Intelligenza Artificiale Big Data Cybersecurity Data Center Internet4Things VitaDaCIO Agile4Executive

Normative

NIS2 compliance: implicazioni e novità per CIO e CISO

Home Cybersecurity
Partecipa al dibattito
Indirizzo copiato

La trasposizione della Direttiva NIS2 nei Paesi che l’hanno già recepita evidenzia un quadro frammentato, che richiede alle organizzazioni cross-border monitoraggio costante e una compliance strutturata. Le cose da sapere

Pubblicato il 29 apr 2026
Lorenzo Russo

Partner di Deloitte

NIS2 CIO
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Ottobre 2024 è passato e, con esso, la scadenza formale per il recepimento della Direttiva NIS2. Eppure, il panorama normativo europeo è tutt’altro che consolidato. La trasposizione di una Direttiva tanto ampia e pervasiva richiede tempo: a febbraio 2026, erano 191 i Paesi ad averla trasposta nel proprio ordinamento nazionale, ma con approcci profondamente diversi tra loro.

Per le organizzazioni che operano in più Paesi europei, questo implica orientarsi in un mosaico di obblighi che cambia da Paese a Paese, dai settori inclusi alle misure di sicurezza, dalle scadenze operative alle responsabilità dei vertici aziendali.

È quanto emerge dall’analisi comparativa condotta da Deloitte nel Whitepaper “Navigating NIS2 Compliance“, che ha ricostruito lo stato di recepimento in Europa evidenziando le trasposizioni completate da Austria, Belgio, Croazia, Cipro, Repubblica Ceca, Danimarca, Finlandia, Germania, Grecia, Ungheria, Italia, Lettonia, Lituania, Malta, Portogallo, Romania, Slovacchia, Slovenia e Svezia. A questi Stati Membri dell’UE, si aggiunge il Liechtenstein, che, in quanto parte dello Spazio Economico Europeo, è anch’esso interessato dall’applicazione della Direttiva. I restanti Paesi UE che non hanno ancora completato la trasposizione – tra cui Francia, Paesi Bassi e Spagna – sono attesi nel corso del 2026, a conferma di un panorama ancora in evoluzione.

L’Italia e il perimetro allargato

In Italia, il decreto legislativo di recepimento della Direttiva è in vigore da ottobre 2024 ed è stato progressivamente integrato da diverse determinazioni attuative, funzionali alla definizione operativa degli adempimenti.

Il legislatore nazionale ha scelto un approccio estensivo: rispetto alla Direttiva europea, il perimetro di applicazione è stato ampliato includendo, tra gli altri, i fornitori di trasporto pubblico locale, le istituzioni di ricerca con finalità educative e, aspetto meno noto, le entità operanti nell’ambito delle attività di interesse culturale. Questa scelta riflette una concezione più ampia del concetto di “infrastruttura critica” a livello nazionale.

Lorenzo Russo, Partner di Deloitte

Il framework di riferimento per l’implementazione delle misure di sicurezza è il Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025), basato sul NIST CSF 2.0, e declinato, tramite specifiche pubblicazioni, in set di controlli specifici per entità essenziali e importanti. A partire dalla ricezione della comunicazione di inserimento nell’elenco NIS, le organizzazioni dispongono di 18 mesi per adottare le misure di sicurezza di base (i cosiddetti “Obblighi di Base”), e di 9 mesi per adeguarsi all’obbligo di notifica degli incidenti significativi2. In questo modo il quadro nazionale combina un’estensione del perimetro con un percorso temporale definito, offrendo alle organizzazioni un orizzonte di pianificazione concreto, ma sfidante.

Registrazione: scadenze passate ed in arrivo

Uno dei primi obblighi previsti nell’attuazione della Direttiva NIS2 è quello di registrazione. La Direttiva individua come soggetti rientranti nel perimetro le imprese – pubbliche e private – che operano nei settori considerati critici e superano le soglie dimensionali UE (almeno “medie imprese” ai sensi della Raccomandazione 2003/361/CE)3. Spetta a queste organizzazioni verificare il proprio posizionamento rispetto ai criteri di inclusione e, qualora ricorrano le condizioni, procedere alla registrazione presso le autorità competenti di ciascuno Stato in cui operano.

