La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, amplia in modo significativo il numero di organizzazioni soggette a obblighi di cybersicurezza rispetto alla precedente NIS. Non riguarda più solo le grandi infrastrutture critiche: coinvolge molte PMI in settori come energia, trasporti, sanità, alimentare, manifatturiero e fornitori digitali.
Soggetti essenziali e importanti
La norma distingue tra soggetti essenziali e soggetti importanti, in base al settore e alla dimensione. La regola generale lega l’inclusione a settore di attività e soglie dimensionali (tipicamente medie e grandi imprese), ma la catena di fornitura conta: se servi un soggetto NIS2, i requisiti possono ricadere indirettamente su di te.
Cosa devi fare in pratica
Gli obblighi includono la gestione del rischio, misure tecniche e organizzative adeguate, il rilevamento e la gestione degli incidenti e la loro notifica nei tempi previsti. Non basta un acquisto una tantum: servono capacità continuative di monitoraggio e risposta, esattamente ciò che eroga un SOC gestito.
Come capire la tua posizione
Il primo passo è una valutazione del perimetro: settore, dimensione, ruolo nella supply chain. Da lì si definiscono le misure mancanti. Richiedi un assessment NIS2 gratuito: in 20 minuti ti diciamo se rientri nel perimetro e quali sono le priorità.