Blog

Normativa NIS2: come capire se la tua azienda è coinvolta e quali azioni intraprendere subito

27 maggio 2025

Molti imprenditori si stanno chiedendo se la loro impresa sia coinvolta dalla normativa NIS2. L'interrogativo è più che lecito, visto che ricadere nel perimetro di applicazione della Network and Information Security Directive 2 significa implementare nuovi strumenti e soprattutto nuovi processi di risk management sui fronti IT e cyber. Il che, a sua volta, implica investimenti in soluzioni e competenze adeguate alle nuove esigenze normative.

D'altro canto, il mancato rispetto delle regole significa incorrere non solo in problemi di compliance che potrebbero dare adito a provvedimenti e sanzioni pecuniarie, ma anche in danni reputazionali consistenti e in una potenziale perdita di vantaggio competitivo dovuta all'esclusione dalle filiere strategiche.

 

Quali sono le organizzazioni coinvolte dalla normativa NIS2

Ma da dove sorgono questi dubbi? La normativa NIS2 è abbastanza chiara nel definire ambiti e soggetti sottoposti ai requisiti del framework, e in generale riguarda le aziende europee che forniscono servizi vitali per la collettività, come quelle del settore energetico, dei trasporti, della sanità, del finance e delle infrastrutture digitali. Va precisato che anche le organizzazioni estere con sede negli Stati membri o che forniscono servizi ai cittadini dell'UE possono essere soggette alla direttiva.

Si tratta però di una semplificazione: operando una distinzione netta tra i soggetti destinatari, la NIS2 individua innanzitutto entità considerate essenziali, ovvero società di produzione e distribuzione di elettricità, gas, petrolio, idrogeno, teleriscaldamento e raffreddamento; aziende che si occupano di trasporto aereo, ferroviario, marittimo e stradale; ospedali, laboratori, centri di ricerca, farmacie e dispositivi medici; banche, società di consulenza e istituzioni finanziarie; e gestori dell'infrastruttura idrica, comprese le acque reflue e l'acqua potabile. A queste si aggiungono le entità considerate importanti, tra cui figurano i fornitori di servizi cloud, data center, reti di telecomunicazioni; le organizzazioni che offrono servizi ambientali e le società specializzate in servizi postali e di spedizione. Grande novità della normativa NIS2 è l'inclusione della pubblica amministrazione, con le entità governative centrali e regionali che entrano nel novero dei soggetti indirizzati dal framework.

La Direttiva NIS 2 si applica a tutte le organizzazioni medie e grandi, ovvero che abbiano, in termini di requisiti dimensionali, più di 50 dipendenti o un fatturato annuo pari o superiore a 10 milioni di euro. A parte casi specifici che possono essere chiariti dall'autorità competente NIS (nella fattispecie italiana, l'Agenzia per la Cybersicurezza Nazionale - ACN), le Pmi sono dunque generalmente esentate, ma devono comunque valutare la loro rilevanza nella catena di approvvigionamento. L'obiettivo della Direttiva NIS2 è infatti quello di potenziare la resilienza informatica delle filiere, e in questo senso anche una piccola organizzazione può risultare critica nel mantenimento di livelli adeguati di sicurezza. Dopotutto, la forza di una catena è quella del suo anello più debole.

 

Normativa NIS2: come capire se si rientra nel framework

Ed è qui che si arriva al vero punto dirimente: come si fa a capire se un'azienda non esplicitamente indicata dalla normativa NIS2 deve ottemperare alle prescrizioni del framework? Bisogna fare riferimento all'Agenzia per la Cybersicurezza Nazionale che, oltre a fungere da collettore delle informazioni condivise all'interno dell'ecosistema, ha anche il compito di classificare le tipologie di organizzazioni soggette alla direttiva e individuare ulteriori entità a cui applicarla.

L'ACN opera quindi, oltre che come responsabile dell'emanazione della normativa secondaria, anche come una vera e propria guida per le imprese potenzialmente destinatarie dei nuovi obblighi.

