🚨 Il regolamento NIS2 è ora in vigore. La sensibilizzazione alla sicurezza è ora un obbligo di legge nell'UE.

Verifica della conformità
Iniziare la prova gratuita
Torna al Centro risorse

Direttiva NIS2: la guida completa (2026)

La certificazione ISO 27001 è un riconoscimento che dimostra quanto la vostra organizzazione abbia a cuore la gestione delle informazioni sensibili. Ma è ben lungi dall'essere l'unico quadro normativo che richiederà attenzione nel 2026.

La direttiva NIS2 (nota anche come NIS-2 o NIS 2.0) impone alle organizzazioni di 18 settori di adottare misure di sicurezza informatica efficaci, tra cui corsi di formazione sulla sicurezza informatica per tutti i dipendenti.

Tuttavia, comprendere esattamente quali siano i requisiti della direttiva NIS2 e in che modo la legge olandese sulla sicurezza informatica (Cwb) li trasponga nel diritto nazionale può risultare complesso.

In questa guida ti spieghiamo tutto ciò che devi sapere: cos’è la direttiva NIS2, a chi si applica, la checklist completa per il 2026 e come preparare la tua organizzazione all’audit.

Che cos'è la direttiva NIS2?

La direttiva NIS2 (Direttiva (UE) 2022/2555) costituisce il quadro normativo aggiornato dell'Unione Europea in materia di sicurezza delle reti e dell'informazione. Essa ha sostituito la direttiva NIS originale (NIS1) del 2016, che rappresentava il primo atto legislativo dell'UE in materia di sicurezza informatica.

La direttiva NIS2 è entrata in vigore il 16 gennaio 2023 e gli Stati membri dell'UE erano tenuti a recepirla nel diritto nazionale entro il 17 ottobre 2024. Tuttavia, la maggior parte degli Stati membri, compresi i Paesi Bassi, non ha rispettato tale scadenza.

La direttiva mira a garantire un elevato livello comune di sicurezza informatica in tutta l'UE, imponendo alle organizzazioni dei settori critici di:

  • Adottare misure di sicurezza informatica basate sul rischio
  • Segnalare gli incidenti gravi alle autorità entro termini rigorosi
  • Garantire che gli organi direttivi siano adeguatamente formati e responsabili
  • Organizzare regolarmente corsi di formazione sulla sensibilizzazione per tutti i dipendenti
  • Gestire i rischi per la sicurezza della catena di approvvigionamento

Si stima che circa 160.000 soggetti in tutta l'UE rientrino nell'ambito di applicazione della direttiva NIS 2. Si tratta di un aumento di dieci volte rispetto alla direttiva NIS 1.

NIS2 vs NIS1: cosa è cambiato?

La direttiva NIS originaria rappresentava un solido punto di partenza, ma presentava notevoli lacune. La NIS2 le colma su tutta la linea. Ecco una breve sintesi delle modifiche più importanti:

Aspetto NIS1 NIS2
Settori trattati 7 settori 18 settori
Soggetti interessati ~15,000 ~160,000
Segnalazione degli incidenti Non è prevista una tempistica precisa 24 ore / 72 ore / 1 mese
Sanzioni Stabilito per ciascuno Stato membro Fino a 10 milioni di euro o al 2% del fatturato
Responsabilità degli amministratori Non indicato Responsabilità civile per colpa grave
Catena di approvvigionamento Non è espressamente richiesto Gestione obbligatoria dei rischi
Formazione manageriale Non richiesto Obbligatorio per il consiglio di amministrazione e i dirigenti

Vuoi approfondire le differenze? Leggi il nostro confronto completo: Qual è la differenza tra NIS1 e NIS2?

La normativa NIS2 in Europa

La NIS2 è una direttiva dell'UE, il che significa che non si applica direttamente alle organizzazioni. Ogni Stato membro deve recepirla nel proprio ordinamento giuridico nazionale. Ecco qual è la situazione nel 2026.

