norppa.io
Guide

Guida NIS2 · 10 min

Come conformarsi a NIS2: una roadmap passo dopo passo

NIS2 non è una checklist da completare una volta. È un obbligo continuo, sostenuto dalla responsabilità della dirigenza e dall'applicazione da parte delle autorità. Ma il percorso verso la conformità è ben definito. Questa guida espone i passi in ordine: stabilire se rientrate nell'ambito, registrarvi presso la vostra autorità, responsabilizzare formalmente la dirigenza, attuare le misure di gestione del rischio, mettere in sicurezza la supply chain, predisporre la notifica degli incidenti e mantenere tutto dimostrabile nel tempo. Ogni passo rimanda a una guida più approfondita quando serve.

Punti chiave

  • NIS2 (direttiva (UE) 2022/2555) doveva essere recepita nel diritto nazionale entro il 17 ottobre 2024; gli obblighi si applicano tramite la legge di recepimento di ciascuno Stato membro.
  • La conformità segue una sequenza chiara: ambito → registrazione → governance → misure dell'art. 21 → supply chain → notifica degli incidenti → garanzia continua.
  • È continua, non una tantum. La dirigenza è responsabile (art. 20) e le autorità di vigilanza possono verificare, ordinare la correzione e sanzionare (art. 34).

Cosa significa davvero «conformità NIS2»

NIS2 è una direttiva UE, quindi si applica tramite la legge nazionale che ogni Stato membro ha adottato per recepirla (il termine di recepimento era il 17 ottobre 2024; alcuni Stati sono stati in ritardo). Fissa una base di misure di gestione del rischio di cybersicurezza (art. 21), notifica degli incidenti (art. 23), governance e responsabilità (art. 20) e registrazione presso un'autorità competente, il tutto applicato mediante verifiche e sanzioni (art. 34).

Fondamentale: è un sistema di gestione, non un certificato. Non si «supera» NIS2 una volta; le misure si gestiscono, si dimostrano e si migliorano in continuo, e la vostra dirigenza ne è personalmente responsabile. I passi seguenti vi portano a una base difendibile e vi ci mantengono.

Chi deve conformarsi

Soggetti essenziali e importanti: organizzazioni medie e grandi nei settori degli allegati I/II (energia, trasporti, sanità, acqua, infrastrutture digitali, pubblica amministrazione, manifattura e altro). Confermate il vostro livello con la guida «Chi rientra nell'ambito di NIS2».

Coinvolto indirettamente

Anche senza designazione, l'obbligo sulla supply chain vi raggiunge: i soggetti nell'ambito devono valutare i loro fornitori (art. 21(2)(d)), quindi affronterete questionari, richieste di prove e monitoraggio continuo tramite i vostri contratti.

La roadmap, passo dopo passo

Sette passi, in ordine. Ciascuno si basa sul precedente.

Passo 1

Confermate ambito e livello. Stabilite se siete un soggetto essenziale o importante in base ai settori degli allegati I/II e alle soglie dimensionali, e collocate i vostri fornitori.

Passo 2

Registratevi presso la vostra autorità competente. La maggior parte degli Stati membri impone ai soggetti nell'ambito di registrarsi (nome, settore, contatti, intervalli IP) ai sensi della propria legge di recepimento.

Passo 3

Responsabilizzate la dirigenza. L'organo di gestione deve approvare le misure di gestione del rischio, vigilare su di esse ed essere formato (art. 20), e può essere ritenuto responsabile.

Passo 4

Attuate le misure dell'art. 21(2): le dieci misure di base, applicate in modo proporzionato al vostro rischio (vedi l'elenco sotto).

Passo 5

Mettete in sicurezza la supply chain. Valutate e monitorate il rischio informatico dei fornitori (art. 21(2)(d)) con classificazione, questionari e prove continue, non una verifica una tantum.

Passo 6

Predisponete la notifica degli incidenti. Siate in grado di inviare il preallarme entro 24 ore, la notifica entro 72 ore e la relazione finale entro un mese al vostro CSIRT (art. 23).

Passo 7

Rendetela continua e dimostrabile. Monitorate, testate, documentate e riesaminate così da poter dimostrare, su richiesta, che le misure funzionano.

