La Direttiva NIS2 e i tuoi documenti: cosa devono sapere le imprese UE
La NIS2 è la più grande espansione della normativa UE sulla cybersecurity in un decennio. Copre oltre 160.000 entità in 18 settori — e la maggior parte di ciò che richiede è documentazione. Registri dei rischi, record degli incidenti, approvazioni di policy, valutazioni dei fornitori, log di formazione. Ecco cosa devi fare concretamente.
Ultimo aggiornamento: aprile 2026
In breve
- → La NIS2 è principalmente una sfida di documentazione e governance, non tecnologica. Sette delle dieci misure di sicurezza obbligatorie ai sensi dell'Articolo 21 riguardano fondamentalmente processi documentati, policy approvate ed evidenze verificabili.
- → Se la tua organizzazione opera in uno dei 18 settori coperti e ha 50 o più dipendenti (o supera i 10 milioni di euro di fatturato annuo), è molto probabile che rientri nell'ambito di applicazione — come entità essenziale o importante.
- In conclusione: Un sistema di gestione documentale non ti rende conforme alla NIS2 da solo. Ma una cattiva gestione documentale — policy mancanti, nessuna cronologia delle versioni, nessuna traccia di approvazione — garantisce il fallimento di un audit.
Cos'è la NIS2 e perché è importante?
La direttiva sulla sicurezza delle reti e dei sistemi informativi 2 (NIS2) è la Direttiva (UE) 2022/2555, adottata a dicembre 2022 e in vigore da gennaio 2023. Sostituisce l'originale direttiva NIS del 2016. Il salto di portata è enorme: la NIS1 copriva circa 15.000 entità in 7 settori. La NIS2 ne copre oltre 160.000 in 18 settori. Si tratta di un'espansione di dieci volte.
Gli Stati membri erano tenuti a recepire la NIS2 nel diritto nazionale entro il 17 ottobre 2024. Ad aprile 2026, 21 Stati membri su 27 lo hanno fatto. La Commissione Europea ha inviato pareri motivati a 19 Stati membri a maggio 2025 per la mancata notifica del recepimento completo. La Germania ha completato il recepimento a dicembre 2025. La Francia dovrebbe finalizzare la sua Loi Résilience a metà del 2026. L'applicazione è già iniziata.
| Aspetto | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Entità interessate | ~15.000 | ~160.000+ |
| Settori coperti | 7 | 18 |
| Sanzione massima | Variabile per Stato membro | 10 milioni € o 2% del fatturato globale |
| Responsabilità del management | Nessuna | Responsabilità personale (Art. 20) |
| Segnalazione incidenti | “Senza indebito ritardo” | 24h / 72h / 1 mese (Art. 23) |
| Requisiti catena di fornitura | Nessuno | Obbligatorio (Art. 21(2)(d)) |
Eppure, secondo un sondaggio di CyberSmart condotto su 670 leader aziendali in otto paesi UE pubblicato ad aprile 2026, solo il 16% delle imprese interessate è pienamente conforme alla NIS2. Le barriere principali sono i vincoli di budget e la mancanza di orientamento su come implementare le misure. Questa guida affronta il secondo problema.
Rientri nell'ambito di applicazione?
La NIS2 si applica alle entità che operano in uno dei 18 settori designati E soddisfano la soglia dimensionale. Esistono due classificazioni di entità: essenziali (obblighi più elevati, supervisione proattiva) e importanti (supervisione reattiva, ma si applicano le stesse misure di sicurezza fondamentali).
La soglia dimensionale generale è quella di media impresa o superiore: 50 o più dipendenti, OPPURE un fatturato annuo superiore a 10 milioni di euro, OPPURE un bilancio annuo superiore a 10 milioni di euro. Alcune entità si qualificano indipendentemente dalle dimensioni — inclusi i fornitori di DNS, i registri TLD, i fornitori di servizi fiduciari e i fornitori di reti pubbliche di comunicazione elettronica.
I 18 settori sono divisi in due allegati. Entrambi comportano gli stessi requisiti di sicurezza dell'Articolo 21. La differenza risiede nel modo in cui le autorità di vigilanza interagiscono con te:
| Classificazione | Settori (Allegato) | Supervisione |
|---|---|---|
| Essenziale (Allegato I) | Energia, trasporti, banche, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT (B2B), pubblica amministrazione, spazio | Proattiva — le autorità possono eseguire audit, ispezioni e richiedere prove in qualsiasi momento |
| Importanti (Allegato II) | Servizi postali, gestione dei rifiuti, prodotti chimici, produzione e distribuzione di alimenti, produzione (dispositivi medici, elettronica, macchinari, veicoli), fornitori digitali (marketplace, motori di ricerca, social network), ricerca | Reattiva — le autorità indagano dopo un incidente o quando emergono prove di non conformità |
Nota: la proposta di emendamento della Commissione di gennaio 2026 introduce una nuova categoria "small mid-cap" per le entità con meno di 750 dipendenti e un fatturato inferiore a 150 milioni di euro. Secondo questa proposta, le small mid-cap verrebbero classificate come importanti anziché essenziali, anche se operano nei settori dell'Allegato I. Questa proposta è ancora in fase di negoziazione legislativa e non è ancora in vigore.