Stato di attuazione nell'Unione europea

I progressi nell'attuazione variano notevolmente. Paesi come il Belgio, la Croazia e l'Italia sono stati tra i primi ad adottare una legislazione nazionale. Altri, tra cui i Paesi Bassi e la Germania, hanno impiegato più tempo.

La Commissione europea ha avviato procedure di infrazione nei confronti di 23 Stati membri per il mancato rispetto del termine di recepimento fissato per ottobre 2024. A maggio 2025, 19 Stati membri avevano ricevuto avvisi formali (pareri motivati). All’inizio del 2026, circa 16 paesi avevano recepito integralmente la direttiva NIS2 nel proprio ordinamento giuridico nazionale.

Il pacchetto UE sulla sicurezza informatica del gennaio 2026

Il 20 gennaio 2026, la Commissione europea ha pubblicato una proposta di modifica della direttiva NIS2 nell'ambito di un più ampio pacchetto sulla sicurezza informatica. Le modifiche principali includono:

  • Norme giurisdizionali semplificate per le organizzazioni che operano in più paesi dell'UE
  • Percorsi di conformità basati sulle certificazioni, che consentono alle organizzazioni di dimostrare la propria conformità attraverso certificazioni riconosciute
  • Miglioramento della segnalazione dei casi di ransomware con requisiti più dettagliati in materia di dati sugli incidenti
  • Ampliamento dell'ambito di applicazione per includere i fornitori di portafogli di identità digitale europei e di infrastrutture sottomarine per la trasmissione dei dati
  • Riqualificazione di circa 22.500 soggetti al fine di ridurre gli oneri di conformità per le organizzazioni di minori dimensioni
  • Un ruolo rafforzato per l'ENISA nel coordinamento della vigilanza transfrontaliera

Si prevede che tali modifiche saranno oggetto di negoziazione nel corso del 2026, con un periodo di recepimento di 12 mesi a seguito dell'adozione.

NIS2 nei Paesi Bassi: la Cyberbeveiligingswet (Cwb)

Nei Paesi Bassi, la direttiva NIS2 è in fase di recepimento nella Cyberbeveiligingswet (Cwb). Questa legge sostituisce l'attuale Wbni (Wet beveiliging netwerk- en informatiesystemen).

Situazione attuale (marzo 2026)

  • Il disegno di legge è stato presentato alla Tweede Kamer il 4 giugno 2025
  • Era prevista una discussione in seduta plenaria per il 23 marzo 2026
  • Dopo la Tweede Kamer, il disegno di legge deve ancora essere approvato dalla Eerste Kamer
  • Il governo punta a far entrare in vigore la legge nel secondo trimestre del 2026

Tre elementi normativi

L'implementazione olandese si articola su tre livelli:

  1. La legge sulla sicurezza informatica, che costituisce la normativa primaria di attuazione della direttiva NIS2
  2. Il Cyberbeveiligingsbesluit (AMvB), un decreto amministrativo generale che definisce obblighi specifici
  3. Regolamenti ministeriali specifici per settore con requisiti personalizzati per ciascun settore

Principali obblighi olandesi

Le organizzazioni soggette alla legge sulla sicurezza informatica devono rispettare quattro obblighi fondamentali:

  • Dovere di diligenza: attuare misure tecniche e organizzative adeguate per gestire i rischi legati alla sicurezza informatica
  • Obbligo di registrazione: registrarsi presso l'autorità di vigilanza competente per il proprio settore
  • Obbligo di formazione per i dirigenti (obbligo di formazione manageriale): i membri del consiglio di amministrazione e i dirigenti devono seguire una formazione in materia di sicurezza informatica
  • Obbligo di segnalazione: segnalare gli incidenti rilevanti all'NCSC entro i termini previsti

Autorità di vigilanza

L'NCSC (Nationaal Cyber Security Centrum) funge da principale organismo di coordinamento. Le autorità di vigilanza settoriali sono designate tramite decreti ministeriali.

Per le organizzazioni del settore sanitario, il quadro normativo è particolarmente complesso, in quanto combina i requisiti della direttiva NIS2 con le normative esistenti specifiche del settore sanitario in materia di protezione dei dati dei pazienti.

A chi si applica la NIS2?

Il NIS2 si applica alle organizzazioni in base a due criteri: il settore e le dimensioni.

Entità essenziali (settori altamente critici)

  • Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Infrastrutture bancarie e dei mercati finanziari
  • Settore sanitario (ospedali, laboratori, produttori di dispositivi medici, farmacie)
  • Acqua potabile e acque reflue
  • Infrastruttura digitale (DNS, registri dei TLD, fornitori di servizi cloud, data center, CDN)
  • Gestione dei servizi ICT (fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti)
  • Pubblica amministrazione
  • Spazio

Enti di rilievo (altri settori critici)

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Settore manifatturiero (dispositivi medici, elettronica, macchinari, autoveicoli)
  • Produzione, trasformazione e distribuzione alimentare
  • Produzione e distribuzione di prodotti chimici
  • Fornitori di servizi digitali (piattaforme di vendita online, motori di ricerca, piattaforme di social network)
  • Istituti di ricerca

Soglie dimensionali

Le organizzazioni operanti in questi settori rientrano nell'ambito di applicazione se soddisfano i seguenti criteri dimensionali:

  • Imprese di medie dimensioni: oltre 50 dipendenti o fatturato annuo superiore a 10 milioni di euro
  • Grandi imprese: oltre 250 dipendenti o fatturato annuo superiore a 50 milioni di euro

Alcuni soggetti rientrano nell'ambito di applicazione indipendentemente dalle loro dimensioni, tra cui i fornitori di servizi DNS, i registri dei TLD e (in base alle modifiche proposte per il 2026) i fornitori di portafogli di identità digitale europei.

La differenza nella supervisione

I soggetti rilevanti sono soggetti a una vigilanza proattiva, il che comporta verifiche e ispezioni periodiche, oltre a sanzioni più severe. I soggetti importanti sono invece soggetti a una vigilanza reattiva: le indagini vengono avviate solo a seguito di incidenti o segnalazioni di non conformità, e le sanzioni sono meno severe.

Lista di controllo NIS2 (2026)

Utilizza questa lista di controllo completa per verificare che la tua organizzazione soddisfi tutti i requisiti della direttiva NIS2. Questo strumento va oltre la semplice formazione di sensibilizzazione e copre l'intera gamma degli obblighi previsti dalla direttiva NIS2, per aiutarti a prepararti alla conformità e agli audit.

1. Governance e responsabilità gestionale

  • L'organo direttivo ha approvato formalmente le misure di gestione dei rischi legati alla sicurezza informatica dell'organizzazione
  • I membri del consiglio di amministrazione e i dirigenti hanno completato un corso di formazione sulla sicurezza informatica
  • La responsabilità della conformità alla direttiva NIS2 spetta a una persona o a un team designati (ad esempio, il CISO o il responsabile della conformità)
  • La sicurezza informatica è un punto fisso all'ordine del giorno delle riunioni del consiglio di amministrazione e della direzione
  • La direzione è consapevole della propria responsabilità personale in caso di inadempienza
  • Sono stanziati fondi per misure di sicurezza informatica e formazione
  • La struttura di governance della sicurezza informatica è documentata e comunicata

2. Gestione dei rischi e misure di sicurezza

L'articolo 21 della direttiva NIS 2 impone alle organizzazioni di attuare misure adeguate e proporzionate. La vostra lista di controllo dovrebbe includere:

  • È stata effettuata una valutazione formale dei rischi, che viene rivista regolarmente
  • Le politiche di gestione dei rischi sono documentate, approvate e comunicate
  • Sono state adottate misure tecniche: firewall, sistemi di rilevamento delle intrusioni, crittografia, controlli degli accessi
  • Sono state adottate misure organizzative: politiche, procedure, ruoli e responsabilità
  • Sono stati predisposti piani di continuità operativa e di ripristino in caso di emergenza, che vengono sottoposti a verifica
  • Le procedure di backup e ripristino sono documentate e testate regolarmente
  • La segmentazione della rete viene implementata ove opportuno
  • L'autenticazione a più fattori (MFA) viene implementata per i sistemi critici e l'accesso remoto
  • È in atto un programma di gestione delle vulnerabilità (scansioni periodiche, applicazione delle patch)
  • Per lo sviluppo del software interno vengono seguite pratiche di sviluppo sicure

3. Segnalazione degli incidenti e risposta

  • È stato redatto e testato un piano di risposta agli incidenti
  • Vengono definiti i criteri di classificazione degli incidenti (cosa costituisce un «incidente rilevante»)
  • È stata istituita la procedura di allerta precoce con un preavviso di 24 ore e il personale sa come attivarla
  • La procedura di segnalazione degli incidenti entro 72 ore è documentata
  • Il modello e la procedura per la relazione finale mensile sono già stati definiti
  • I recapiti del CSIRT nazionale (ad esempio, l'NCSC nei Paesi Bassi) sono facilmente reperibili
  • Vengono assegnati i ruoli relativi alla risposta agli incidenti e i membri del team vengono formati
  • Vengono effettuate analisi post-incidente e vengono documentati gli insegnamenti tratti
  • La risposta agli incidenti viene verificata tramite esercitazioni teoriche almeno una volta all'anno

4. Sicurezza della catena di approvvigionamento

  • È stato redatto un elenco dei fornitori e dei prestatori di servizi strategici
  • I requisiti in materia di sicurezza informatica sono inclusi nei contratti con i fornitori
  • I fornitori vengono valutati in base al loro livello di sicurezza informatica (due diligence)
  • I rischi derivanti dalle dipendenze da terze parti vengono identificati e mitigati
  • Esiste una procedura per monitorare e verificare la sicurezza dei fornitori nel tempo
  • Le clausole relative alla notifica degli incidenti sono incluse nei contratti con i fornitori
  • L'accesso ai vostri sistemi da parte dei fornitori critici viene monitorato e controllato

5. Formazione sulla sicurezza informatica

  • Tutti i dipendenti seguono regolarmente corsi di formazione sulla sicurezza
  • I dirigenti e i membri del consiglio di amministrazione seguono corsi di formazione specifici sulla sicurezza informatica
  • La formazione è un processo continuo, non un evento isolato (si consiglia di organizzarla con cadenza mensile o settimanale)
  • I contenuti della formazione riguardano il phishing, l'ingegneria sociale, la sicurezza delle password, la gestione dei dati e la segnalazione degli incidenti
  • La formazione verte sulle minacce specifiche del settore che riguardano la vostra azienda
  • I nuovi assunti seguono un corso di formazione di sensibilizzazione durante il periodo di inserimento
  • Gli appaltatori e il personale esterno autorizzato all'accesso ricevono una formazione adeguata
  • Vengono organizzate regolarmente simulazioni di phishing per verificare il livello di preparazione dei dipendenti
  • Vengono monitorati i tassi di completamento della formazione e i punteggi delle valutazioni
  • I contenuti formativi vengono aggiornati sulla base delle informazioni più recenti sulle minacce
  • I certificati di completamento della formazione vengono conservati ai fini delle verifiche di conformità

6. Registrazione e notifica

  • La vostra organizzazione ha stabilito se rientra nella categoria delle entità essenziali o importanti
  • La registrazione presso l'autorità di controllo competente è stata completata (o è prevista per quando la legge entrerà in vigore)
  • I recapiti per la segnalazione di incidenti (CSIRT/autorità di vigilanza) sono aggiornati
  • Le procedure di notifica sono documentate e assegnate a ruoli specifici
  • Viene aggiornata la documentazione relativa all'ambito di applicazione della direttiva NIS2 della vostra organizzazione (quali sistemi, servizi e processi sono coperti)

7. Politiche e documentazione in materia di sicurezza delle informazioni

  • La politica in materia di sicurezza delle informazioni è documentata e approvata dalla direzione
  • È stata adottata una politica di utilizzo corretto, che è stata comunicata a tutti i dipendenti
  • La politica di controllo degli accessi definisce chi ha accesso a quali sistemi e dati
  • Le procedure di classificazione e trattamento dei dati sono documentate
  • La politica sulle password è conforme alle migliori pratiche attuali (complessità, autenticazione a più fattori, divieto di riutilizzo)
  • Sono state adottate politiche relative al lavoro da remoto e al BYOD
  • Le misure di sicurezza fisica relative alle strutture che ospitano sistemi critici sono documentate
  • I controlli crittografici e le politiche di crittografia sono documentati
  • Tutte le politiche vengono riviste e aggiornate almeno una volta all'anno

8. Monitoraggio, verifica e miglioramento continuo

  • È in funzione un sistema di monitoraggio della sicurezza (gestione dei log, SIEM, avvisi)
  • Vengono effettuati regolarmente controlli o valutazioni di sicurezza (interni o esterni)
  • I test di penetrazione vengono effettuati almeno una volta all'anno
  • Gli indicatori chiave di prestazione (KPI) relativi alla sicurezza informatica vengono definiti e comunicati alla direzione
  • I risultati degli audit e degli incidenti portano all'adozione di misure correttive documentate
  • Il programma di sicurezza informatica viene rivisto e migliorato ogni anno
  • Le informazioni sulle minacce vengono monitorate e integrate nelle misure di sicurezza
  • La conformità ai requisiti della direttiva NIS 2 viene verificata prima di ogni ciclo di audit

L'unico requisito NIS2 che puoi spuntare questa settimana

È proprio nella formazione sulla sensibilizzazione che la maggior parte dei programmi si arena. Guardey la trasforma in brevi sfide ludiche, con la reportistica già integrata. Provalo gratuitamente per 14 giorni, senza bisogno di inserire dati di pagamento.

Iniziare la prova gratuita

Certificazione NIS2

Una domanda ricorrente: esiste una certificazione ufficiale NIS2? La risposta breve è no, non ancora.

A differenza della norma ISO 27001, che prevede un processo di certificazione ben consolidato, la direttiva NIS2 è un requisito normativo applicato dalle autorità nazionali di vigilanza. Non esiste un unico attestato di «certificazione NIS2» che si possa ottenere.

Tuttavia, si registrano sviluppi significativi.

Conformità basata sulla certificazione (proposta per il 2026)

Il pacchetto sulla sicurezza informatica della Commissione europea del gennaio 2026 propone percorsi di conformità basati sulle certificazioni. Ciò significa che le organizzazioni in possesso di determinate certificazioni riconosciute potrebbero essere in grado di dimostrare la conformità alla direttiva NIS2, o almeno una conformità parziale, attraverso tali certificazioni.

La norma ISO 27001 come base

La norma ISO 27001 è ampiamente riconosciuta come lo standard esistente più vicino ai requisiti della direttiva NIS2. Le organizzazioni in possesso della certificazione ISO 27001 constateranno che molti requisiti della direttiva NIS2 sono già soddisfatti. Tuttavia, la direttiva NIS2 prevede requisiti aggiuntivi che vanno oltre la norma ISO 27001, tra cui:

  • Scadenze specifiche per la segnalazione degli incidenti (24 ore, 72 ore, 1 mese)
  • Responsabilità degli amministratori e formazione obbligatoria per i membri del consiglio di amministrazione
  • Valutazioni della sicurezza della catena di approvvigionamento
  • Requisiti specifici per settore

Marchi di qualità NIS2 e valutazioni dello stato di preparazione

Diverse organizzazioni esterne offrono valutazioni di preparazione alla NIS2, analisi di maturità o marchi di qualità. Sebbene non si tratti di certificazioni ufficiali, possono aiutare le organizzazioni a valutare il proprio livello di conformità e a dimostrare il proprio impegno nei confronti degli stakeholder.

NIS2 e formazione sulla sensibilizzazione alla sicurezza

La formazione in materia di sicurezza informatica è uno dei requisiti più espliciti della direttiva NIS2. L'articolo 20 stabilisce che gli organi di gestione devono seguire corsi di formazione e che le organizzazioni dovrebbero offrire regolarmente corsi simili ai propri dipendenti.

Perché la NIS2 pone l'accento sulla formazione alla sensibilizzazione

I dati parlano chiaro. Secondo il rapporto «Threat Landscape 2025» dell’ENISA:

  • Il phishing rappresenta il 60% di tutti i punti di accesso utilizzati per le intrusioni
  • Oltre l'80% degli attacchi di ingegneria sociale sfrutta ormai contenuti generati dall'intelligenza artificiale
  • Il 53,7% degli incidenti informatici ha preso di mira organizzazioni classificate come entità essenziali ai sensi della direttiva NIS2
  • La pubblica amministrazione da sola ha rappresentato il 38,2% degli attacchi mirati

Il fattore umano rimane il principale punto debole. Senza personale qualificato in grado di riconoscere e segnalare le minacce, anche le difese tecniche più sofisticate possono essere aggirate.

Cosa si aspetta la NIS2 dal vostro programma di formazione sulla sensibilizzazione

  • Una formazione regolare, non solo una volta all'anno. È richiesta una formazione continua e regolare.
  • Coinvolgimento del management. I membri del consiglio di amministrazione e i dirigenti di alto livello devono partecipare.
  • Rilevanza. La formazione deve riguardare le minacce attuali ed emergenti, compresi gli attacchi basati sull'intelligenza artificiale.
  • Prove. È necessario essere in grado di dimostrare che la formazione viene effettivamente svolta e che è efficace.
  • Ambito di applicazione. Tutti i dipendenti che hanno accesso ai sistemi e ai dati, compresi i collaboratori esterni.

In che modo Guardey ti aiuta a soddisfare i requisiti di sensibilizzazione previsti dalla direttiva NIS2

Con Guardey, i tuoi dipendenti affrontano ogni settimana delle sfide sulla sicurezza informatica che richiedono non più di tre minuti per essere completate. Gli argomenti trattati includono il riconoscimento del phishing, la sicurezza delle password, la gestione dei dati, l'ingegneria sociale e altro ancora, il tutto in linea con i requisiti della direttiva NIS2.

L'approccio basato sulla gamification garantisce livelli elevati di coinvolgimento e di completamento. Inoltre, grazie alla dashboard di reportistica di Guardey, è possibile dimostrare la conformità ai revisori fornendo prove relative a:

  • Tassi di completamento della formazione per dipendente e reparto
  • Punteggi delle valutazioni e andamento delle conoscenze
  • Risultati della simulazione di phishing e progressi nel tempo
  • Copertura degli argomenti in linea con i requisiti NIS2

Errori comuni nella conformità alla direttiva NIS2

Molte organizzazioni sottovalutano l'impegno richiesto per conformarsi alla direttiva NIS 2. Ecco le insidie che riscontriamo più spesso.

1. Aspettare che la legge venga approvata prima di agire

La direttiva NIS2 è in vigore dal gennaio 2023. Anche se la legge olandese sulla sicurezza informatica (Cyberbeveiligingswet) è ancora in fase di iter legislativo, i requisiti sono chiari. Le organizzazioni che aspettano fino all’entrata in vigore ufficiale della legge si troveranno a dover correre contro il tempo per adeguarsi. Iniziate subito.

2. Considerare il NIS2 come un problema esclusivamente informatico

La direttiva NIS2 richiede espressamente la responsabilità del management. Non si tratta di un compito che si può delegare interamente al reparto IT. I membri del consiglio di amministrazione devono ricevere una formazione adeguata, devono approvare le misure di sicurezza informatica e possono essere ritenuti personalmente responsabili.

3. Ignorare i requisiti della catena di approvvigionamento

Molte organizzazioni si concentrano sulla propria sicurezza, ma trascurano quella dei propri fornitori. La direttiva NIS2 impone di valutare e gestire i rischi legati alla sicurezza informatica lungo l'intera catena di approvvigionamento.

4. Solo formazione annuale di sensibilizzazione

Una sola sessione di formazione all'anno non soddisfa il requisito di formazione «regolare». I revisori si aspettano di constatare un impegno costante: micro-formazioni mensili, simulazioni periodiche di phishing e valutazioni continue.

5. Non sapere se la direttiva NIS2 si applica al proprio caso

Sorprendentemente, molte organizzazioni non hanno nemmeno verificato se rientrano nell'ambito di applicazione della direttiva NIS2. Non date per scontato di esserne esclusi. Verificate attentamente i criteri relativi al settore e alle dimensioni.

6. Nessun test di risposta agli incidenti

Non basta avere un piano di risposta agli incidenti sulla carta. La direttiva NIS2 richiede che lo si verifichi. Organizzate esercitazioni teoriche, simulate degli incidenti e assicuratevi che il vostro team sia in grado di rispettare il termine di 24 ore per l'allerta precoce.

7. Mancato rispetto dell'obbligo di registrazione

Ai sensi della legge sulla sicurezza informatica, le organizzazioni sono tenute a registrarsi presso l'autorità di controllo competente. Si tratta di un obbligo facile da trascurare, ma comunque obbligatorio.

NIS2, ISO 27001 e DORA: quali sono le differenze?

Molte organizzazioni devono conformarsi a diversi standard normativi. Ecco un confronto tra NIS2, ISO 27001 e DORA (Digital Operational Resilience Act).

Requisito NIS2 ISO 27001 DORA
Tipo Direttiva UE (obbligo di legge) Norma internazionale (volontaria) Regolamento UE (obbligo di legge)
Ambito di applicazione 18 settori, enti essenziali e importanti Qualsiasi organizzazione (per scelta) Solo settore finanziario
La formazione sulla sensibilizzazione è obbligatoria? Sì (articolo 20) Sì (punto 7.3, A.6.3) Sì (articolo 13)
È richiesta una formazione manageriale? Sì (obbligatorio, a livello di consiglio di amministrazione) Obbligatorio (punto 5.1) Sì (obbligatorio, a livello di consiglio di amministrazione)
Cronologia delle segnalazioni degli incidenti 24 ore / 72 ore / 1 mese Non specificato (definiscilo tu) 4 ore / 72 ore (incidenti gravi nel settore delle TIC)
Sicurezza della catena di approvvigionamento Obbligatorio A.5.19-A.5.22 (controlli sui fornitori) Obbligatorio (rischi legati alle TIC di terze parti)
Sanzioni Fino a 10 milioni di euro o al 2% del fatturato Perdita della certificazione Fino a 10 milioni di euro o al 2% del fatturato
È disponibile la certificazione? Non ancora (previsto per il 2026) Sì (organismi di certificazione accreditati) Non ancora
Responsabilità personale dei dirigenti? No

La buona notizia è che le organizzazioni in possesso della certificazione ISO 27001 godono di un notevole vantaggio in termini di conformità alla direttiva NIS 2. L'approccio alla gestione dei rischi, i requisiti di documentazione e gli obblighi di formazione e sensibilizzazione presentano infatti notevoli punti in comune.

Domande frequenti sulla direttiva NIS2

Cosa significa NIS2?

NIS2 è l'acronimo di «Direttiva sulla sicurezza delle reti e dell'informazione 2». È comunemente indicata anche come NIS-2 o NIS 2.0. Si tratta della seconda versione della direttiva dell'UE sulla sicurezza informatica, che sostituisce la direttiva NIS originaria del 2016.

Quando entrerà in vigore la direttiva NIS2 nei Paesi Bassi?

Si prevede che la legge olandese di attuazione della direttiva NIS2, la «Cyberbeveiligingswet», entri in vigore nel secondo trimestre del 2026. Il disegno di legge è stato presentato alla Tweede Kamer il 4 giugno 2025 ed è attualmente all’esame del Parlamento.

La formazione sulla sensibilizzazione alla sicurezza è obbligatoria ai sensi della direttiva NIS 2?

Sì. L'articolo 20 della direttiva NIS2 impone espressamente agli organi di gestione di seguire corsi di formazione in materia di sicurezza informatica e di offrire regolarmente corsi analoghi ai dipendenti. Ciò rende la formazione sulla sensibilizzazione un obbligo di legge, non una scelta facoltativa.

La direttiva NIS2 si applica alle PMI?

È possibile. Sono interessate le organizzazioni con almeno 50 dipendenti o un fatturato annuo pari o superiore a 10 milioni di euro che operano in uno dei 18 settori contemplati. Alcune entità sono incluse indipendentemente dalle loro dimensioni (ad esempio, i fornitori di servizi DNS e i registri dei TLD).

Quali sono le sanzioni previste in caso di mancata conformità alla direttiva NIS2?

Le entità di importanza sistemica rischiano sanzioni fino a 10 milioni di euro o pari al 2% del fatturato annuo globale. Le entità di rilievo rischiano sanzioni fino a 7 milioni di euro o pari all'1,4% del fatturato globale. Inoltre, i dirigenti possono essere ritenuti personalmente responsabili.

Posso ottenere la certificazione NIS2?

Al momento no. Non esiste una certificazione ufficiale NIS2. Tuttavia, il pacchetto sulla sicurezza informatica del 2026 della Commissione europea propone percorsi di conformità basati sulla certificazione. La certificazione ISO 27001 soddisfa molti dei requisiti NIS2 ed è riconosciuta dai revisori come una solida base.

In che modo il NIS2 differisce dal GDPR?

Il GDPR si concentra sulla protezione dei dati personali. La direttiva NIS2 si concentra invece sulla sicurezza dei sistemi di rete e informativi in senso più ampio. Si tratta di due normative complementari: le misure previste dalla direttiva NIS2 contribuiscono a proteggere i sistemi che trattano dati personali, favorendo così anche la conformità al GDPR.

Qual è il rapporto tra la direttiva NIS2 e la legge sulla sicurezza informatica?

La Cyberbeveiligingswet è la legge nazionale olandese che attua la direttiva UE NIS2. Essa traduce i requisiti della direttiva in normativa olandese applicabile, sostituendo la precedente Wbni (Wet beveiliging netwerk- en informatiesystemen).

Inizia oggi stesso a prepararti per la conformità alla direttiva NIS2

La NIS2 non è una preoccupazione per il futuro. La direttiva è già in vigore, i requisiti sono chiari e l'applicazione è imminente. Le organizzazioni che iniziano ad agire fin da ora si troveranno in una posizione di vantaggio quando gli ispettori busseranno alla loro porta.

Con il corso di formazione sulla sicurezza informatica di Guardey, i vostri dipendenti riceveranno ogni settimana micro-lezioni di 3 minuti su argomenti quali il phishing, la gestione dei dati, la segnalazione degli incidenti e altro ancora. Il tutto in linea con i requisiti della direttiva NIS2, con report completi per gli audit di conformità.

Soddisfare i requisiti formativi previsti dalla NIS2 e dimostrarlo

Guardey forma ogni dipendente in pochi minuti alla settimana e ne registra automaticamente i dati, così avrai sempre a disposizione le prove necessarie. Guardalo dal vivo in una demo.

Programmare una demo
Dinela Lokvancic
Dinela Lokvancic Specialista di marketing Dinela mantiene aggiornata la presenza online di Guardey. Crea contenuti che rendono accessibili argomenti complessi relativi alla sicurezza informatica e aiuta le organizzazioni a comprendere perché la formazione sulla consapevolezza della sicurezza è importante per i loro team.
PRONTO A INIZIARE?

Unisciti alle oltre 500 aziende che già proteggono i propri team con Guardey

Inizia la tua prova gratuita di 14 giorni
14 giorni gratis · Nessuna carta di credito richiesta · Accesso completo · Configurazione in 5 minuti
Oppure prenota una demo personalizzata