Direttiva NIS 2: novità e guida pratica per le aziende

La Direttiva NIS 2 (Network and Information Security) è stata recepita in Italia con la pubblicazione in Gazzetta Ufficiale del decreto attuativo NIS 2 (Decreto Legislativo 138/2024), entrato in vigore il 16 ottobre 2024. L'Italia è così tra i primi Paesi europei ad aver definito gli obblighi di compliance per la cybersecurity delle imprese, attraverso le novità introdotte da questo decreto NIS 2.

Molte aziende, tuttavia, sono ancora in attesa di indicazioni attuative (in particolare da parte dell’Agenzia per la Cybersicurezza Nazionale – ACN) per comprendere appieno tutti i nuovi requisiti. In questo articolo, rivolto a PMI e grandi imprese, presentiamo in modo chiaro e professionale le principali novità del decreto attuativo NIS 2 e forniamo una guida pratica su come le aziende possono adeguarsi alla nuova normativa di cybersecurity aziendale.

‍

A chi si applica la Direttiva NIS 2?

La prima domanda che un'azienda deve porsi è: rientro tra i soggetti a cui si applica la Direttiva NIS 2? Il primo passo verso la compliance consiste infatti in un’auto-valutazione (self-assessment): le imprese devono verificare se, per settore di attività e dimensioni, rientrano nell’ambito di applicazione della normativa. In caso affermativo, è necessario registrarsi sull’apposita piattaforma online messa a disposizione dall’ACN.

Successivamente, l’ACN analizzerà le informazioni fornite in fase di registrazione e determinerà ufficialmente quali soggetti privati e pubblici rientrano nella Direttiva NIS 2, pubblicando l’elenco delle aziende e degli enti interessati. I settori coperti dalla normativa sono quelli considerati critici o essenziali, indicati negli allegati I-II (per il settore privato) e III-IV (per il settore pubblico) del decreto. Il testo italiano, inoltre, precisa che tali operatori devono essere sotto la giurisdizione nazionale (operare cioè in Italia).

Piccole imprese: le eccezioni alla normativa NIS 2

La Direttiva NIS 2 non si applica in generale alle piccole imprese (PMI sotto determinate soglie dimensionali), salvo alcune eccezioni espressamente previste. Una piccola azienda dovrà comunque adeguarsi alla normativa NIS 2 se si trova in almeno una delle seguenti condizioni:

• è stata designata come “infrastruttura critica” ai sensi della Direttiva RCE (Resilience of Critical Entities);

• fornisce reti pubbliche di comunicazione elettronica o servizi di comunicazione elettronica accessibili al pubblico;

• è un prestatore di servizi fiduciari digitali (es. servizi di firma elettronica qualificata, identità digitale, certificati digitali);

• gestisce registri di nomi di dominio di primo livello (registry TLD) oppure fornisce servizi di Domain Name System (DNS);

• offre servizi di registrazione di nomi a dominio;

• è già stata identificata come operatore di servizi essenziali o fornitore di servizi digitali ai sensi della precedente Direttiva NIS (2016);

• rappresenta l’unico fornitore nazionale di un determinato servizio essenziale;

• eroga un servizio la cui interruzione potrebbe comportare un rischio sistemico significativo;

• è considerata critica per la sua particolare importanza a livello nazionale;

• costituisce un elemento critico a livello sistemico nella catena di approvvigionamento di soggetti essenziali o importanti.

Focus sulla catena di approvvigionamento

La presenza di quest’ultima condizione evidenzia un aspetto importante: la normativa italiana di recepimento della Direttiva NIS 2 non si limita ai settori strettamente critici, ma guarda in modo lungimirante anche alla loro filiera. In altre parole, vengono coinvolti potenzialmente anche i fornitori e sub-fornitori (supply chain) delle entità essenziali, ampliando di molto la platea di aziende che potrebbero ricadere negli obblighi del decreto NIS 2.

Società con influenza dominante

Un ulteriore criterio di applicazione riguarda le società che esercitano un’influenza dominante su un soggetto essenziale o importante. La Direttiva NIS 2 e il Decreto 138/2024 si applicheranno infatti anche a tutte le organizzazioni che controllano o possono influire sulle decisioni relative alla gestione della sicurezza informatica di un’entità essenziale o importante. Rientrano in questa categoria, ad esempio, le aziende che gestiscono (a qualunque titolo) i sistemi informativi di un soggetto NIS 2. L’estensione potrà comunque essere esclusa dall’ACN laddove risulti “sproporzionata” nel caso concreto.

