Ultimo aggiornamento 25.09.2025
Il cyber risk è oggi uno dei rischi più rilevanti per le imprese, capace di incidere trasversalmente su attività, processi e stakeholder. Per questo motivo la gestione della sicurezza informatica non può più essere considerata un tema solo tecnico, ma deve diventare parte integrante della governance aziendale. Come tutti i rischi dovrà essere gestito anche attraverso la previsione di adeguati assetti organizzativi.
Con il Decreto Legislativo n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024, l’Italia ha recepito la Direttiva (UE) 2022/2555, meglio conosciuta come Direttiva NIS2. La normativa mira a garantire un elevato livello comune di cibersicurezza in tutta l’Unione Europea, anche in risposta al crescente numero di attacchi informatici che mettono a rischio le attività economiche e i servizi essenziali.
A chi si applica la NIS2?
L’art. 3 del decreto definisce l’ambito soggettivo della direttiva, distinguendo tra:
- Settori ad alta criticità: questi settori sono considerati vitali per il funzionamento socioeconomico dell’UE e, di conseguenza, le organizzazioni che operano in questi settori sono soggette a requisiti rigorosi in termini di sicurezza informatica. Ad esempio, energia (elettricità, gas, petrolio, idrogeno, teleriscaldamento), trasporti (aereo, ferroviario, marittimo, stradale), sanità, bancario e altri settori considerati vitali per il funzionamento socio-economico dell’UE.
- Settori critici: in aggiunta, la NIS 2 identifica “altri settori critici”, di cui fa parte un ulteriore gruppo di organizzazioni tenute a rispettare i requisiti di sicurezza imposti dalla direttiva. Rientrano in questa categoria, i servizi postali e di corriere, la gestione dei rifiuti, chimico, agroalimentare, produzione e distribuzione di alimenti, oltre ad altre attività rilevanti per la sicurezza collettiva.
👉 La direttiva si applica principalmente a medie e grandi imprese, secondo i criteri europei di classificazione, ma può includere anche realtà più piccole se considerate strategiche a livello nazionale.
👉 Sono interessati anche i soggetti della catena di fornitura delle organizzazioni rientranti nei settori sopra citati.
Obblighi per imprese
Il decreto introduce diversi adempimenti fondamentali:
- Registrazione presso l’ACN (Agenzia per la Cybersicurezza Nazionale) tramite autovalutazione.
- Nomina di un punto di contatto interno e di un sostituto, come interlocutori ufficiali con l’ACN.
- Notifica obbligatoria degli incidenti informatici.
- Adozione di misure tecniche e organizzative per la gestione del rischio cyber.
⏱ I soggetti hanno 9 o 18 mesi di tempo, a partire dall’iscrizione negli elenchi ACN, per adeguarsi agli obblighi previsti.
Il ruolo degli organi amministrativi e direttivi
La normativa attribuisce nuove responsabilità dirette agli organi di amministrazione e direzione:
- approvare le modalità di gestione del rischio informatico;
- vigilare sull’attuazione degli obblighi previsti dal decreto;
- assumere responsabilità in caso di inadempienze;
- seguire formazione obbligatoria in materia di sicurezza informatica e promuoverla all’interno dell’organizzazione.
Perché è una svolta importante
La Direttiva NIS2 rappresenta una vera e propria rivoluzione nella governance della cybersecurity: non si tratta più di una questione solo tecnica, ma di un tema che coinvolge strategia, organizzazione e responsabilità manageriali.
Per le imprese e le pubbliche amministrazioni, l’adeguamento alla normativa non è solo un obbligo, ma un’occasione per rafforzare la resilienza digitale e la fiducia di clienti, partner e cittadini.