Il Consiglio di Amministrazione che ignora la NIS2 sta prendendo una decisione, anche se non ne ha discusso in nessun board meeting. È una decisione di rischio, presa per omissione.
Chi rientra nel perimetro
La Direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024, non si applica "alle grandi aziende IT". Si applica a chiunque operi in 18 settori elencati negli Allegati I e II, superi le soglie dimensionali (50 dipendenti o 10 milioni di euro di fatturato) e sia classificato come soggetto essenziale o soggetto importante.
In pratica: energia, trasporti, sanità, acqua, infrastrutture digitali, PA, ma anche manifattura di dispositivi medici, chimica, alimentare, servizi postali, gestione dei rifiuti. Se un'azienda pensa "non è il mio settore", il primo passo non è la compliance: è la verifica del perimetro, con un parere formale, non con un'impressione.
Caso limite frequente: un'azienda manifatturiera di medie dimensioni, fuori dal perimetro diretto secondo l'Allegato I, scopre di doversi comunque adeguare perché è fornitore critico di un soggetto essenziale. L'Art. 21 della Direttiva impone infatti la gestione del rischio lungo la catena di fornitura: il cliente essenziale chiederà evidenze di conformità come requisito contrattuale, non come cortesia. La NIS2 si propaga a valle della catena, indipendentemente dalla classificazione formale dell'impresa.
Perché non è un tema IT
Chi relega la NIS2 all'ufficio sistemi ha già frainteso la norma. L'Art. 20 attribuisce la responsabilità della gestione del rischio agli organi di amministrazione, con possibilità di sanzioni personali e sospensione dalle funzioni gestionali in caso di violazioni gravi e reiterate. Per i soggetti essenziali le sanzioni pecuniarie arrivano a 10 milioni di euro o al 2% del fatturato globale, per gli importanti a 7 milioni o all'1,4%.
C'è poi un secondo livello, meno citato ma più concreto: la NIS2 diventa un requisito di accesso al mercato. Bandi pubblici, gare, contratti con soggetti essenziali iniziano a richiedere evidenze di conformità come condizione contrattuale. Chi non è pronto non perde solo in caso di incidente: perde nella fase di qualifica fornitori, prima ancora di competere sul prezzo.
Come si costruisce un percorso di adeguamento credibile
Un percorso serio segue quattro fasi, non una checklist compilata in un weekend.
1. Gap analysis strutturata. Valutazione dello stato attuale rispetto alle 10 misure minime dell'Art. 21: gestione del rischio, gestione degli incidenti, business continuity, sicurezza della catena di fornitura, sicurezza in fase di acquisizione e sviluppo, valutazione dell'efficacia delle misure, igiene informatica di base e formazione, crittografia, sicurezza delle risorse umane e controllo degli accessi, autenticazione a più fattori.
2. Governance e responsabilità. Nomina di un referente per la sicurezza con reporting diretto al board, non incastonato tre livelli sotto in organigramma. Il board deve approvare le misure di gestione del rischio e seguire percorsi di formazione specifici: la delega totale al CISO, senza comprensione né supervisione da parte degli amministratori, è essa stessa una non conformità.
3. Implementazione tecnica e organizzativa. Qui si concretizzano le 10 misure: dal patching gestito ai piani di incident response testati, non solo scritti. Un piano di risposta agli incidenti che nessuno ha mai simulato è un documento, non una capacità.
4. Notifica degli incidenti secondo i tempi previsti. Preallarme entro 24 ore dalla conoscenza dell'incidente significativo, notifica entro 72 ore, relazione finale entro un mese. Un'azienda che non ha mai testato la propria capacità di produrre questi report nei tempi previsti scoprirà il gap durante un incidente reale, il momento peggiore possibile per scoprirlo.
"Abbiamo già la certificazione ISO 27001, siamo a posto." Non è così. ISO 27001 è un ottimo punto di partenza per il sistema di gestione, ma la NIS2 richiede elementi specifici non sempre coperti: notifica obbligatoria con tempistiche stringenti, responsabilità personale degli amministratori, gestione della supply chain con requisiti contrattuali verso i fornitori. La certificazione riduce il gap, non lo elimina.
Quando agire
Il recepimento italiano è già in vigore. Le aziende nel perimetro devono registrarsi presso l'ACN (Agenzia per la Cybersicurezza Nazionale) secondo le finestre temporali comunicate per fascia dimensionale e settoriale, con obbligo di comunicare i dati identificativi e mantenerli aggiornati.
Il punto operativo non è la data di scadenza formale, ma il tempo necessario per arrivarci pronti: una gap analysis seria richiede settimane, l'implementazione delle misure tecniche mesi, la formazione del board e del personale un ciclo continuo. Chi inizia il percorso alla scadenza della registrazione arriva strutturalmente in ritardo sulla parte più difficile, quella che richiede cambiamento organizzativo reale, non solo documentale.
La domanda che conta davvero
Non è "siamo conformi alla NIS2". È: se oggi rilevassimo un incidente significativo, saremmo in grado di notificarlo all'ACN entro 24 ore con le informazioni corrette, e il nostro board potrebbe dimostrare di aver esercitato una supervisione adeguata sulla gestione del rischio? Se la risposta non è immediata e documentata, il percorso di adeguamento non è ancora iniziato: è solo stato programmato.
Vuoi valutare il tuo perimetro NIS2?
Il team Compliance di Valuemate affianca il board e l'IT nella gap analysis, nella governance e nell'implementazione delle 10 misure dell'Art. 21.
Parla con un esperto