La NIS2 e la riforma della cybersicurezza: un nuovo assetto europeo e nazionale

La Direttiva NIS2, formalmente la Direttiva UE 2022/2555, rappresenta un importante passo avanti nel rafforzamento della cybersicurezza e della resilienza delle reti e dei sistemi informativi all’interno dell’Unione Europea. Introduce obblighi di sicurezza più stringenti ed estende l’ambito di applicazione a più settori e soggetti.

Dalla NIS1 alla NIS2: evoluzione normativa nella disciplina della cybersicurezza

Le criticità della Direttiva NIS1

Nel 2020, la Commissione europea ha avviato un processo di revisione della Direttiva UE 2016/1148, nota come NIS1. A seguito di un’approfondita valutazione del suo impatto e dell’efficacia nei vari Stati membri. Da tale valutazione sono emerse diverse criticità che ne hanno limitato l’efficacia nel garantire un livello adeguato di cybersicurezza nell’Unione Europea.

Innanzitutto, uno dei principali punti deboli risiedeva nell’ambito di applicazione eccessivamente limitato, sia per quanto riguarda i settori coinvolti, sia per la mancanza di chiarezza nei criteri di individuazione dei soggetti interessati. In particolare, la distinzione introdotta dalla NIS1 tra Operatori di Servizi Essenziali (OSE) e Fornitori di Servizi Digitali (FSD) si è rivelata, nel tempo, poco efficace. I criteri di classificazione spesso erano ambigui e applicati in modo disomogeneo nei diversi ordinamenti nazionali.

In secondo luogo, un’ulteriore debolezza era rappresentata dall’ampio margine di discrezionalità lasciato ai singoli Stati membri. Ciò si traduceva in significative differenze nella definizione dei requisiti minimi di sicurezza, nelle modalità di notifica e nella predisposizione delle sanzioni. In particolare, su quest’ultimo punto, la NIS1 si limitava a enunciare principi generali – quali proporzionalità, efficacia e dissuasività – delegando però interamente ai legislatori nazionali la concreta definizione delle sanzioni. Conseguentemente, si è generato un quadro normativo fortemente disomogeneo e, in alcuni casi, la scarsa incisività delle misure sanzionatorie ha indebolito l’effettiva applicazione della normativa.

Cosa cambia con la NIS2: obiettivi, novità e ambiti di applicazione

A partire da queste premesse, e in un contesto segnato da una rapidissima e pervasiva accelerazione dei processi di digitalizzazione in tutti i settori, è emersa la necessità di un quadro normativo più solido, coerente e armonizzato a livello europeo. In effetti, l’evoluzione delle minacce informatiche e la crescente interconnessione dei sistemi hanno reso indispensabile rafforzare la resilienza delle infrastrutture digitali e dei servizi essenziali.

È proprio in risposta a tali esigenze che è stata adottata la Direttiva (UE) 2022/2555, nota come NIS2. La sua finalità principale consiste nel superare i limiti strutturali della normativa precedente. Vuole fornire un impianto giuridico più coerente, vincolante e dettagliato, valido per tutti gli Stati membri. In particolare, la NIS2 amplia in modo significativo l’ambito di applicazione. Vengono incluse un numero maggiore di settori e soggetti ritenuti critici per la sicurezza e il benessere della società e dell’economia.

Inoltre, vengono introdotti criteri uniformi per l’individuazione degli enti destinatari degli obblighi, stabilisce requisiti di sicurezza più stringenti e articolati, e rafforza i meccanismi di cooperazione tra le autorità nazionali competenti. A ciò si aggiunge, in maniera non secondaria, l’introduzione di un regime sanzionatorio armonizzato, volto a garantire un’applicazione più efficace e deterrente della normativa in tutta l’Unione.

Il D.Lgs. 138/2024: il recepimento della NIS2 in Italia

Nuovo assetto normativo nazionale per la cybersicurezza

Poiché si tratta di una direttiva dell’Unione Europea, la Direttiva (UE) 2022/2555 imponeva agli Stati membri l’obbligo di recepimento nel diritto nazionale entro il termine del 17 ottobre 2024. In tale prospettiva, l’Italia ha dato attuazione a questo obbligo attraverso il Decreto Legislativo 4 settembre 2024, n. 138, trasmesso al Parlamento per il parere previsto il 17 giugno 2024.

Con l’adozione del D.Lgs. 138/2024, viene dunque formalmente abrogato il precedente Decreto Legislativo 18 maggio 2018, n. 65, che recepiva la Direttiva NIS1. Si tratta, pertanto, di un passaggio normativo di grande rilevanza. Ha segnato una chiara discontinuità rispetto al passato e al contempo rafforza il quadro regolatorio nazionale in materia di cybersicurezza.

