La NIS2 inaugura l’era della sicurezza dimostrabile, imponendo tracciabilità tecnica, verificabilità continua e responsabilità documentata. Un nuovo paradigma che ridisegna governance, contratti e obblighi delle imprese nel sistema digitale europeo.
La Direttiva (UE) 2022/2555 comunemente conosciuta con l'acronimo “NIS2” rappresenta il più ampio intervento europeo in materia di sicurezza delle reti e dei sistemi informativi . Il legislatore europeo sempre più consapevole della crescente esposizione delle infrastrutture critiche a minacce digitali, ha scelto di superare l'approccio della precedente NIS, introducendo un modello di gestione del rischio che richiede non solo l'adozione di misure tecniche e organizzative, ma la loro dimostrabilità . La sicurezza informatica diventa così un obbligo strutturale, verificabile e tracciabile, destinato a incidere sulla governance interna, sui rapporti contrattuali e sulla responsabilità degli operatori. È la “prova del nove digitale”: un sistema in cui la conformità non si presume, ma si prova attraverso evidenze tecniche. La NIS2: contenuti essenziali e novità del quadro europeo La NIS2 definisce un quadro comune volto a garantire un elevato livello di sicurezza in tutta l'UE , estendendo il perimetro dei soggetti coinvolti e rafforzando gli obblighi di gestione del rischio. La direttiva si applica a un ampio numero di settori di elevata criticità: energia, trasporti, bancario e finanziario, sanitario, acqua potabile e reflua, infrastrutture digitali, servizi ICT gestiti, spazio e pubblica amministrazione e ad ulteriori settori critici quali servizi postali, gestione dei rifiuti, chimico, alimentare, manifatturiero avanzato e fornitori digitali. Gli Stati membri, alla luce della NIS2, sono chiamati a: adottare una strategia nazionale che definisca ruoli, responsabilità, politiche di gestione delle vulnerabilità, sicurezza della supply chain e programmi di formazione; individuare le entità essenziali e importanti , aggiornandone periodicamente gli elenchi secondo le linee guida della Commissione. La Direttiva, inoltre, rafforza il ruolo dei Computer Incident Response Team (di seguito CSIRT), incaricati di monitorare minacce e vulnerabilità, fornire allerta tempestive, assistere nella gestione degli incidenti e svolgere attività di analisi forense. A livello europeo la cooperazione è garantita dal gruppo di cooperazione e dalla rete EU‑CyCLONe, deputata alla gestione coordinata degli incidenti su larga scala. Sul piano sostanziale, la NIS2 impone misure tecniche e organizzative basate su un approccio “ all‑hazards ”: analisi del rischio, politiche di sicurezza, gestione degli incidenti, continuità operativa, sicurezza della supply chain, gestione delle vulnerabilità, uso della crittografia, autenticazione forte e formazione del personale. Gli organi di gestione devono approvare dette misure e vigilare sulla loro attuazione, rispondendo in caso di violazioni. Il regime di notifica degli incidenti è rafforzato e prevede obblighi tempestivi verso CSIRT e autorità competenti, introducendo, infine, poteri ispettivi, sanzioni e meccanismi di revisione tra pari per garantire un'applicazione uniforme. La prova del nove digitale: la sicurezza dimostrabile come nuovo standard La NIS2 inaugura un modello di sicurezza fondato sulla dimostrabilità tecnica , destinato a incidere in modo significativo sull'operatività delle imprese e sulla responsabilità degli organi di gestione. La capacità di documentare, ricostruire e provare l'effettiva attuazione delle misure di gestione del rischio diventa un elemento strutturale della governance digitale. Conclusioni e quadro italiano Il recepimento della NIS2 con il D.lgs. 138/2024 colloca l'Italia dentro un modello di sicurezza fondato sulla dimostrabilità tecnica , trasformando la gestione del rischio informatico in un obbligo strutturale e verificabile. Il decreto si inserisce nel quadro delineato dall' Agenzia per la Cybersicurezza Nazionale (ACN) , che assume un ruolo centrale quale Autorità nazionale competente, punto di contatto unico e CSIRT Italia, assicurando coordinamento operativo e raccordo con le reti europee. Il nuovo impianto normativo contiene: Una Strategia nazionale di cybersicurezza; l'integrazione del sistema di gestione delle crisi informatiche e la definizione delle Autorità di settore NIS , chiamate a collaborare con l'ACN nelle attività di vigilanza. i criteri per individuare i soggetti rientranti nel perimetro applicativo; i relativi obblighi di gestione del rischio , notifica degli incidenti ; l' adozione delle misure tecniche e organizzative previste dagli articolo 23 e seguenti. Il D.lgs. 138/2024 rafforza anche la cooperazione internazionale, prevedendo la partecipazione italiana al Gruppo di cooperazione NIS , alla rete EU‑CyCLONe e alla rete dei CSIRT nazionali , elementi essenziali per la gestione coordinata degli incidenti su larga scala. In questo contesto, la sicurezza dimostrabile diventa il nuovo standard operativo: non più un adempimento formale, ma un requisito sostanziale che condiziona la resilienza dei servizi essenziali e la fiducia nel mercato digitale. La capacità di provare l'effettiva attuazione delle misure di sicurezza rappresenta oggi il vero discrimine della responsabilità organizzativa nel sistema europeo della cybersicurezza.