Tra tutte le entità identificate, la normativa prevede una suddivisione tra soggetti essenziali e soggetti importanti a seconda delle dimensioni e della tipologia di servizi forniti.

Identificazione ufficiale degli enti e prossimi step

Come accennato, le organizzazioni che presumono di rientrare nella Direttiva NIS 2 devono registrarsi sul portale ACN dedicato. Sulla base dei dati inseriti (settore, servizi, dimensioni, ecc.), l’ACN redigerà l’elenco ufficiale dei soggetti NIS 2, ossia delle aziende private e delle PA effettivamente tenute a rispettare la normativa.

Finora il processo di registrazione ha fatto emergere vari dubbi interpretativi, spingendo l’ACN a pubblicare una serie di FAQ suddivise per settore e tipologia di soggetto, in costante aggiornamento, per aiutare le imprese a capire se ricadono o meno nel campo di applicazione. Inoltre, analogamente a quanto avvenuto con la precedente direttiva NIS e con il Perimetro di Sicurezza Nazionale Cibernetica, l’ACN notificherà singolarmente a ciascun ente l’eventuale inclusione nell’elenco ufficiale dei soggetti obbligati.

‍

Obblighi per gli operatori NIS 2

La Direttiva NIS 2 richiede alle aziende incluse (i soggetti essenziali e importanti) di adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi che minacciano la sicurezza dei sistemi informativi utilizzati e per ridurre l’impatto degli eventuali incidenti sui servizi forniti.

Il Decreto, tuttavia, non elenca in dettaglio quali misure di sicurezza debbano essere adottate: tale compito è demandato all’ACN, che emanerà regole tecniche e linee guida basate su alcuni parametri chiave:

• il grado di esposizione al rischio dell’organizzazione;

• le dimensioni dell’ente;

• la probabilità di accadimento di incidenti;

• la gravità potenziale degli incidenti (incluso l’impatto economico e sociale).

Vale la pena notare che molte aziende soggette alla NIS 2 potrebbero avere già un buon livello di maturità cyber grazie a misure di sicurezza esistenti. In questi casi, la nuova normativa si pone come un’evoluzione più che una rivoluzione. Per questo motivo è consigliabile coinvolgere professionisti esperti (tecnici e legali) che possano mappare e valorizzare le attività di sicurezza già svolte dall’azienda, ottimizzando così il percorso di adeguamento.

Obbligo di registrazione e aggiornamento annuale

Oltre all’implementazione delle misure di sicurezza, il decreto NIS 2 prevede che i soggetti qualificati come essenziali o importanti comunichino e aggiornino annualmente, tramite la piattaforma ACN, un elenco delle attività svolte e dei servizi erogati. Questo meccanismo servirà a garantire un’applicazione proporzionata e graduale degli obblighi, che saranno differenziati in base a:

• le categorie di rilevanza individuate dall’ACN (profilo di rischio);

• il settore, sottosettore e tipologia di soggetto, tenendo conto anche del livello di maturità cyber iniziale;

• la classificazione dell’ente come essenziale o importante.

Obblighi di notifica degli incidenti

La nuova direttiva rafforza in modo significativo gli obblighi di notifica degli incidenti informatici. In base al decreto, le aziende dovranno segnalare al CSIRT Italia (Computer Security Incident Response Team) – senza ingiustificato ritardo – tutti gli incidenti che hanno un impatto significativo sulla fornitura dei servizi essenziali (i cosiddetti “incidenti significativi”). In particolare, vanno notificati gli incidenti che:

• hanno causato (o potrebbero causare) una grave perturbazione dei servizi essenziali o perdite finanziarie rilevanti;

• hanno avuto (o potrebbero avere) ripercussioni significative su altri soggetti (persone fisiche o giuridiche), causando perdite materiali o immateriali considerevoli.

Per classificare in modo uniforme la gravità di un incidente, costituirà un riferimento utile la “tassonomia cyber” messa a punto dall’ACN.

