Compliance NIS2: guida alla direttiva UE

Compliance NIS2: guida alla direttiva UE

1. Perché NIS2 è il tema‑pilastro dell’ITSM nel 2025?
2. Dalle misure di sicurezza alla gestione degli incidenti
3. Esempi concreti di come l’ITSM facilita la compliance NIS2
4. Dal requisito normativo al risultato ottenibile con HDA
5. Prossimi step operativi

Perché NIS2 è il tema‑pilastro dell’ITSM nel 2025?

Cosa richiede la NIS2? La direttiva stabilisce un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea. Dopo il recepimento entro il 17 ottobre 2024, NIS2 ha abrogato la NIS1 dal 18 ottobre 2024, rendendo omogenee le regole per un numero molto più ampio di operatori, con obblighi stringenti su gestione del rischio, misure di sicurezza e gestione degli incidenti.

Per chi guida l’IT, NIS2 non è un semplice progetto di conformità. È la costruzione di una capacità di resilienza fondata su processi chiari, evidenze tracciabili e decisioni guidate dai dati.

In Italia, il quadro è operativo dal D.Lgs. 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale a ottobre 2024 ed entrato in vigore il 16 ottobre 2024. L’ACN è autorità competente e punto di contatto unico per la NIS, con compiti di indirizzo e vigilanza. Queste certezze normative fissano l’ambito di applicazione e le responsabilità verso imprese e PA.

Un passaggio chiave del 2025 è l’entrata a regime del Regolamento di esecuzione del 17 ottobre 2024, che dettaglia requisiti tecnici e metodologici delle misure di gestione (art. 21) e specifica quando un incidente significativo scatta l’obbligo di notifica per fornitori di servizi digitali e infrastrutture digitali. ENISA ha poi pubblicato linee guida tecniche e mappe di evidenze per aiutare le organizzazioni ad implementare il regolamento in modo concreto.

Le entità si dividono in essenziali (settori ad alta criticità) e importanti (altri settori critici). In generale, la direttiva si applica alle medie e grandi imprese che erogano servizi rilevanti per l’economia e la società, comprese quelle che gestiscono infrastrutture critiche e la catena di approvvigionamento digitale. Per l’ITSM questo è rilevante perché la conformità si gioca sui processi, sulle evidenze e sul governo end‑to‑end del servizio.

Dalle misure di sicurezza alla gestione degli incidenti

Misure di gestione del rischio

Le organizzazioni devono adottare misure di gestione basate su tutti i rischi che coprano: politiche di gestione del rischio, continuità operativa, sicurezza della supply chain (incluse terze parti ICT), sicurezza nello sviluppo/acquisizione, gestione delle vulnerabilità e divulgazione coordinata, cifratura, autenticazione, test e valutazioni periodiche di efficacia. L’Implementing Regulation 2024/2690 rende operativi questi requisiti con criteri e evidenze richieste, particolarmente per i fornitori di servizi digitali. Per un ITSM maturo, significa mappare controlli → servizi → asset → fornitori, collegando responsabilità, SLA e audit‑trail.

Gestione degli incidenti e reporting

In presenza di incidente significativo, la tempistica è perentoria: early warning entro 24 ore, notifica entro 72 ore e report finale entro 1 mese. Questo richiede catene decisionali chiare, criteri condivisi per la significatività (impatto sui servizi, estensione, durata, effetti transfrontalieri), raccolta di evidenze e coordinamento con CSIRT/autorità. L’ITSM è l’orchestratore naturale del flusso, dal triage alla comunicazione formale.

Sanzioni e vigilanza

Il regime sanzionatorio è severo e pensato per essere “efficace, proporzionato e dissuasivo”. Per gli enti essenziali, l’asticella è almeno 10 milioni di euro o il 2% del fatturato globale; per gli enti importanti, almeno 7 milioni di euro o 1,4%. Nei titoli capita di leggere “fino a 10 milioni”, ma il testo prevede soglie minime che gli Stati membri possono superare. Il messaggio al management è netto: accountability e misure di sicurezza dimostrabili.

Settori e fornitori

NIS2 copre un perimetro ampio di settori: Energia, Trasporti, Sanità, acqua potabile e reflue, infrastrutture digitali/TLC, Finance, pubblica amministrazione centrale, oltre a manifattura di prodotti critici e altri servizi essenziali per l’economia.

Il rischio non è solo interno: la supply chain e i partner di outsourcing sono spesso il punto di ingresso. L’implementing act del 17 ottobre 2024 dettaglia, per i provider digitali, quando una disruption diventa incidente significativo e cosa bisogna saper dimostrare. ENISA nel 2025 ha pubblicato esempi di controlli e indicatori per la sicurezza della supply chain.

 

Esempi concreti di come l’ITSM facilita la compliance NIS2

Li abbiamo già approfonditi in questo articolo, ma qui li riassumiamo in modo sintetico e operativo:

  1. Dalla policy alla prova

L’ITSM traduce l’Art. 21 in piani d’azione verificabili: per ogni rischio sono definiti controlli, owner, frequenza, metriche di efficacia ed evidenze (log, report, esiti di test) collegate al servizio. Questo offre a direzione e funzioni Risk & Compliance visibilità sul rischio residuo e sulle priorità di investimento.

  1. Coordinamento operativo di incidenti e crisi

Per rispettare la sequenza temporale prevista dalla direttiva NIS 2 per le comunicazioni, i piani operativi dell’ITSM definiscono ruoli, livelli di responsabilità, percorsi di attivazione e contenuti minimi delle comunicazioni verso le autorità competenti. 

