Post di Gilberto Nava, Equity Partner, ed Elisabetta Nunziante, Senior Associate dello Studio Gatti Pavesi Bianchi Ludovici* – 

La digitalizzazione dell’economia europea ha accelerato, portando con sé non solo opportunità ma anche una crescente esposizione a minacce informatiche.
Per rispondere a questa sfida, l’Unione Europea ha introdotto la Direttiva UE 2022/2555 (cd. “Direttiva NIS2”) relativa a misure per un livello comune elevato di cibersicurezza, recepita in Italia dal Decreto Legislativo 138/2024 dello scorso ottobre(cd. “Decreto NIS”).

Cosa cambia con la NIS2?

La Direttiva NIS2 rappresenta un’evoluzione significativa rispetto alla precedente Direttiva (UE) 2016/1148 (cd. “Direttiva NIS1”). Tra le principali novità troviamo:

1. 1. Campo di applicazione esteso: la platea di soggetti tenuti al rispetto degli obblighi in materia di cybersecurity è significativamente più ampia rispetto agli otto settori critici considerati dalla Direttiva NIS1. La Direttiva NIS2 include non solo imprese in settori critici come energia e trasporti, ma anche imprese medie e grandi attive, ad esempio, nei settori della produzione alimentare, automobilistica, chimica, elettronica e industriale, nonché in ambito farmaceutico e biomedico.
2. 2. Notifiche tempestive degli incidenti: gli incidenti significativi dovranno essere notificati al Computer Security Incident Response Team (cd. CSIRT) dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore, con aggiornamenti in 72 ore e un rapporto finale entro un mese. Questo mira a garantire una gestione tempestiva ed efficace delle emergenze.
3. 3. Responsabilità del management: la Direttiva NIS2 impone una maggiore responsabilità a dirigenti e amministratori che devono assicurarsi che le politiche di cybersecurity siano implementate e che i propri dipendenti siano adeguatamente formati. Il Decreto NIS, infatti, prevede, in caso di mancata ottemperanza gli obblighi in materia di cybersicurezza, la sanzione amministrativa accessoria della incapacità a svolgere funzioni dirigenziali.
4. 4. Sanzioni più severe: le multe possono raggiungere il 2% del fatturato globale per le entità essenziali.

La gestione dei fornitori e delle catene di approvvigionamento 

Le società nel perimetro sono responsabili anche della conformità dei propri fornitori. Si rende, quindi, essenziale una due diligence accurata lungo tutta la catena di approvvigionamento e una revisione dei contratti esistenti e dei modelli che saranno utilizzati nel futuro.

La rimodulazione delle misure contrattuali rappresenta, soprattutto per le medie imprese, un obiettivo significativo. Infatti, spesso il potere negoziale delle società di medie dimensioni nei confronti dei fornitori di sistemi informativi e reti è limitato.

Dall’altro lato, gli obblighi sulla catena di approvvigionamento contribuiscono ad ampliare ulteriormente l’ambito di applicazione della Direttiva NIS2. Infatti, alcuni soggetti, pur non essendo formalmente inclusi nel perimetro, subiranno indirettamente gli effetti di tale normativa alla luce degli obblighi che gli saranno imposti contrattualmente dai propri clienti.

NIS2 e difficoltà di implementazione per i gruppi societari

L’implementazione della Direttiva NIS2 pone sfide complesse per i gruppi societari internazionali che dovranno armonizzare le misure di sicurezza in entità giuridiche con livelli tecnologici e contesti normativi diversi. La gestione della supply chain aggiunge complessità, poiché ogni entità potrebbe avere fornitori e partner differenti, ciascuno con standard di sicurezza variabili. Definire ruoli e responsabilità chiari, coordinare le segnalazioni di incidenti e relazionarsi con le autorità nei vari Stati membri richiede un notevole sforzo organizzativo. Inoltre, garantire formazione uniforme e rispettare obblighi proporzionati al rischio in ambito multinazionale comporta investimenti significativi, aggravati dalla necessità di svolgere costante monitoraggio delle normative locali e dei rischi globali.

L’opportunità competitiva della compliance

Sebbene la conformità alla DirettivaNIS2 comporti costi iniziali, i benefici a lungo termine superano le difficoltà. Migliorare la resilienza informatica non solo protegge le aziende da sanzioni e danni reputazionali, ma rafforza la fiducia di clienti e partner commerciali. Inoltre, un solido sistema di sicurezza può diventare un vantaggio competitivo, distinguendo l’azienda in un mercato sempre più attento alla cybersecurity.

Come adeguarsi alla Direttiva NIS2

L’approccio proporzionato al rischio, richiesto dalla Direttiva NIS2, impone di implementare misure di sicurezza calibrate in funzione delle vulnerabilità specifiche e del livello di esposizione dei processi, ottimizzando così la resilienza senza inutili sprechi di risorse.

Il primo step per l’adeguamento alla Direttiva NIS2, è condurre un’analisi approfondita dello stato dell’arte della società tramite audit e gap analysis, identificando le vulnerabilità esistenti e confrontandole con i requisiti previsti dalla Direttiva NIS2.

Inoltre, la definizione dei livelli di criticità dei processi di business è essenziale per garantire una gestione efficace delle risorse e dei rischi. Considerare aspetti quali i costi operativi, le risorse umane richieste, la necessità di garantire continuità aziendale e l’impatto potenziale su clienti e partner esterni (anche in termini di penali e clausole risolutive) permette di classificare le attività e i relativi rischi, in base alla loro rilevanza strategica.

(Designed by Freepik)

Oltre all’implementazione di misure tecniche come crittografia, autenticazione a doppio fattore e protocolli di continuità operativa, le società dovrebbero assicurarsi che le proprie procedure interne definiscano ruoli e responsabilità interne in modo puntuale. Una struttura ben definita non solo favorisce un’efficace gestione degli eventi critici, ma contribuisce anche a prevenire conflitti interni e a migliorare la reattività complessiva dell’organizzazione di fronte a potenziali minacce o vulnerabilità.

Un altro aspetto cruciale, come già accennato, riguarda la revisione dei contratti con i fornitori. È necessario prevedere clausole specifiche che rafforzino gli standard di sicurezza informatica lungo la supply chain, nonché ridefinire le modalità di selezione dei fornitori (anche costruendo su quanto già implementato in adeguamento all’art. 28 del Regolamento 679/2016 cd. “GDPR”)

La formazione del personale, a tutti i livelli aziendali, rappresenta un ulteriore elemento chiave per la riduzione del rischio associato agli errori umani, spesso causa principale di incidenti di sicurezza informatica. Investire in programmi strutturati di educazione alla cybersecurity, che includano workshop, simulazioni pratiche e aggiornamenti regolari, permette ai dipendenti di comprendere l’importanza delle buone pratiche nelle loro attività ordinarie e non. Parallelamente, è essenziale coinvolgere i vertici aziendali in percorsi di formazione specifica, volti a consolidare una cultura della sicurezza che parta dalla leadership.

I prossimi passi

L’implementazione della Direttiva NIS2 in Italia seguirà un percorso graduale.

Dal 1° dicembre le società interessate possono registrarsi sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN), con una prima scadenza al 28 febbraio per completare la procedura. Entro aprile 2025 verrà pubblicata una determina sugli obblighi di base, seguita, nel 2026, dalla definizione dei requisiti di conformità a lungo termine e dalla effettività dell’obbligo di notifica degli incidenti.

Nel periodo compreso tra aprile e ottobre 2026, tutte le società dovranno implementare le misure richieste. Nel frattempo, sono attesi DPCM che definiranno criteri e procedure per monitoraggio, vigilanza ed esecuzione, garantendo una conformità efficace e trasparente.

*Gatti Pavesi Bianchi Ludovici è uno studio legale tributario indipendente e full-service che conta oltre 160 professionisti e sede a Milano, Roma, Londra e Lussemburgo.