Per avere certezza del proprio status bisogna quindi interloquire con l'ACN o, in alternativa, effettuare un'analisi approfondita delle attività aziendali, dei rapporti di collaborazione in essere con gli altri operatori della filiera e delle dinamiche del settore di appartenenza. In entrambi i casi, è fondamentale avvalersi del supporto di esperti legali o, ancor meglio, di consulenti specializzati in gestione del rischio.

Per tutte le ragioni che abbiamo visto, infatti, dai temi della compliance a quelli della continuità operativa, passando naturalmente per le minacce cyber, la strategia di adeguamento alla normativa NIS2 implica una revisione profonda dei processi e degli strumenti di risk management aziendali.

Ecco perché Augeos risulta in questo caso il partner ideale sia per verificare l'impatto di eventuali incidenti cyber sulla catena del valore in cui si opera, sia soprattutto per costruire una roadmap che consenta di aderire ai dettami nella normativa NIS2 nel momento in cui sorgono nuove opportunità in aree di business coinvolte dalla direttiva.

Nello specifico, Augeos mette a disposizione delle imprese competenze certificate nell'ambito della risk governance, con profonde conoscenze di processo soprattutto in ambito finance, uno dei settori più delicati tra quelli considerati essenziali dalla normativa NIS. Si tratta di un know how che d'altra parte poggia su solide basi tecnologiche: Augeos ha infatti dato vita alla piattaforma GRC – Governance, Risk Management & Compliance, una soluzione software modulare e flessibile, che può essere configurata con diverse suite di strumenti, in grado di lavorare contemporaneamente e in modo complementare, garantendo:

  • la gestione del rischio operativo (modulo Risk Shelter)
  • la gestione del rischio di conformità (modulo NormageoS)
  • la gestione del rischio informatico (Augeos IT Risk Management)

 

Cosa occorre per risultare conformi alla normativa NIS2

Gli strumenti e le competenze di Augeos risulteranno essenziali per affrontare il percorso di compliance previsto dalla normativa NIS2. In particolare, le aziende che rientrano nel perimetro della direttiva o che ambiscono ad accedere a filiere che prevedono il rispetto dei suoi requisiti, potranno:

  1. Eseguire una valutazione dei rischi per identificare le vulnerabilità e le minacce alla rete e ai sistemi informativi dell'organizzazione. Questo aiuterà a capire l'attuale postura di sicurezza e le aree da migliorare.
  2. Implementare le misure di sicurezza appropriate sulla base dei risultati della valutazione dei rischi. La direttiva NIS2 delinea diversi requisiti, tra cui: misure tecniche (per esempio, firewall, crittografia, controlli di accesso), misure organizzative (piani di risposta agli incidenti, formazione sulla sicurezza per i dipendenti), sicurezza della catena di approvvigionamento.
  3. Stabilire e sviluppare un robusto piano di risposta agli incidenti che delinei come l'organizzazione reagirà agli incidenti di cybersecurity, anche sul piano della comunicazione, delle procedure di escalation e dei processi di recupero.
  4. Migliorare i meccanismi di segnalazione, in linea con quanto richiesto dalla direttiva NIS2, che impone la comunicazione tempestiva degli incidenti.
  5. Impegnarsi in programmi regolari di formazione e sensibilizzazione della popolazione aziendale.
  6. Monitorare costantemente i sistemi per individuare potenziali minacce e aggiornare regolarmente la strategia di cybersecurity.
  7. Collaborare con le autorità nazionali, a partire dall'ACN, in modo continuativo.

New call-to-action

Topic: Sicurezza Informatica

Post Correlati

NIS2 recepimento in Italia
NIS2 e recepimento in Italia: garantire la conformità ed evitare sanzioni
16 maggio 2025
Regolamento AI Act
Regolamento AI Act, come cambia il risk management per le banche
29 aprile 2025
AI Act: cos’è e cosa fare. Rischi, opportunità e sanzioni in UE per le aziende
11 marzo 2025

Resta informato sul Risk Management, iscriviti alla newsletter!

Post più letti

Topic

see all