Nei servizi erogati in più Paesi (es. infrastrutture digitali), l’ITSM integra l’analisi d’impatto e prepara automaticamente i dati necessari per qualificare e notificare un incidente significativo.

  1. Controllo dei fornitori integrato nei processi

Integrare la gestione dei fornitori fin dalla progettazione del servizio significa definire criteri di qualificazione e verifica (tecnica e legale), inserire nei contratti clausole di notifica degli incidenti con tempi precisi, fissare requisiti minimi di configurazione e misure di rafforzamento della sicurezza, stabilire politiche per gli aggiornamenti di sicurezza e programmare prove periodiche di efficacia. 

Le non conformità individuate vengono gestite come modifiche controllate: per ciascuna si indicano il responsabile, la priorità e la scadenza. Al termine, si registra la data di completamento verificata e si allegano le evidenze. In questo modo la sicurezza della catena di approvvigionamento resta tracciabile e verificabile e l’organizzazione può dimostrare l’aderenza ai requisiti NIS2 e al relativo regolamento di esecuzione.

  1. CMDB

Una base dati di configurazione (CMDB), mantenuta sempre aggiornata, mette in relazione ogni servizio essenziale con i relativi asset, dipendenze e fornitori di servizi digitali. Quando si verifica un malfunzionamento o un attacco, l’ITSM valuta subito l’impatto e, se sono superate le soglie previste, attiva le procedure per l’incidente significativo. In questo modo si evitano ritardi e il rischio di mancate o tardive segnalazioni alle autorità.

  1. Continuità di servizio integrata

L’ITSM allinea il catalogo dei servizi con i piani di continuità operativa, definendo per ciascun servizio l’obiettivo di tempo di ripristino e l’obiettivo di punto di ripristino, e svolge prove periodiche con raccolta sistematica delle evidenze. Gli esiti di queste prove generano azioni correttive e modifiche controllate, tracciate fino alla chiusura, e aggiornano lo stato di conformità. Il tutto in coerenza con l’articolo 21 della Direttiva NIS2.

Dal requisito normativo al risultato ottenibile con HDA

Senza elencare tutte le sue funzioni, ecco come il nostro prodotto HDA ITSM implementa i requisiti NIS2 e ne monitora i risultati:

Gestione degli incidenti di sicurezza

HDA ITSM permette di registrare ogni evento di sicurezza, classificarlo con criteri condivisi, analizzarne le cause e attivare le azioni di risposta. Tutte le attività sono tracciate: chi fa cosa, quando e con quale esito. Quando si presentano episodi simili nel tempo, il sistema li evidenzia per capire dove intervenire e prevenire nuovi incidenti. Se previsto dalle vostre procedure, supporta anche la preparazione delle comunicazioni interne e, quando necessario, verso le autorità competenti.

Gestione dei problemi

Oltre a risolvere il singolo incidente, la piattaforma aiuta a individuare la causa principale dei disservizi. Si passa dalla segnalazione alla classificazione e all’analisi, fino alla soluzione e alla chiusura con la relativa documentazione. Questo approccio riduce gli impatti sul servizio e limita il ripetersi degli stessi problemi.

Gestione delle modifiche

Ogni modifica a sistemi e applicazioni segue un percorso controllato: richiesta motivata, valutazione dei rischi e degli impatti, pianificazione, esecuzione, verifica dei risultati e chiusura. Lavorare così significa ridurre le vulnerabilità introdotte da cambiamenti non controllati e conservare una traccia completa di decisioni e verifiche, utile anche ai fini della conformità NIS2.

Gestione degli asset e base dati di configurazione

HDA ITSM mantiene un inventario aggiornato di hardware, software e dati. La base dati di configurazione (CMDB) mette in relazione i componenti tra loro e con i servizi erogati, così è più semplice capire quali parti del sistema sono coinvolte da un guasto o da un attacco. Questo accelera la valutazione dell’impatto, riduce i tempi di risoluzione e rende più semplice dimostrare come sono gestite le configurazioni critiche.

Prossimi step operativi

  1. Verificate la direttiva. Stabilite se siete un’entità essenziale o importante in base a settore, dimensioni, servizi e fornitori digitali.
  2. Attuate le misure dell’art. 21. Definite controlli, responsabilità, frequenze ed evidenze, e mappatele sui servizi (es. HDA ITSM).
  3. Gestite le segnalazioni 24‑72‑30. Fissate soglie di incidente, preordinate piani e template di comunicazione; avviso entro 24 h, notifica 72 h, relazione 30 gg; testate regolarmente.
  4. Qualificate la supply chain. Verificate fornitori (tecnico‑legale), inserite clausole di sicurezza, effettuate test periodici e tracciate le correzioni.
  5. Allineate governance e risorse. Misurate rischio residuo, priorizzate interventi e ROI, definite obiettivi trimestrali e KPI con responsabilità chiare.

Le domande più frequenti

  • 1. Per un CISO, quali sono le scadenze di notifica di un incidente significativo secondo NIS2?
    Early warning entro 24 h, notifica dettagliata entro 72 h, report finale entro 30 giorni.
  • 2. Come un IT Service Manager deve strutturare i processi ITSM per dimostrare evidenze di compliance?
    Mappare controlli→servizi→asset, integrare metriche (SLA, audit‑trail) e workflow tracciabili.
  • 3. Quali impatti sul budget deve considerare un CIO per le sanzioni NIS2?
    Enti essenziali: fino a 10 M€ o 2 % del fatturato; enti importanti: fino a 7 M€ o 1,4 %.


Scarica l’eBook e passa all’operatività

Sei alla ricerca di una guida completa per portare NIS2 dentro i tuoi processi ITSM?