Tempistiche per la notifica degli incidenti

Il processo di notifica segue tempistiche molto serrate:

• entro 24 ore dall’identificazione dell’incidente deve essere inviata una prenotifica iniziale al CSIRT Italia, indicando se l’evento ha natura illecita/malevola e se può avere un impatto transfrontaliero;

• entro 72 ore dall’incidente va inviata la notifica completa, che aggiorna le informazioni fornite nella prenotifica e contiene una valutazione iniziale della gravità e dell’impatto, nonché eventuali indicatori di compromissione noti;

• se richiesto dal CSIRT, occorre fornire anche una relazione intermedia con gli aggiornamenti sul caso;

• entro 1 mese dall’incidente va prodotta una relazione finale dettagliata, con la descrizione dell’evento, le cause, le misure di rimedio adottate e l’eventuale impatto su altri Paesi. Qualora l’incidente fosse ancora in corso dopo un mese, andranno inviate anche relazioni mensili sullo stato di gestione finché la situazione non sarà risolta.

Obbligo di supporto del CSIRT alle aziende colpite

Un’importante novità introdotta dal decreto attuativo NIS 2 è l’obbligo per il CSIRT Italia di fornire supporto alle aziende colpite da attacchi informatici. Entro 24 ore dalla prenotifica ricevuta, il CSIRT dovrà:

• dare un primo riscontro sull’incidente segnalato, fornendo eventuali indicazioni sulle possibili misure di mitigazione da adottare;

• su richiesta dell’azienda, fornire un supporto tecnico di emergenza per gestire l’attacco in corso.

Qualora vi sia il sospetto che l’incidente configuri un reato informatico, il CSIRT dovrà inoltre consigliare l’ente colpito circa l’opportunità di segnalare l’evento anche all’organo centrale del Ministero dell’Interno per la sicurezza delle comunicazioni (competente in caso di criminalità informatica).

Notifica ai destinatari dei servizi

Oltre a notificare le autorità competenti, i soggetti essenziali e importanti hanno anche l’obbligo di informare i destinatari dei loro servizi (ad esempio clienti o utenti) riguardo agli incidenti significativi che possano avere ripercussioni negative sulla continuità del servizio. In pratica, se un attacco informatico compromette un servizio critico, l’azienda colpita deve avvisare prontamente anche le organizzazioni o le persone che da quel servizio dipendono.

Quando possibile, sentito il parere del CSIRT, l’azienda dovrebbe comunicare a tali destinatari anche eventuali minacce significative individuate (ad esempio vulnerabilità gravi non ancora risolte) fornendo indicazioni sulle misure correttive o di mitigazione che questi possono adottare per tutelarsi.

Queste comunicazioni verso la clientela vanno gestite con attenzione, valutando caso per caso quando siano necessarie, anche in base al contesto operativo. È possibile inoltre che, con l’attuazione completa della direttiva, emergano obblighi aggiuntivi (come la notifica di vulnerabilità scoperte), rendendo importante predisporre una strategia chiara anche su questo fronte.

Notifica al pubblico di incidenti significativi

In linea con la precedente direttiva NIS, è confermata la facoltà per l’ACN di informare il pubblico in merito a incidenti significativi avvenuti. Ciò potrà avvenire qualora rendere pubblica la notizia possa evitare il propagarsi degli effetti dell’incidente o contribuire a gestire meglio l’emergenza. L’ACN potrà divulgare informazioni al pubblico anche quando vi sia un interesse pubblico concreto a conoscere l’accaduto.

Notifica volontaria degli incidenti

Oltre agli obblighi di notifica sopra descritti, la normativa prevede anche la possibilità di segnalare incidenti su base volontaria. Questa facoltà è riconosciuta non solo ai soggetti essenziali e importanti (che possono notificare eventi anche quando l’impatto non raggiunge la soglia di significatività), ma anche a qualsiasi altra organizzazione che voglia informare le autorità di un incidente subito pur non essendo formalmente obbligata. L’obiettivo è incentivare la condivisione di informazioni sugli incidenti cyber per migliorare la resilienza collettiva, anche oltre i casi di notifica obbligatoria.

‍

Misure di sicurezza “di base”

A supporto dell’adeguamento iniziale, l’ACN ha individuato e pubblicato una serie di misure minime di sicurezza informatica (le cosiddette “misure di sicurezza di base”). Con la Determinazione ACN n. 164179 del 14 aprile 2025, l’Agenzia ha definito un set di requisiti di sicurezza di base, differenziandoli a seconda che si riferiscano a soggetti essenziali oppure a soggetti importanti, e ha contestualmente emanato delle Linee Guida NIS contenenti specifiche tecniche a supporto degli operatori tenuti ad implementarle.