Le tempistiche per adempiere a tale obbligo sono state fissate in modo eterogeneo a livello nazionale. Alcuni esempi: Italia (febbraio 2025), Belgio (marzo 2025), Grecia (settembre 20254), Lettonia e Lituania (aprile 2025), Finlandia (maggio 2025), Danimarca (ottobre 2025). In Germania la scadenza è stata fissata a marzo 2026 per la maggior parte delle organizzazioni, mentre in Polonia il termine è previsto per ottobre 2026.

L’Italia si distingue, inoltre, per l’introduzione di una finestra annuale dedicata alla registrazione o alla sua riconferma, affiancata da finestre per l’aggiornamento, su base annuale o continuativa, di ulteriori informazioni richieste, quali ad esempio l’elenco dei fornitori rilevanti, gli accordi di condivisione delle informazioni, i membri degli organi amministrativi e di direttivi, gli indirizzi IP.

Tre approcci alla sicurezza, tre livelli di prescrittività

Uno degli aspetti più rilevanti per le aziende5 – e in particolare per i CIO e i CISO – è la forte eterogeneità degli approcci nazionali alle misure di sicurezza richieste. L’analisi condotta evidenzia tre modelli distinti.

Il primo è l’approccio basato sulla maturità (tipicamente su scala CMMI): Paesi come Belgio6, Romania e Croazia adottano framework di controlli articolati per livelli, con soglie minime da raggiungere; è generalmente richiesto almeno il livello 3 su 5. Il secondo è l’approccio compliance-based, con vincolo di soddisfacimento dei controlli previsti, eventualmente differenziati per tipologia di soggetto, con liste di controlli più o meno dettagliate: tra gli altri, Italia, Ungheria, Lettonia, Lituania, Slovacchia, Repubblica Ceca, Grecia rientrano in questa categoria. Il terzo è l’approccio principle-based, adottato ad esempio da Finlandia, Danimarca e Germania (per il settore privato), in cui le organizzazioni godono di una maggiore flessibilità nel definire la propria politica di gestione del rischio applicando principi generali, anziché attenersi a elenchi prescrittivi di controlli.

Questa variabilità ha implicazioni pratiche immediate, in quanto un’organizzazione presente in più Paesi deve confrontarsi con set di requisiti diversi e, di fatto, con modelli di conformità non facilmente sovrapponibili.

In questo contesto, costruire un framework di controlli adattabile – mappabile sulle varie trasposizioni nazionali – diventa una decisione strategica, prima ancora che operativa.

Chi risponde: la responsabilità dei vertici aziendali

La NIS2 introduce un principio che molti vertici aziendali stanno ancora metabolizzando: la responsabilità – in termini di Accountability – del Management nella definizione e supervisione della strategia di gestione del rischio cyber dell’organizzazione, nella propria formazione e di quella di tutti i dipendenti sui rischi e sulle minacce informatiche.

Le trasposizioni nazionali hanno spesso rafforzato questo messaggio. In Italia, il Management Body è identificato negli organi amministrativi e direttivi – il Consiglio di Amministrazione per le aziende private – con responsabilità che includono aggiuntive come l’approvazione dei piani di sicurezza, compresi quelli sulla continuità operativa e sulla gestione delle vulnerabilità. In Croazia, è richiesto un coinvolgimento continuo del Management, con formazione obbligatoria sulle minacce cyber e sulle pratiche di Risk Management proattivo. In Germania, l’autorità ha definito in modo puntuale sia i contenuti sia la periodicità della formazione rivolta al Management, suggerendo al contempo di estendere tali percorsi anche alle figure chiave coinvolte nella gestione del rischio IT.

