Perché la nuova direttiva europea sulla cybersicurezza cambia le regole del gioco

La Direttiva NIS2 (UE 2022/2555) ha rivoluzionato l’approccio alla sicurezza informatica in Europa. L’Italia, con il suo tessuto economico fatto di grandi imprese, PMI strategiche e una Pubblica Amministrazione spesso fragile sul fronte digitale, si prepara a un vero e proprio terremoto normativo.

Sono Eleonora Ranieri, avvocato a supporto di aziende e liberi professionisti, e, in questo articolo, scopriremo chi è coinvolto nella Direttiva NIS2 e perché bisogna agire subito.

Secondo le stime ufficiali del Governo italiano, la NIS2 coinvolgerà direttamente oltre 50.000 soggetti tra aziende private e pubbliche amministrazioni. È un salto importante rispetto alla precedente direttiva NIS (2016/1148), che si applicava solo a poche centinaia di operatori “essenziali”.

Chi sono i 50.000 soggetti coinvolti?

La platea coinvolta in Italia comprende due categorie principali:

• Enti essenziali: soggetti pubblici e privati operanti in settori ad alta criticità (energia, trasporti, sanità, digitale, banche, acqua, infrastrutture critiche, ecc.);
• Enti importanti: soggetti con meno rilevanza strategica ma comunque coinvolti per dimensioni o tipologia di attività (es. fornitori ICT, manifattura, gestione dati, logistica, chimica, ecc.).

Non serve essere una grande azienda: la soglia è fissata in 250 dipendenti o 50 milioni di euro di fatturato, ma anche PMI sotto soglia possono rientrare se operano in settori considerati “a rischio”.

Tra i soggetti coinvolti ci saranno:

• imprese private (manifattura, logistica, servizi IT, sanità, trasporti, energia, ecc.);
• società partecipate pubbliche;
• comuni, aziende sanitarie, università;
• fornitori digitali e cloud provider;
• enti di ricerca e centri di innovazione.

In molti casi, queste realtà non sono preparate ad affrontare l’impatto della normativa.

Un’opportunità per rafforzare l’impresa (o un rischio se ignorata)

La NIS2 non è solo un adempimento normativo, ma un’occasione per rafforzare il business su basi più solide. Investire oggi in:

• sicurezza IT e formazione,
• risk management e business continuity,
• adeguamento contrattuale e assicurativo,

significa non solo mettersi al riparo da sanzioni, ma diventare affidabili sul mercato. In un contesto globale dove le cyberminacce sono sempre più sofisticate, la resilienza digitale è un vantaggio competitivo.

Il ruolo centrale dei consulenti IT e degli avvocati

Per le imprese e gli enti pubblici, non sarà sufficiente una risposta tecnica. Sarà indispensabile un approccio integrato:

• legale,
• organizzativo,
• tecnologico.

La valutazione del rischio, la redazione di policy e procedure, la revisione dei contratti con fornitori e clienti, la formazione dei dirigenti sono ambiti dove il ruolo del consulente legale e del DPO sarà sempre più strategico.

Conclusione: meglio muoversi ora

La NIS2 è già in vigore a livello europeo e nazionale. Alcuni obblighi sono già scattati e molti altri   scatteranno entro pochi mesi.

Per questo è fondamentale non aspettare l’ultimo momento. Le imprese e le pubbliche amministrazioni coinvolte devono:

• mappare subito le attività soggette alla NIS2;
• avviare un percorso di adeguamento normativo e tecnico;
• dotarsi di un piano di continuità operativa e risposta agli incidenti;
• nominare le figure chiave e formare il personale.

L’Italia si trova davanti a una sfida senza precedenti sul piano della cybersicurezza. E questa volta, non saranno solo le “grandi” a doversi muovere: la direttiva coinvolge un’intera economia, e chi resta indietro lo fa a proprio rischio e pericolo.

Hai bisogno di valutare se la tua azienda o ente rientra tra gli obbligati dalla NIS2?

Posso supportarti con un’analisi personalizzata e un piano di compliance su misura. Contattami per una prima consulenza.