Queste misure iniziali vengono definite “di base” perché rappresentano il primo livello di obblighi di sicurezza che le aziende NIS 2 dovranno attuare in fase di prima applicazione (come previsto dall’art. 42 del Decreto). Ciò lascia intendere che l’ACN emanerà in seguito ulteriori misure di sicurezza più avanzate. Le imprese dovranno dunque mantenersi aggiornate e adottare un approccio graduale: prima raggiungere la conformità alle misure di sicurezza di base entro le scadenze previste, sapendo che successivamente potranno essere richiesti standard di sicurezza più elevati.

‍

Certificazioni e specifiche tecniche

Un altro elemento di novità introdotto dalla Direttiva NIS 2 è la possibilità per l’ACN di imporre l’utilizzo di determinati prodotti, servizi o processi ICT con requisiti di sicurezza specifici. In pratica, l’ACN potrà richiedere ai soggetti essenziali e importanti di adottare (sia per soluzioni sviluppate internamente, sia acquistate da terze parti) solo tecnologie che abbiano determinate caratteristiche di cybersecurity o certificazioni riconosciute.

Questa disposizione darà sicuramente impulso ai processi di certificazione europea nel campo della sicurezza informatica, favorendo lo sviluppo di un mercato digitale più sicuro e affidabile.

Nella stessa direzione va la facoltà attribuita all’ACN di promuovere l’adozione di specifiche tecniche riconosciute e di predisporre – aggiornandolo periodicamente – un elenco delle categorie di tecnologie più idonee a garantire un’efficace gestione dei rischi cyber. Tale elenco non sarà vincolante né esaustivo, ma verrà pubblicato sul sito istituzionale dell’Agenzia come riferimento per le aziende.

‍

Il ruolo del management

Un principio chiave della Direttiva NIS 2, ora sancito anche a livello nazionale, è la chiara attribuzione di responsabilità al top management delle aziende in materia di sicurezza informatica. Seguendo la falsariga di quanto previsto dal recente Regolamento DORA per il settore finanziario, il decreto NIS 2 impone infatti che gli organi di amministrazione e i dirigenti abbiano un ruolo attivo nel garantire la compliance alla normativa.

In concreto, il consiglio di amministrazione (o altro organo direttivo equivalente) deve approvare le modalità di implementazione delle misure per la gestione dei rischi cyber, sovrintendere all’adozione degli obblighi previsti e sarà ritenuto direttamente responsabile in caso di violazioni. Inoltre, il management deve essere informato tempestivamente su eventuali incidenti informatici significativi che colpiscono l’azienda, così come sulle notifiche inviate al CSIRT Italia.

L’inosservanza degli obblighi posti a carico degli organi direttivi può comportare l’applicazione di sanzioni (come vedremo oltre). Dunque è fondamentale che le attività di adeguamento alla NIS 2 siano pianificate non solo sotto il profilo tecnico, ma anche tenendo conto delle possibili responsabilità legali per i vertici aziendali.

Accordi di condivisione delle informazioni: obbligo di comunicazione

Tra le peculiarità introdotte dal decreto italiano vi è l’obbligo di comunicare all’ACN l’esistenza di eventuali accordi di condivisione delle informazioni in materia di cybersecurity ai quali l’azienda partecipa. Si intendono quei contratti o intese con altri soggetti che prevedono lo scambio reciproco di informazioni sulla sicurezza informatica – ad esempio relative a minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure di attacco, indicatori di compromissione, dettagli sugli attori delle minacce, allarmi di sicurezza e raccomandazioni di configurazione degli strumenti di difesa.

Gli obiettivi di tali accordi di condivisione sono principalmente due:

• Prevenire o gestire meglio gli incidenti: grazie allo scambio di informazioni, i partecipanti possono rilevare o prevenire più efficacemente gli attacchi, oltre a migliorare le capacità di risposta e mitigazione;

• Elevare il livello di sicurezza collettivo: aumentando la consapevolezza sulle minacce emergenti e diffondendo best practice di sicurezza tra tutti i soggetti coinvolti.

Le aziende dovranno notificare all’ACN questi accordi tramite la piattaforma online dedicata, così che l’Agenzia abbia visibilità sulle reti di cooperazione attive per la condivisione di informazioni cyber.

