Molte imprese sono in ritardo, ma la direttiva europea NIS2 sulla cybersicurezza è già entrata in vigore. E nel 2026 inizierà la fase più delicata: le aziende dovranno dimostrare di aver avviato il percorso previsto, o rischieranno sanzioni.
La nuova direttiva europea sulla sicurezza informatica, chiamata NIS2 (Network and Information Security), non è più solo un tema per esperti: riguarda direttamente imprese, enti pubblici e fornitori tecnologici, che devono rispettare una serie di obblighi concreti.
Approvata a livello europeo nel 2023 e recepita in Italia con il Decreto Legislativo 123/2024, la direttiva è ora in vigore. Ha sostituito la precedente normativa (NIS1) e ha introdotto regole più severe, obblighi estesi e controlli più incisivi.
Il suo obiettivo è rafforzare la resilienza digitale dell’Unione Europea, cioè la capacità dei sistemi e dei servizi essenziali di resistere ad attacchi informatici, interruzioni o incidenti.
Ma come funziona e chi coinvolge la NIS2? Andando a leggere il testo ufficiale della direttiva, scopriamo che le imprese coinvolte dalla normativa sono suddivise in due categorie principali:
Soggetti essenziali:Aziende o enti che operano in settori strategici come energia, sanità, trasporti, finanza, acqua, infrastrutture digitali
Soggetti importanti:Imprese di altri settori rilevanti come la manifattura, la logistica, i servizi tecnologici, la produzione alimentare
Entrambe le categorie sono obbligate a:
La NIS2 non si applica alle microimprese e alle piccole imprese, a meno che non operino in settori altamente sensibili.
.png)
Se l’azienda supera anche solo uno di questi due criteri e opera in uno dei settori indicati, rientra nella NIS2. Anche imprese sotto soglia possono essere incluse se ritenute critiche per la sicurezza nazionale, per esempio:
Queste vengono valutate caso per caso dall’ACN (Agenzia per la Cybersicurezza Nazionale).
.png)
Molte organizzazioni si stanno accorgendo solo ora che alcune scadenze previste dalla direttiva sono già passate. Chi rientra tra i soggetti obbligati, infatti, avrebbe dovuto completare la registrazione sul portale ACN entro l’estate 2025. Non farlo comporta già una situazione di irregolarità.
La direttiva NIS2 coinvolge direttamente la dirigenza aziendale. Non è sufficiente delegare i compiti al reparto informatico: il consiglio di amministrazione, i dirigenti e gli amministratori devono essere informati, coinvolti e responsabili delle scelte in materia di sicurezza. Ignorare l’obbligo di adeguamento può portare a conseguenze legali personali, non solo aziendali.
.png)
Molte imprese vedono la NIS2 come un obbligo formale, da gestire con il minimo sforzo. Ma in realtà, l’adeguamento normativo può trasformarsi in un vantaggio competitivo.
Implementare un sistema strutturato di protezione informatica, infatti:
Sempre più imprese, infatti, stanno includendo gli aspetti legati alla cybersicurezza all’interno dei propri bilanci di sostenibilità o delle strategie ambientali, sociali e di buona gestione (ESG). Essere conformi alla NIS2 oggi non è solo un obbligo, ma un segnale forte di affidabilità e preparazione.
Quantico supporta aziende e pubbliche amministrazioni nel costruire un sistema di sicurezza informatica conforme, efficace e integrato nei processi aziendali. Contattaci per una consulenza o per iniziare subito un piano di adeguamento strutturato.
