La direttiva NIS2 (Network and Information Security 2) e il piu grande cambiamento normativo in cybersecurity che l'Europa abbia visto nell'ultimo decennio. Non e piu solo per le grandi infrastrutture critiche - NIS2 espande il perimetro a settori come il manifatturiero, la gestione dei rifiuti, il settore alimentare, i servizi postali, e molti altri. Se sei una PMI italiana in uno di questi settori, questa direttiva ti riguarda.
Il punto chiave: NIS2 introduce obblighi concreti di cybersecurity, non suggerimenti. Risk assessment obbligatorio, incident response entro 24 ore per la notifica iniziale, supply chain security, formazione del personale, e responsabilita diretta del management. Le sanzioni possono arrivare fino al 2% del fatturato globale. Non e piu qualcosa che si puo ignorare.
Cosa fare concretamente
Prima cosa: capire se rientri nel perimetro. NIS2 distingue tra "soggetti essenziali" e "soggetti importanti." La classificazione dipende dal settore e dalla dimensione dell'azienda. Un'azienda manifatturiera con piu di 50 dipendenti nel settore chimico, ad esempio, rientra quasi certamente. E anche se non rientri direttamente, i tuoi clienti grandi potrebbero richiederti compliance come parte della supply chain security.
Seconda cosa: non aspettare. L'errore peggiore e pensare "tanto c'e tempo." La compliance NIS2 non si implementa in un weekend. Serve un risk assessment serio, serve implementare controlli tecnici e organizzativi, serve documentazione. Per una PMI, 6-12 mesi e una timeline realistica se parti da zero.
E qui entra la mia esperienza con Cipher, la piattaforma che ho costruito per tradurre i rischi cyber in linguaggio business. Troppo spesso la compliance viene trattata come un esercizio puramente tecnico. Ma NIS2 richiede il coinvolgimento del management - e il management ha bisogno di capire i rischi nei propri termini, non in gergo tecnico.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →