NIS2: il consolidamento del modello europeo di cybersicurezza per infrastrutture e servizi essenziali

Stato dell’implementazione nei Paesi UE

La Direttiva NIS2 è entrata in vigore a livello europeo nel gennaio 2023 ed è diventata formalmente applicabile dal 18 ottobre 2024, data entro la quale gli Stati membri avrebbero dovuto recepirla nei rispettivi ordinamenti nazionali.

Tuttavia, la situazione attuale risulta ancora disomogenea. Molti Paesi non hanno completato la trasposizione o lo hanno fatto solo parzialmente, generando incertezza normativa per organizzazioni pubbliche e private.

Nel corso del 2025, la Commissione Europea ha intensificato le attività di controllo, avviando procedure di infrazione nei confronti degli Stati in ritardo e sollecitando un rapido allineamento alla normativa. L’obiettivo è evitare che le differenze tra legislazioni nazionali compromettano l’efficacia complessiva del quadro europeo di cybersicurezza. Alcuni Paesi sono ormai prossimi alla piena applicazione operativa, mentre altri hanno posticipato l’entrata in vigore delle misure nazionali al 2025 o ai primi mesi del 2026.

Sotto riportato il riassunto della situazione attuale:

• Romania, Grecia, Ungheria e altri, hanno già adottato le misure nazionali di recepimento o sono molto avanti nel processo legislativo.

• Francia, Germania, Spagna, Irlanda e diversi Stati dell’Europa Centrale e Settentrionale sono attualmente in ritardo o hanno fissato obiettivi di recepimento solo per il 2025 o addirittura i primi mesi del 2026.

• La Commissione ha già espresso che, in assenza di risposte o adeguamenti, potrà trasferire il caso alla Corte di Giustizia dell’Unione Europea.

  
  

Questo ritardo ha generato incertezza tra imprese e PA, rallentando l’adozione di requisiti operativi (governance della sicurezza, risk management, gestione degli incidenti ecc.) che dovrebbero già essere operativi nel tessuto economico europeo.

Requisiti principali di NIS2

Dal punto di vista dei contenuti, la NIS2 conferma e rafforza le novità già introdotte rispetto alla precedente direttiva. Il campo di applicazione viene notevolmente ampliato, includendo un numero molto più elevato di settori e organizzazioni, classificate come “essenziali” o “importanti”.

Un elemento centrale è il rafforzamento della responsabilità del management: gli organi direttivi devono approvare, supervisionare e garantire l’attuazione delle misure di cybersicurezza, con possibili conseguenze anche personali in caso di gravi violazioni. La direttiva impone inoltre l’adozione di misure tecniche e organizzative adeguate, basate su una gestione strutturata del rischio, che comprende valutazioni periodiche, piani di continuità operativa, sicurezza della supply chain e controllo degli accessi.

Particolare attenzione è riservata anche alla notifica degli incidenti, che deve avvenire entro tempistiche stringenti per consentire una risposta coordinata da parte delle autorità competenti.

Roadmap e scadenze Aggiornate

Con l’ingresso nel 2026, la Direttiva NIS2 entra nella sua fase di piena operatività. Non si tratta più soltanto di recepimento normativo, ma di applicazione concreta degli obblighi previsti. Le organizzazioni coinvolte devono aver completato attività come la registrazione presso le autorità nazionali competenti, la definizione delle responsabilità interne, l’implementazione dei controlli di sicurezza e la predisposizione dei processi di gestione e comunicazione degli incidenti.

In diversi Paesi, tra cui l’Italia, le autorità di cybersicurezza hanno già messo a disposizione piattaforme, linee guida e strumenti di supporto per accompagnare le organizzazioni nel percorso di adeguamento, distinguendo tra soggetti essenziali e soggetti importanti.

In dettaglio:

• Fine 2025 – Inizio 2026: molte disposizioni tecniche e di governance devono essere finalizzate e rese operative.

• Entro il 2026: le aziende e le amministrazioni pubbliche classificate come soggetti essenziali devono aver completato adempimenti come nomina dei responsabili CSIRT, reporting interno e di incidenti.

• Periodi di aggiornamento e revisione dei quadri normativi nazionali sono previsti ogni 36 mesi, con la prima revisione UE fissata per 17 ottobre 2027.

  
  

Criticità e sfide di adozione

Nonostante il quadro normativo sia ormai chiaro, l’adozione pratica della NIS2 presenta ancora diverse criticità. I ritardi nella trasposizione nazionale, la complessità dei requisiti e la difficoltà di interpretarli in modo operativo rappresentano ostacoli significativi, soprattutto per le realtà meno strutturate.

A questo si aggiungono la carenza di competenze specialistiche, la presenza di sistemi legacy e l’impatto sulla supply chain, che coinvolge anche organizzazioni non direttamente soggette alla direttiva ma chiamate ad adeguarsi agli standard richiesti da clienti e partner. Tutti questi fattori rendono il percorso di conformità impegnativo e richiedono un approccio strategico e graduale.

La Direttiva NIS2 segna un passaggio cruciale nel rafforzamento della cybersicurezza europea, ma il processo di attuazione è ancora in evoluzione.

Il 2026 rappresenta un punto di svolta: la conformità non può più essere considerata un mero adempimento normativo, bensì un elemento strutturale della governance e della gestione del rischio.

Per organizzazioni pubbliche e private, investire oggi in sicurezza, processi e competenze significa non solo ridurre il rischio di sanzioni, ma soprattutto aumentare la capacità di prevenire, affrontare e superare incidenti informatici in un contesto digitale sempre più complesso.