ACN: il nuovo centro di coordinamento

Il decreto individua nell’Agenzia per la Cybersicurezza Nazionale (ACN) l’Autorità nazionale competente per l’attuazione della Direttiva NIS2. Gli viene affidato un ruolo centrale di coordinamento, con responsabilità in materia di implementazione, monitoraggio, controllo e applicazione del regime sanzionatorio. In questa prospettiva, l’ACN diventa il punto di riferimento principale del sistema nazionale di sicurezza cibernetica. Il tutto in linea con l’approccio europeo che mira a garantire una governance più accentrata ed efficace.

Contestualmente, continuano a operare – seppur con competenze più circoscritte – le Autorità di settore NIS, già previste dalla NIS1 e richiamate anche dall’articolo 11 del D.Lgs. 138/2024. Queste continueranno a svolgere attività di supporto e vigilanza, in collaborazione con l’ACN, contribuendo così all’attuazione delle misure previste.

ACN e Framework Nazionale: il loro ruolo nella NIS2 in Italia

L’Agenzia per la Cybersicurezza Nazionale (ACN), in virtù di quanto stabilito dal Decreto Legislativo 4 settembre 2024, n. 138, svolge un ruolo centrale nell’attuazione della Direttiva (UE) 2022/2555 (NIS2) in Italia, essendo formalmente designata quale Autorità nazionale competente NIS.

Le attività di ACN per l’attuazione della NIS2

In attuazione dell’articolo 7 del decreto, l’ACN ha avviato una comunicazione istituzionale verso i soggetti potenzialmente coinvolti, notificando via PEC l’inclusione negli elenchi degli enti essenziali o importanti. A supporto di tale attività, il portale web dell’ACN costituisce un punto di riferimento informativo fondamentale. Mette a disposizione documentazione ufficiale, FAQ aggiornate e le Determinazioni adottate. Lo scopo è quello di chiarire le modalità operative per adempiere agli obblighi previsti dal decreto.

Il FNCDP v2.1: allineamento agli standard internazionali

Parallelamente all’entrata in vigore del nuovo quadro normativo, l’ACN ha promosso, insieme al CINI (Consorzio Interuniversitario Nazionale per l’Informatica) e all’Università di Roma “La Sapienza”, l’aggiornamento del Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP). In particolare, la sua versione 2.1 – Edizione 2025 si allinea concettualmente al NIST Cybersecurity Framework 2.0. Nel dettaglio, il nuovo impianto è articolato in sei funzioni operativeGovern, Identify, Protect, Detect, Respond, Recover –. Queste riflettono in modo particolare l’accento posto dalla Direttiva NIS2 sulla funzione di governance. Il ruolo strategico degli organi direttivi nella supervisione della sicurezza informatica viene così evidenziato.

Inoltre, il FNCDP v2.1 si compone di 23 Categorie e 114 Sottocategorie, corredate da riferimenti informativi associati a standard internazionalmente riconosciuti – come NIST SP 800-53, ISO/IEC 27000, CIS Controls, CSA CCM – nonché a normative europee di rilievo, in primis il Regolamento (UE) 2016/679 (GDPR).

Le determinazioni dell’ACN e gli allegati tecnici

In tale contesto si inserisce anche la Determinazione n. 164179 del 14 aprile 2025, attraverso cui l’ACN stabilisce i requisiti tecnici minimi per la gestione dei rischi e degli incidenti significativi, con un’articolazione in quattro allegati tecnici. Non a caso, tali allegati forniscono linee guida operative dettagliate, esplicitamente collegate alle sottocategorie del FNCDP v2.1, così da garantire una coerenza metodologica nell’applicazione delle misure richieste.

Significativamente, i requisiti tecnici vengono modulati in funzione della classificazione dei soggetti garantendo quindi un’applicazione proporzionata degli obblighi previsti.

Pur non imponendo l’adozione esclusiva del FNCDP, le Determinazioni dell’ACN ne fanno uno strumento privilegiato e ampiamente raccomandato. Di fatto, esso consente di tradurrere gli obblighi normativi in: controlli pratici, organizzare sistematicamente le misure di sicurezza e disporre di un riferimento concreto per audit e verifiche dell’Autorità. In questo senso, il FNCDP v2.1 si configura come una vera e propria “checklist nazionale”. Essa è coerente con gli standard internazionali e pienamente integrata nel sistema regolatorio e sanzionatorio introdotto dalla Direttiva NIS2.

Imprese e PA di fronte ai nuovi obblighi di cybersicurezza

In questo contesto, imprese e pubbliche amministrazioni sono chiamate a una responsabilità condivisa. Sarà quindi necessario adeguarsi tempestivamente ai nuovi obblighi, rafforzando i propri presidi di sicurezza e contribuire attivamente a un ecosistema digitale più resiliente.

La sfida è sicuramente ambiziosa, ma necessaria, per proteggere le infrastrutture critiche, tutelare i dati e garantire la continuità dei servizi essenziali in un contesto sempre più interconnesso e vulnerabile.

,
, ,
Gianluca Osele

Gianluca Osele

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Consenso ai cookie GDPR con Real Cookie Banner