NIS2: cosa cambia per le aziende italiane nel 2025

La direttiva NIS2 (Network and Information Security 2) rappresenta il più significativo aggiornamento normativo in materia di cybersecurity a livello europeo degli ultimi anni. Con il recepimento nell’ordinamento italiano, migliaia di aziende si trovano ora a dover adeguare i propri processi IT entro scadenze precise.

Chi è soggetto a NIS2?

La direttiva amplia notevolmente il perimetro rispetto alla precedente NIS1. Sono coinvolti operatori di settori essenziali (energia, trasporti, bancario, sanità, infrastrutture digitali) e settori importanti (servizi postali, gestione rifiuti, produzione manifatturiera critica, fornitori digitali).

La soglia dimensionale si abbassa: rientrano anche le medie imprese con più di 50 dipendenti o oltre 10 milioni di fatturato nei settori indicati.

Gli obblighi principali

1. Governance del rischio: adozione di politiche di sicurezza formali, analisi del rischio periodica, procedure di gestione degli incidenti.
2. Continuità operativa: piani di business continuity e disaster recovery aggiornati e testati.
3. Sicurezza della supply chain: valutazione dei rischi legati ai fornitori terzi (software, hardware, servizi cloud).
4. Notifica degli incidenti: obbligo di segnalazione all’autorità competente entro 24 ore per gli incidenti significativi.

Come si adegua un’azienda?

Il percorso tipico che proponiamo inizia con una gap analysis rispetto ai requisiti NIS2, segue con la progettazione di un piano di remediation sartoriale (basato sulla maturità IT effettiva dell’organizzazione) e si conclude con l’implementazione e il monitoraggio continuo.

Non si tratta di un progetto una-tantum: NIS2 richiede un approccio sistematico e continuativo alla sicurezza.

---

Per una valutazione della vostra postura NIS2 contattaci a info@fenixvega.com.