Le misure dell'articolo 21(2)

Il passo 4 in dettaglio. NIS2 richiede, in modo proporzionato, almeno:

  • (a) Analisi dei rischi e politiche di sicurezza dei sistemi informativi.
  • (b) Gestione degli incidenti: rilevamento, risposta e ripristino.
  • (c) Continuità operativa: backup, ripristino in caso di disastro e gestione delle crisi.
  • (d) Sicurezza della supply chain, compresa la sicurezza dei rapporti con fornitori e prestatori diretti.
  • (e) Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione, compresi la gestione e la divulgazione delle vulnerabilità.
  • (f) Politiche e procedure per valutare l'efficacia delle misure.
  • (g) Igiene informatica di base e formazione sulla sicurezza.
  • (h) Crittografia e, se opportuno, cifratura.
  • (i) Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli attivi.
  • (j) Autenticazione a più fattori, comunicazioni voce/video/testo protette e comunicazioni di emergenza protette.

Perché non «finisce» mai davvero

Le misure non sono un progetto con un traguardo. NIS2 si attende che ne valutiate l'efficacia (art. 21(2)(f)), e le autorità di vigilanza possono svolgere verifiche, richiedere prove, emettere istruzioni vincolanti e imporre sanzioni (art. 34): per i soggetti essenziali fino a 10 milioni di euro o il 2 % del fatturato annuo mondiale, se superiore. Anche la dirigenza può essere ritenuta personalmente responsabile.

Ecco perché l'ultimo passo conta di più: il divario tra «abbiamo scritto una policy» e «possiamo dimostrare che funziona oggi» è esattamente ciò che un revisore (o la due diligence di un cliente) vi chiede di colmare. Il monitoraggio continuo e le prove conservate trasformano uno sforzo una tantum in una posizione difendibile e ripetibile.

NIS2 si applica tramite il diritto nazionale, e i dettagli (meccanica di registrazione, scadenze, specificità settoriali, livelli di sanzione) variano da uno Stato membro all'altro. Confermate i dettagli presso la vostra autorità nazionale competente.

Da dove iniziare?

La vostra prima mossa dipende dalla vostra situazione:

Rientrate chiaramente nell'ambito (essenziale o importante)

Iniziate dal passo 1 per confermare il livello, poi registratevi e informate la dirigenza. Usate la guida sulla responsabilità della dirigenza per coinvolgere presto il consiglio.

Non siete sicuri di rientrare nell'ambito

Iniziate dalla guida «Chi rientra nell'ambito di NIS2», settori e soglie dimensionali, prima di investire in controlli. Non date per scontata un'esenzione; la supply chain può comunque raggiungervi.

Siete fornitori di soggetti nell'ambito

Anche senza designazione propria, aspettatevi questionari fornitori e monitoraggio. Le guide su questionario e checklist mostrano cosa vi sarà chiesto di dimostrare.

Avete già la ISO 27001

Gran parte del passo 4 si riporta, ma non la notifica di legge degli incidenti, la registrazione e la responsabilità della dirigenza. La guida ISO 27001 mappa ciò che resta.

Fonti: Direttiva (UE) 2022/2555 (NIS2) e la vostra legge nazionale di recepimento. NIS2 si applica tramite il diritto nazionale; confermate meccanica di registrazione, scadenze e livelli di sanzione presso la vostra autorità competente.

Come aiuta norppa.io

norppa.io è costruito per i passi 5 e 7, le parti supply chain e prova continua che la maggior parte dei team trova più difficili. Monitora ogni dominio fornitore su più di cento punti di controllo ogni giorno (quelli sensibili al tempo ogni sei ore), associa ogni rilievo all'articolo NIS2 interessato e mantiene un registro datato ed esportabile per il vostro fascicolo fornitori.

I questionari di autovalutazione colgono i controlli di processo e contrattuali, e ogni risposta viene affiancata al profilo tecnico in tempo reale: così che, quando un revisore o un cliente vi chiede di dimostrare che la sicurezza della supply chain funziona davvero, disponete di prove attuali e corroborate anziché di un foglio di calcolo della primavera scorsa.

Prova continua per i passi 5 e 7

Guardate un rapporto fornitore di esempio (rilievi, mappatura degli articoli NIS2 e prove) in circa due minuti.

Vedi rapporto di esempio
Guarda la dashboard di esempio

Guide correlate

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

NIS2 e il requisito della supply chain: cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

NIS2 Art. 21(2): checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il tuo SGSI, e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi

In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.

Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain

Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.

Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)

Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.