La direttiva NIS2 (Network and Information Security Directive 2) è la normativa sulla sicurezza informatica più completa mai emanata dall’UE. Da ottobre 2024 sostituisce la direttiva NIS originale del 2016 e ne amplia massicciamente il campo di applicazione: da 7 a 18 settori, con requisiti più severi, termini di notifica più brevi e responsabilità personale per la direzione aziendale. La Svizzera non è membro dell’UE – ma per le aziende svizzere con attività nell’UE, la NIS2 è comunque direttamente rilevante.
Cosa cambia con la NIS2
La direttiva NIS originale riguardava principalmente gli operatori di servizi essenziali e i fornitori di servizi digitali. La NIS2 estende il campo di applicazione a 18 settori – tra cui ora l’industria manifatturiera, la produzione alimentare, la gestione dei rifiuti, i servizi postali e di corriere, la pubblica amministrazione e le infrastrutture digitali come i fornitori cloud e i data center.
Le organizzazioni interessate sono suddivise in due categorie: I soggetti essenziali (essential entities) sono sottoposti a una supervisione più rigorosa e a controlli proattivi. I soggetti importanti (important entities) vengono verificati su base occasionale.
I cinque obblighi fondamentali
1. Misure di gestione del rischio (Art. 21). L’articolo 21 elenca dieci requisiti minimi: analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, gestione delle vulnerabilità, politiche di crittografia, controllo degli accessi, autenticazione a più fattori, gestione del personale e verifiche periodiche dell’efficacia.
2. Obblighi di notifica degli incidenti di sicurezza. Entro 24 ore deve essere emessa una segnalazione preliminare. Dopo 72 ore è dovuta una notifica completa con valutazione della gravità. Entro un mese segue il rapporto finale con analisi delle cause.
3. Sicurezza della catena di approvvigionamento. Le organizzazioni devono valutare e garantire contrattualmente la sicurezza informatica dei propri fornitori e prestatori di servizi – inclusi i fornitori di software, i provider cloud e i fornitori di servizi gestiti.
4. Continuità operativa e gestione delle crisi. Strategie di backup, piani di disaster recovery e processi di gestione delle crisi non sono più raccomandazioni – sono obbligatori. I piani devono essere testati regolarmente.
5. Responsabilità della direzione aziendale. Gli organi direttivi devono approvare le misure di gestione del rischio, supervisionarne l’attuazione e partecipare a corsi di formazione sulla sicurezza informatica. In caso di violazioni, si applica la responsabilità personale. La NIS2 rende esplicitamente la sicurezza informatica una questione di competenza del vertice aziendale.
Sanzioni
Le sanzioni pecuniarie seguono il modello del GDPR. Per i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo globale (si applica l’importo maggiore). Per i soggetti importanti: fino a 7 milioni di euro o l’1,4% del fatturato. Inoltre, le autorità di vigilanza possono vietare temporaneamente ai dirigenti l’esercizio di funzioni direttive.
Stato di attuazione nell’UE
Il termine per il recepimento nazionale è scaduto il 17 ottobre 2024. All’inizio del 2026, circa 20 dei 27 Stati membri hanno completato il recepimento – Germania, Austria e Portogallo solo in ritardo. La Commissione Europea ha avviato procedure di infrazione contro 19 Stati membri nel maggio 2025. Nel gennaio 2026 sono seguite proposte di modifica mirate per semplificare la conformità alla NIS2.
Cosa significa la NIS2 per le aziende svizzere
La Svizzera non è direttamente vincolata dalla NIS2. Nella pratica, tuttavia, la direttiva riguarda le aziende svizzere in tre modi:
- Filiali nell’UE: I gruppi svizzeri con sedi nell’UE sono direttamente soggetti alle leggi nazionali di recepimento della NIS2.
- Servizi nel mercato UE: Le aziende svizzere che forniscono servizi digitali (cloud, DNS, servizi gestiti) nell’UE possono rientrare direttamente nel campo di applicazione – indipendentemente dalla sede legale.
- Requisiti della catena di approvvigionamento: Le aziende dell’UE devono valutare la sicurezza informatica dei propri fornitori. I fornitori svizzeri dovranno fornire prove di conformità alla NIS2 – di fatto, la NIS2 viene esportata attraverso la catena di approvvigionamento.
La legge svizzera ISG a confronto con la NIS2
La legge svizzera sulla sicurezza delle informazioni (ISG) è in vigore da gennaio 2024 e si rivolge principalmente alle autorità federali e agli operatori di infrastrutture critiche. Differenze principali:
- Campo di applicazione: L’ISG si concentra sulle autorità e sulle infrastrutture critiche. La NIS2 copre 18 settori e include anche le medie imprese con almeno 50 dipendenti.
- Obblighi di notifica: L’ISG richiede la notifica al BACS (ex NCSC) entro 24 ore. La NIS2 prevede tre livelli: segnalazione preliminare entro 24 ore, notifica entro 72 ore, rapporto finale entro un mese.
- Responsabilità della direzione: La NIS2 prevede esplicitamente la responsabilità personale della direzione aziendale. L’ISG non prevede una disposizione comparabile.
- Sanzioni: Le sanzioni NIS2 raggiungono fino a 10 milioni di euro / 2% del fatturato. L’ISG prevede sanzioni significativamente inferiori.
- Catena di approvvigionamento: La NIS2 stabilisce requisiti espliciti per la sicurezza della catena di approvvigionamento. L’ISG rimane meno dettagliata in quest’area.
Per le aziende svizzere con attività nell’UE, la sola conformità all’ISG non è sufficiente. Un ISMS basato su ISO 27001 fornisce la base comune per coprire entrambi i quadri normativi in modo efficiente.
Raccomandazioni operative
Le aziende svizzere dovrebbero verificare ora se sono interessate direttamente o indirettamente: analizzare i rapporti commerciali con l’UE, effettuare un gap assessment, allineare l’incident response ai nuovi termini di notifica e coinvolgere la direzione aziendale nella governance della sicurezza informatica.
Come Zerberos può supportarLa
Tradurre i requisiti normativi in misure di sicurezza concrete – questo è il nostro core business. Supportiamo le aziende svizzere in:
- Analisi dell’impatto NIS2: Determinazione se e come la Sua azienda è interessata dalla NIS2
- Gap assessment: Confronto sistematico del Suo stato attuale con i requisiti della NIS2
- Security roadmap: Piano d’azione prioritizzato per colmare le lacune identificate
- Pianificazione dell’incident response: Sviluppo di processi conformi ai termini di notifica della NIS2
- Consulenza alla direzione: Briefing per il management su rischi di responsabilità e obblighi di governance
Ci contatti per una consulenza iniziale senza impegno.
Fonti
- Direttiva (UE) 2022/2555 (NIS2), EUR-Lex, eur-lex.europa.eu/eli/dir/2022/2555
- ENISA, NIS2 Directive Guidance, enisa.europa.eu
- Commissione Europea, NIS2 Directive – Securing Network and Information Systems, digital-strategy.ec.europa.eu
- ECSO, NIS2 Directive Transposition Tracker, ecs-org.eu
- Legge svizzera sulla sicurezza delle informazioni (ISG), Cancelleria federale, fedlex.admin.ch
- BNC, Swiss ISG vs. EU Directive NIS-2: A Comparison, bnc.ch