‍

Le sanzioni previste dal decreto NIS 2

Il compito di supervisionare l’applicazione della direttiva NIS 2 e di irrogare le sanzioni in caso di inadempienze spetta all’ACN. Il regime sanzionatorio delineato dal Decreto Legislativo 138/2024 è molto severo e differenziato in base alla gravità della violazione e alla qualifica del soggetto (essenziale vs. importante).

Sanzioni principali per violazioni gravi

Per le violazioni più gravi degli obblighi NIS 2, le multe possono arrivare fino a 10 milioni di euro (o al 2% del fatturato annuo mondiale) per i soggetti essenziali, e fino a 7 milioni di euro (o all’1,4% del fatturato) per i soggetti importanti. Rientrano in questa categoria, ad esempio, la mancata osservanza degli obblighi posti a carico del management, la mancata implementazione delle misure tecniche/organizzative richieste o l’omessa notifica di un incidente significativo.

Sanzioni minori e soglie minime

Il decreto introduce anche un minimo edittale per le sanzioni: la sanzione minima applicabile è pari a 1/20 (un ventesimo) del massimo edittale per i soggetti essenziali, e a 1/30 (un trentesimo) per i soggetti importanti. Inoltre, per una serie di violazioni meno gravi sono previste sanzioni ridotte (comunque fino allo 0,1% del fatturato annuo mondiale per gli essenziali, e 0,07% per gli importanti). Tra queste violazioni minori rientrano:

• la mancata registrazione iniziale sulla piattaforma ACN (o il mancato aggiornamento periodico dei dati richiesto);

• l’inosservanza delle procedure stabilite dall’ACN per la comunicazione e l’aggiornamento delle informazioni;

• la mancata comunicazione o aggiornamento dell’elenco di attività e servizi ai fini della categorizzazione del rischio;

• la mancata aderenza agli obblighi relativi a specifici schemi di certificazione (qualora previsti);

• la mancata cooperazione con l’ACN nello svolgimento delle sue funzioni di controllo;

• la mancata collaborazione con il CSIRT Italia nelle attività di gestione degli incidenti.

In caso di violazioni ripetute (recidiva), le sanzioni possono essere aumentate fino al triplo.

Sanzioni accessorie

Oltre alle sanzioni pecuniarie, sono previsti anche provvedimenti accessori. Ad esempio, se l’ACN emette una diffida nei confronti di un’azienda (richiedendo di adottare specifiche misure di sicurezza) e questa non ottempera entro il termine stabilito, l’Agenzia potrà disporre la sospensione temporanea di eventuali certificazioni o autorizzazioni relative ai servizi erogati dall’ente. Inoltre, in tali casi, le conseguenze possono ricadere anche sul management: ai dirigenti responsabili potrà essere temporaneamente vietato di ricoprire incarichi manageriali nel medesimo ente.

‍

Le scadenze NIS 2

Il calendario di attuazione della Direttiva NIS 2 è particolarmente serrato. Di seguito riepiloghiamo le principali scadenze da tenere presenti per l’adeguamento, dalla pubblicazione del decreto fino ai prossimi anni:

Inizio 2025 – Entrata in vigore degli obblighi per le imprese

Entro i primi mesi del 2025, le imprese identificate come soggetti NIS 2 dovranno essere operative con tutte le misure organizzative e tecniche richieste. In particolare, all’inizio del 2025 le aziende devono:

• aver effettuato l’assessment iniziale ed essersi registrate sulla piattaforma ACN (auto-identificazione);

• aver istituito un adeguato sistema di gestione della sicurezza informatica;

• implementare le prime misure tecniche e organizzative previste (misure di base);

• aver assegnato chiaramente le responsabilità interne in materia di cybersecurity al proprio management.

Entro maggio 2025 – Aggiornamento dei dati nel portale ACN

Le imprese incluse negli elenchi ufficiali dovranno aggiornare i propri dati e informazioni sulla piattaforma istituzionale ACN entro maggio 2025, perfezionando così la registrazione come soggetti NIS 2. Nota: successivamente, il portale verrà riaperto ogni anno (indicativamente tra gennaio e febbraio) per permettere alle aziende di aggiornare periodicamente i dati forniti (es. nuovi servizi, variazioni organizzative, contatti).

