Cybersicurity. Italia in primo piano

La nuova Direttiva NIS 2 segna un passo decisivo per la sicurezza digitale in Europa. Anche l’Italia si muove con determinazione, recependo la normativa e definendo nuove regole per proteggere settori strategici. Di seguito, un approfondimento sui principali ambiti di intervento previsti.

Ambiti di intervento degli obblighi di base NIS 2 secondo ACN

La Direttiva NIS 2,  (Network and Information Security Directive 2) è la normativa europea più recente e completa in materia di cybersicurezza, adottata per rafforzare la protezione delle reti e dei sistemi informativi nell’Unione Europea. Entrata in vigore il 17 gennaio 2023, è stata recepita in Italia dal D.Lgs. 138/2024 e attuata dall’Agenzia per la Cybersicurezza Nazionale (ACN). Questa direttiva introduce un quadro di obblighi di base per i cosiddetti “soggetti essenziali” e “soggetti importanti” operanti in settori critici. Gli ambiti di intervento degli obblighi di base sono dettagliati nelle recenti determinazioni dell’ACN, in particolare nella Determinazione n. 164179/2025.

Soggetti e Settori Interessati

Gli obblighi si applicano a organizzazioni pubbliche e private che rientrano in 18 settori critici, suddivisi tra “Settori ad Alta Criticità” e “Altri Settori Critici” del decreto NIS, quali: energia, trasporti, sanità, bancario, infrastrutture digitali, pubblica amministrazione, servizi ICT, alimentare, chimico, ricerca. L’applicazione dipende anche da soglie dimensionali, ad esempio medie e grandi imprese, ma alcune categorie sono incluse indipendentemente dalla dimensione. Gli obblighi di base NIS 2 impongono un cambio di paradigma: non basta adeguare le infrastrutture IT, ma occorre rafforzare l’intero sistema di gestione della sicurezza, con audit periodici, procedure documentate, formazione continua, coinvolgimento della direzione e attenzione alla supply chain. L’approccio richiesto è simile a quello delle certificazioni ISO di sicurezza (es. ISO 27001), ma con requisiti specifici e obbligatori per legge.

In breve, gli ambiti di intervento degli obblighi di base NIS 2 secondo ACN comprendono: governance, gestione del rischio, misure tecniche e organizzative, notifica degli incidenti, sicurezza della supply chain, formazione, continuità operativa e, per alcuni, sicurezza DNS – (Domain Name System) la tecnica di difesa infrastrutturale dagli attacchi informatici.