Alcune trasposizioni introducono responsabilità economiche dirette per gli individui (come avviene in Croazia, Portogallo e Slovenia), e, in altri casi, come Danimarca e Italia per le entità essenziali – ma solo per talune fattispecie — è prevista la possibilità di sospensione dalla carica in presenza di determinate violazioni.

È un segnale chiaro: la cybersecurity non è più delegabile a livello esclusivamente tecnico, ma entra a pieno titolo nel perimetro delle responsabilità dei vertici aziendali.

Incident Reporting: tempistiche strette e modalità differenziate

La struttura di notifica degli incidenti significativi prevista dalla Direttiva – con un Early Warning entro 24 ore e una notifica completa entro 72 ore – viene confermata dalle trasposizioni nazionali, ad eccezione di Cipro che riduce la finestra del primo avviso a 6 ore, innalzando sensibilmente l’asticella in termini di rapidità di rilevazione e coordinamento interno.

I metodi di notifica degli incidenti variano sensibilmente da Paese a Paese, spaziando dall’utilizzo di piattaforme online dedicate all’invio di e‑mail fino a canali di contatto telefonico diretto con le autorità competenti. Anche la definizione stessa di “incidente significativo” è oggetto di affinamenti nazionali: alcuni Stati, infatti, introducono parametri aggiuntivi a quelli definiti dalla Direttiva; Croazia, Lituania, Ungheria, e Slovacchia, ad esempio, introducono soglie monetarie o qualitative specifiche.

Anche su questo fronte, quindi, le organizzazioni che operano in più giurisdizioni devono confrontarsi con sfumature normative diverse, da integrare nei propri processi di classificazione e risposta agli incidenti.

Regime di Supervisione: approcci differenti per Paese e per tipologia di soggetto

I Paesi che hanno recepito la NIS2 hanno adottato modelli di vigilanza e audit tra loro differenti. In alcuni ordinamenti, come Belgio, Ungheria, Romania, Lituania, sono previsti audit periodici obbligatori per le entità essenziali – con una frequenza che, in genere, varia tra i 2 e i 5 anni –, condotti da auditor accreditati dallo Stato; in altri, invece, si richiede soltanto di fornire “prove di conformità” su richiesta dell’autorità o di effettuare Self-assessment, soprattutto per le entità importanti.

Vi sono, poi, Paesi, che non hanno ancora definito in modo puntuale frequenza e modalità operative degli audit, ma che, al pari degli altri, garantiscono vigilanza proattiva e verifiche attivate sulla base del rischio o in seguito al verificarsi di incidenti. Ne risulta un quadro europeo eterogeneo anche sul fronte della supervisione e del controllo.

Le prossime evoluzioni: NIS2 si sta già aggiornando

Il quadro normativo è destinato a evolversi ulteriormente nei prossimi anni. Tra novembre 2025 e gennaio 2026, la Commissione Europea ha presentato delle proposte di emendamenti che mirano a semplificare e armonizzare l’applicazione della Direttiva.

Tra gli interventi più rilevanti figura l’introduzione di una nuova categoria di “small mid-cap enterprises”, che – fino a 750 dipendenti – verrebbero qualificate come entità importanti (ad oggi il limite è fissato a 250 dipendenti), con un conseguente alleggerimento degli oneri rispetto al regime previsto per le entità essenziali. Per il settore energetico, è proposta l’adozione di una soglia minima di 1 MW di capacità di generazione ai fini dell’inclusione nel perimetro NIS2, così da concentrare gli obblighi sugli operatori più rilevanti. Un ulteriore elemento di novità riguarda l’introduzione di schemi di certificazione europea in ambito cybersecurity che potrebbero consentire alle organizzazioni di essere esentate da misure di supervisione (inclusi audit) aggiuntive, rafforzando il ruolo di strumenti comuni a livello UE come leva di semplificazione regolatoria.