Gennaio 2026 – Obbligo di notifica degli incidenti

Dal gennaio 2026 diventa pienamente efficace l’obbligo di notifica tempestiva degli incidenti significativi alle autorità competenti (ACN/CSIRT). Entro tale data le aziende dovranno:

• aver predisposto un efficace piano interno di gestione degli incidenti informatici;

• aver testato regolarmente tale piano, integrandolo nelle procedure operative;

• aver stabilito un canale di comunicazione attivo con l’ACN/CSIRT per le segnalazioni di sicurezza.

Aprile 2026 – Modello di categorizzazione ACN

Entro aprile 2026 l’ACN definirà e pubblicherà un modello di categorizzazione delle attività e dei servizi delle imprese soggette a NIS 2. Questo modello aiuterà a inquadrare il profilo di rischio di ogni organizzazione e a delineare gli obblighi di lungo termine in base alla categoria di rischio e al settore di appartenenza.

Settembre 2026 – Completamento delle misure di sicurezza di base

Entro settembre 2026 le organizzazioni dovranno aver implementato tutte le misure di sicurezza “di base” richieste. Si tratta di una scadenza chiave: l’adeguamento iniziale alla NIS 2 dovrà essere sostanzialmente completato. Questo comporta anche un cambiamento nella governance aziendale, dato che:

• il top management dovrà farsi carico in prima persona della supervisione della cybersecurity aziendale;

• dovrà essere promossa una cultura della sicurezza informatica a livello di tutta l’organizzazione (formazione interna, policy, procedure documentate, ecc.).

Ogni 2 anni dal 2025 – Report periodici

A partire dal 2025 (e poi con cadenza biennale), le imprese soggette dovranno inviare all’ACN dei rapporti periodici sul proprio stato di sicurezza informatica. In particolare, ogni due anni andranno trasmessi:

• un rapporto di valutazione dei rischi aggiornato;

• una relazione sulle misure di sicurezza adottate e sul loro stato di implementazione;

• un resoconto degli eventuali incidenti occorsi nel periodo, con le relative azioni di risposta intraprese.

‍

Checklist: punti chiave da ricordare

• Verifica iniziale: valutare se la propria organizzazione rientra tra i soggetti interessati dalla Direttiva NIS 2 (in base a settore, dimensioni e tipologia di attività) ed effettuare un assessment preliminare.

• Registrazione su ACN: se l’azienda rientra, procedere tempestivamente alla registrazione sulla piattaforma ACN e attendere la conferma dell’eventuale inserimento negli elenchi ufficiali.

• Coinvolgimento del management: designare un referente interno per la compliance NIS 2 e coinvolgere da subito il top management nel piano di adeguamento, dato che la cybersecurity diventa responsabilità diretta dei vertici.

• Implementazione misure di base: pianificare e implementare entro le scadenze tutte le misure di sicurezza “di base” richieste, predisponendo un sistema di gestione della sicurezza informatica e le necessarie procedure operative (es. piano di incident response).

• Procedure di notifica incidenti: organizzare un processo interno per la notifica tempestiva degli incidenti al CSIRT e, quando richiesto, ai destinatari dei servizi e al pubblico, assicurando la raccolta delle informazioni necessarie entro le tempistiche stabilite.

• Aggiornamenti periodici: mantenere aggiornati annualmente i dati aziendali sulla piattaforma ACN (attività, servizi, contatti) e preparare i report periodici biennali su rischi, misure adottate e incidenti, come richiesto dall’ACN.

• Certificazioni e requisiti tecnici: monitorare gli eventuali obblighi di adozione di tecnologie certificate o specifiche tecniche indicate dall’ACN, adeguando i propri sistemi e fornitori ai nuovi standard di cybersecurity per le aziende.

• Consapevolezza delle sanzioni: tenere a mente che la non conformità può comportare sanzioni severe (fino al 2% del fatturato per violazioni gravi) e perfino provvedimenti sui dirigenti, quindi il rispetto della normativa deve essere una priorità assoluta.

• Cultura della sicurezza: investire nella formazione e sensibilizzazione del personale e promuovere una cultura aziendale della sicurezza informatica, integrando la cybersecurity nella strategia di business e nei processi quotidiani.

La Direttiva NIS 2 introduce nuove sfide per la cybersecurity aziende.

‍

-

Vuoi adeguare la tua azienda alla Direttiva NIS 2? Con il nostro supporto potrai adeguare la tua azienda nuovi requisiti di cyber security!