Passa al contenuto principale Passa alla navigazione Passa al piè di pagina
A tempo limitato: Programma Design Partner. Piano BUSINESS gratuito per sempre.

Download gratuito · 24 pagine · PDF A4

Direttiva NIS2: guida pratica per CISO e responsabili della conformità

Una guida in inglese di 24 pagine della Direttiva (UE) 2022/2555. Descrive l'ambito di applicazione, le dieci misure dell'Articolo 21, i tempi di notifica dell'Articolo 23 (24h/72h/1 mese), i settori degli Allegati I e II, le sanzioni amministrative e una roadmap pratica alla conformità in 10 step. Redatta da Rediacc; non è una traduzione ufficiale.

Scarica il PDF Apri nel browser

Questo documento è una sintesi non ufficiale. Per l'interpretazione vincolante, consultare il testo ufficiale alla GU L 333/80, 27.12.2022.

Cosa c'è nel PDF

Diciannove sezioni, strutturate per il CISO o il responsabile della conformità che vuole capire la sostanza della direttiva senza dover leggere 73 pagine di considerando e articoli.

  1. Sintesi esecutiva
  2. Scopo e base giuridica
  3. Da NIS1 a NIS2: perché un nuovo regolamento?
  4. Ambito di applicazione e aree escluse
  5. Definizioni chiave
  6. Categorie di soggetti: soggetti essenziali e importanti
  7. Settori interessati (Allegati I e II)
  8. Obblighi degli Stati membri
  9. Misure di gestione del rischio di cybersicurezza (Articolo 21)
  10. Obblighi di notifica degli incidenti (Articolo 23)
  11. Sicurezza della catena di approvvigionamento
  12. Responsabilità degli organi di gestione
  13. Strutture di cooperazione a livello UE
  14. Vigilanza e applicazione
  15. Sanzioni amministrative
  16. Tempi di attuazione e transizione
  17. Implicazioni per le imprese extra-UE
  18. Tabella di marcia pratica alla conformità (10 passi)
  19. Conclusioni e valutazione

Tre guide complementari

Il PDF mappa la direttiva. Le guide complementari trasformano gli obblighi in decisioni di procurement e operative, un pubblico per volta.

L'Articolo 21(2)(d) è una questione di vendor

Perché la lista dei vendor di terze parti si riduce quando il data plane rimane completamente nei tuoi server. Per CISO e responsabili degli acquisti che stanno aggiornando i contratti di fornitura nel 2026.

Leggi la guida →

Efficacia continua senza teatrino

Gli Articoli 21(2)(e), (f) e 23 letti insieme. Il fork a tempo costante che rende realistiche le esercitazioni settimanali e la tempistica di notifica dell'Articolo 23 che non puoi rispettare senza artefatti di livello forense. Per SRE e responsabili operativi.

Leggi la guida →

Cosa ci hanno detto i clienti nel primo ciclo di audit NIS2

Il pacchetto di cinque strumenti per la conformità che le entità essenziali del mercato medio stanno silenziosamente assemblando, quale parte sostituisce un control plane self-hosted e le voci di costo che rimangono comunque tue. Per CFO e responsabili acquisti che si avvicinano a un ciclo di rinnovo.

Leggi la guida →

Domande frequenti

È una traduzione ufficiale della direttiva?

No. È una sintesi non ufficiale in inglese volta a rendere accessibili la struttura e gli obblighi della direttiva. Per l'interpretazione vincolante, consultare il testo ufficiale alla GU L 333/80 (27 dicembre 2022) o tramite EUR-Lex (CELEX 32022L2555). Gli atti di recepimento nazionali nel tuo Stato membro potrebbero imporre obblighi più stringenti o con portata diversa rispetto alla direttiva stessa.

Chi rientra nell'ambito di NIS2?

I soggetti che operano nei settori dell'Allegato I (energia, trasporti, banche, mercati finanziari, salute, acqua, infrastrutture digitali, amministrazione pubblica, spazio) o dell'Allegato II (servizi postali, rifiuti, sostanze chimiche, alimentare, manifatturiero, fornitori digitali, ricerca) e che soddisfano la soglia di medie imprese (50+ dipendenti o fatturato superiore a EUR 10 milioni, ai sensi della Raccomandazione 2003/361/CE). Alcuni soggetti rientrano nell'ambito indipendentemente dalle dimensioni: registri TLD, fornitori DNS, prestatori di servizi fiduciari e amministrazioni pubbliche centrali. Le sezioni 4, 6 e 7 del PDF coprono l'ambito in dettaglio.

Quando è entrata in vigore NIS2 e quale scadenza ha la trasposizione?

La direttiva è entrata in vigore il 16 gennaio 2023. Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale; l'applicazione è iniziata il 18 ottobre 2024 (la stessa data in cui NIS1 è stata abrogata). La tempistica completa, inclusa la scadenza per la trasmissione dell'elenco dei soggetti alla Commissione (17 aprile 2025) e il calendario delle revisioni periodiche, è nella sezione 16. Molti team sottovalutano quanto di questa tempistica è ormai dietro di loro.

Quali sono le sanzioni massime?

Per i soggetti essenziali: EUR 10.000.000 o il 2% del fatturato annuo mondiale, se superiore. Per i soggetti importanti: EUR 7.000.000 o l'1,4% del fatturato annuo mondiale, se superiore. La direttiva consente anche sanzioni non pecuniarie, inclusi divieti temporanei di gestione per i dirigenti di soggetti essenziali (misura di ultima istanza). La sezione 15 copre i fattori di determinazione delle sanzioni.

NIS2 si applica alle aziende extra-UE?

Sì, in due modi. Direttamente: i fornitori non UE di DNS, cloud, data center, CDN, MSP/MSSP, marketplace online, motori di ricerca e social network che offrono servizi nell'UE devono nominare un rappresentante UE e conformarsi. Indirettamente: qualsiasi fornitore non UE che fornisce prodotti o servizi a soggetti essenziali o importanti UE sarà soggetto a requisiti contrattuali di sicurezza della catena di approvvigionamento imposti dai loro clienti UE ai sensi dell'Articolo 21(2)(d). La sezione 17 copre entrambi.

Come funziona la notifica degli incidenti ai sensi dell'Articolo 23?

Tre scadenze, tutte attivate dal momento in cui si "viene a conoscenza" di un incidente significativo: 24 ore per un primo avviso, 72 ore per la notifica completa dell'incidente e un mese per il rapporto finale. I destinatari del servizio devono anche essere informati senza ingiustificato ritardo se una minaccia informatica significativa è probabile. La sezione 10 contiene la matrice completa delle notifiche.

Informazioni su questa sintesi

Rediacc è una piattaforma di infrastruttura self-hosted registrata in Estonia (OÜ 17363830, IVA EE102920091). Questa sintesi è stata redatta nell'ambito del nostro programma di contenuti NIS2. Le guide complementari sopra descrivono come Rediacc affronta gli articoli specifici della direttiva, incluse le lacune dove Rediacc non è la risposta (ancora nessuna certificazione; nessuno strato GRC; nessuna gestione della notifica dell'Articolo 23; MFA solo via portale). Per la mappatura pubblica delle capacità, vedere NIS2 and DORA nella documentazione.

Inviaci il tuo questionario per i vendor o le tre principali voci di sicurezza del budget dell'anno scorso. Risponderemo sulla base di un'istanza di test presso i nostri server, per iscritto, incluse le lacune riscontrate. Oppure scarica il PDF e condividilo con un collega.

Scarica il PDF