La direttiva NIS2 è diventata obbligatoria in Italia con il Decreto Legislativo 138/2024. L'Italia ha recepito la direttiva europea – tardi, come spesso accade, ma l'ha fatto. E ora tocca alle aziende. Se siete qui a chiedervi se vi riguarda: probabilmente sì.
Cos'è NIS2 e perché cambia tutto
NIS2 è la nuova direttiva europea sulla sicurezza delle reti e delle informazioni. Sostituisce la NIS1 del 2016 con uno scope molto più ampio. Dove prima si parlava solo di infrastrutture critiche (energia, acqua, banche), ora rientrano anche aziende medie in settori come salute, trasporti, infrastrutture digitali, chimica, manifatturiero, servizi postali e corrieri.
La soglia: 50 dipendenti o 10 milioni di euro di fatturato in un settore interessato. Non è una legge per le grandi aziende. È una legge per le PMI.
„NIS2 introduce per la prima volta la responsabilità personale del management per la cybersicurezza. Non si può più delegare. Non si può dire 'è colpa dell'IT'."
Cosa richiede NIS2 concretamente
1. Gestione del rischio: Politiche di sicurezza documentate, analisi periodiche del rischio, controlli degli accessi, cifratura dei dati sensibili. Non carta – processi dimostrabili.
2. Notifica degli incidenti: Entro 24 ore dalla scoperta, prima valutazione. Report completo entro 72 ore. Questo presuppone che sappiate quando qualcosa va storto.
3. Sicurezza della supply chain: Siete responsabili anche dei vostri fornitori. Se il vostro provider cloud, il vostro gestionale o il vostro consulente IT non è sicuro, non lo siete neanche voi.
4. Responsabilità del management: L'amministratore delegato deve approvare le misure di sicurezza, monitorarne l'attuazione e può essere ritenuto personalmente responsabile. Sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale.
Il problema strutturale delle PMI italiane
Molte PMI italiane hanno i propri processi aziendali su software che non controllano. Dati nel cloud di un fornitore terzo. Automazioni su piattaforme esterne. ERP in abbonamento dove il fornitore decide quando arrivano gli aggiornamenti, chi accede ai dati, dove si trovano i server.
NIS2 chiede esattamente questo: Sapete chi ha accesso ai vostri dati? Potete dimostrare che la vostra infrastruttura è sicura? Riuscite a rilevare e segnalare un incidente entro 24 ore?
Chi non controlla la propria infrastruttura non può rispondere sì a nessuna di queste domande.
Il problema della supply chain in concreto: Se il vostro fornitore software subisce un attacco e voi non lo sapete entro 24 ore – perché non avete accesso ai log, non monitorate direttamente i server – siete voi a violare NIS2. Non il fornitore. Voi.
L'unica soluzione che funziona davvero
C'è un approccio che risolve la conformità NIS2 in modo strutturale, non cosmetico: infrastruttura propria, controllo completo. Software open source, self-hosted, su server che si vedono e si controllano direttamente.
Questo significa: monitoraggio in tempo reale con alert. Storico completo dei log. Processi di risposta agli incidenti che gestite voi. Nessun fornitore che decide quando arriva il prossimo aggiornamento di sicurezza.
Tycho Platform: la base conforme a NIS2 per la vostra azienda
ERPNext + self-hosted + monitoraggio completo. Documentabile, verificabile, di vostra proprietà.
NIS2 non aspetta – ma il primo passo è più semplice di quanto pensiate.
Se volete capire come appare un'infrastruttura controllabile e conforme a NIS2 per un'azienda della vostra dimensione, parliamone.