Come organizzarsi: le priorità per i leader

In un contesto ancora parzialmente incerto, la strada più efficace non è attendere che il quadro normativo sia completamento stabilizzato. Le priorità su cui lavorare sono già chiare, indipendentemente dallo stato di recepimento locale: una gestione del rischio strutturata e documentata, la formazione e il coinvolgimento diretto dei vertici aziendali, il governo del rischio della catena di approvvigionamento, processi di Incident Reporting chiari e collaudati, capacità di resilienza e Recovery consolidate.

Le organizzazioni che dispongono di un ISMS conforme allo standard ISO/IEC partono da una base più solida, ma un’analisi mirata rispetto alle trasposizioni nazionali applicabili rimane necessaria, completata da una verifica di allineamento tra l’ambito di certificazione e il perimetro NIS2. La Direttiva, infatti, si applica all’organizzazione nel suo complesso, mentre lo standard ISO consente di delimitare l’ambito di applicazione.

Resta centrale, soprattutto per i gruppi multinazionali, la scelta del modello operativo: un approccio centralizzato o una maggiore delega alle Subsidiary locali, con garanzia di linee di reporting robuste verso il centro. In entrambi i casi, è indispensabile garantire adeguata visibilità e una governance chiara, con ruoli, responsabilità e flussi informativi esplicitamente definiti.

La NIS2 non è da considerarsi un mero adempimento di compliance, ma una leva per innalzare la maturità complessiva della sicurezza digitale. Le organizzazioni che la interpreteranno in questa chiave – anziché come un semplice obbligo regolatorio – si troveranno in una posizione più solida, non solo in vista degli audit, ma soprattutto rispetto ai rischi reali di business che la Direttiva intende mitigare.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

R
Lorenzo Russo
Partner di Deloitte
  1. 1 Al momento della pubblicazione del presente articolo, i Paesi che hanno completato la trasposizione della Direttiva sono 22; a quelli elencati nel testo si aggiungono anche Bulgaria, Estonia e Polonia  ↩︎
  2. Per i soggetti inseriti nell’elenco dei soggetti NIS nel corso del 2026, il termine per l’adozione delle misure di sicurezza scade il 31 luglio 2027, mentre l’adempimento dell’obbligo di notifica degli incidenti significativi decorre dal 1° gennaio 2027 ↩︎
  3. 3 Sono previste eccezioni per cui alcune organizzazioni rientrano nel perimetro NIS2 indipendentemente dalle soglie dimensionali  ↩︎
  4.  La scadenza inizialmente fissata a febbraio 2025 è stata successivamente prorogata ↩︎
  5.  Gli Stakeholder aziendali coinvolti sono numerosi, tra cui Procurement, IT, Operations OT, HR, Legal, Compliance ↩︎
  6. In Belgio è accettata, in alternativa, la certificazione ISO/IEC 27001 sull’intera entità giuridica ↩︎

Leggi anche:

guest
0 Commenti
Più recenti Più votati
Inline Feedback
Vedi tutti i commenti

Canali

VITA DA CIO

Vedi tutti gli approfondimenti >

Articoli correlati

    Altea UP Point of View
  • shared image (6)

  • SPONSORED STORY

    Dall’ERP core all'intelligenza diffusa: come il modello della Composable Enterprise trasforma l’IT e il business

    24 Apr 2026

    di Redazione ZeroUno

    Condividi
  • Carlota Alvarez 1920×1080

  • L'evento

    AI in azienda: perché il modello “a taglia unica” non funziona più

    04 Apr 2026

    di Stefano Casini

    Condividi
  • Shutterstock_2291084033

  • Infrastrutture

    OVHcloud: operativo il nuovo data center italiano

    12 Dic 2025

    di Redazione ZeroUno

    Condividi
  • Shutterstock_2231242951

  • guida

    Digital Employee Experience: come evolvono le piattaforme per il nuovo workplace ibrido

    11 Nov 2025

    di Federico Parravicini

    Condividi