatica non devono più essere visti solo come un costo, ma come fattore di competitività.

Le aziende che sapranno cogliere questa sfida saranno le stesse che, domani, potranno presentarsi sui mercati con la credibilità e l’affidabilità necessarie per crescere e competere a livello internazionale.