La Direttiva NIS2 rappresenta un passaggio decisivo nel modo in cui l’Unione Europea affronta la sicurezza informatica. Se la prima NIS aveva introdotto un quadro di riferimento iniziale, nel tempo sono emersi limiti evidenti: un perimetro ristretto, applicazioni disomogenee e una forte focalizzazione sugli aspetti tecnici.
Nel frattempo, il contesto digitale è profondamente cambiato. Le organizzazioni sono sempre più interconnesse, dipendono da fornitori esterni, utilizzano servizi cloud e piattaforme digitali condivise. In questo scenario, un incidente informatico non è mai un evento isolato, ma può propagarsi lungo l’intera filiera.
La NIS2 nasce per rispondere a questa complessità, introducendo un modello basato sulla governance del rischio. Il cambiamento più rilevante riguarda le responsabilità: le aziende non sono chiamate solo ad adottare misure di sicurezza, ma a dimostrare di conoscere i propri asset critici, valutare i rischi e gestire gli incidenti in modo strutturato.
Un elemento centrale è il coinvolgimento diretto degli organi di amministrazione e direzione, che diventano parte attiva del sistema di sicurezza. La cyber security esce dall’ambito esclusivamente tecnico e diventa una componente della governance aziendale.
In Italia, l’attuazione della NIS2 è coordinata dall’Agenzia per la Cybersicurezza Nazionale (ACN), con il supporto del CSIRT Italia, responsabile della gestione delle notifiche di incidente. Dal confronto emerso durante GlobalNeXt è stato chiarito che chi rileva un incidente non coincide necessariamente con chi è obbligato a notificarlo: anche in presenza di fornitori o servizi gestiti, la responsabilità resta in capo al soggetto NIS.
Le recenti determinazioni ACN segnano il passaggio definitivo all’operatività. Dal 1° gennaio 2026 scatteranno gli obblighi operativi di notifica, mentre dal 15 gennaio 2026 entrerà in vigore la disciplina generale prevista dal decreto NIS e dalle determinazioni attuative. Il tempo per prepararsi è limitato: affrontare ora la NIS2 significa ridurre il rischio e rafforzare la resilienza dell’organizzazione.