Le 10 misure di sicurezza obbligatorie (Articolo 21)
L'Articolo 21(2) elenca dieci misure di sicurezza minime che ogni entità nel perimetro di applicazione deve implementare. Non sono suggerimenti — sono requisiti legali, ulteriormente dettagliati nel Regolamento di esecuzione (UE) 2024/2690 della Commissione.
L'aspetto fondamentale: osserva la colonna "Documento richiesto". Sette delle dieci misure riguardano fondamentalmente il possesso di politiche o procedure documentate, approvate e verificabili. È qui che la gestione documentale diventa direttamente rilevante.
| # | Requisito | Cosa significa | Documento richiesto |
|---|---|---|---|
| (a) | Analisi dei rischi e politiche di sicurezza delle informazioni | Identifica i tuoi rischi, valutali e documenta come intendi gestirli | Registro dei rischi, metodologia di valutazione dei rischi, politica di sicurezza |
| (b) | Gestione degli incidenti | Rileva, rispondi e impara dagli incidenti di sicurezza | Piano di risposta agli incidenti, matrice di escalation, modello di revisione post-incidente |
| (c) | Continuità operativa e gestione delle crisi | Gestione dei backup, disaster recovery e risposta alle crisi | Piano di continuità operativa, piano di disaster recovery, politica di backup |
| (d) | Sicurezza della catena di approvvigionamento | Valuta e gestisci i rischi di cybersecurity derivanti dai tuoi fornitori | Politica di sicurezza dei fornitori, registri di valutazione dei venditori |
| (e) | Sicurezza nell'acquisizione, sviluppo e manutenzione | Gestione delle vulnerabilità e pratiche di sviluppo sicuro | Procedura di gestione delle patch, politica di divulgazione delle vulnerabilità |
| (f) | Test di efficacia | Valuta se le tue misure di sicurezza funzionano effettivamente | Programma di audit interno, rapporti di test, dashboard KPI |
| (g) | Igiene informatica di base e formazione | Forma il personale e stabilisci pratiche di sicurezza di routine | Piano di formazione, registri di presenza, materiali di sensibilizzazione |
| (h) | Crittografia e cifratura | Politiche per la crittografia dei dati a riposo e in transito | Politica di crittografia, procedura di gestione delle chiavi |
| (i) | Sicurezza delle risorse umane e controllo degli accessi | Gestisci chi ha accesso a cosa, dall'onboarding all'offboarding | Politica di controllo degli accessi, procedura per nuovi assunti/cambi ruolo/dimissioni |
| (j) | Autenticazione a più fattori e comunicazioni sicure | MFA sui sistemi critici, comunicazioni voce/video/testo protette | Politica di applicazione MFA, standard per le comunicazioni sicure |
La NIS2 è un problema di documentazione
È qui che la maggior parte delle guide sulla NIS2 fallisce. Spiegano le 10 misure, elencano i settori e passano oltre. Ma la vera sfida della conformità non è implementare un firewall o attivare l'MFA — la maggior parte delle medie imprese lo ha già fatto. La sfida è dimostrarlo.
Gli auditor non controllano le regole del tuo firewall. Controllano la tua documentazione. Vogliono vedere che le politiche esistano, siano aggiornate (riviste negli ultimi 12 mesi), abbiano un'approvazione documentata della direzione e siano versionate con una cronologia delle modifiche. Sotto la NIS2, l'evidenza è la conformità.
Il Regolamento di esecuzione (UE 2024/2690) traduce l'Articolo 21 in circa 30 documenti specifici che le entità devono produrre e mantenere. Questi non sono opzionali — sono ciò che le autorità di vigilanza richiederanno durante un audit o dopo un incidente.
| Tipo di evidenza | Cosa controllano gli auditor | Come aiuta un DMS |
|---|---|---|
| Documenti di politica | Versione attuale, approvazione della direzione, data di revisione, cronologia versioni | Controllo di versione, workflow di approvazione, audit trail su ogni modifica |
| Registro dei rischi | Mappatura asset-rischio-controllo, proprietari nominati, stato del trattamento, log di revisione | Archiviazione strutturata con metadati, ricerca per proprietario o stato |
| Registri degli incidenti | Cronologia, classificazione, azioni di risposta, revisione post-incidente, conservazione minima 5 anni | Audit log immutabili, politiche di conservazione, ricerca full-text |
| Valutazioni dei fornitori | Questionari fornitori completati, clausole di sicurezza nei contratti, revisioni periodiche | Archiviazione contratti, tagging per fornitore, promemoria rinnovi |
| Registri di formazione | Log di presenza, date di completamento, prova della formazione della direzione | Archiviazione documenti, ricerca basata sulla data, organizzazione per categoria |
| Decisioni della direzione | Verbali del consiglio che mostrano discussioni sulla cybersecurity, approvazione dell'accettazione del rischio | Workflow di approvazione con timestamp e approvatori nominati |
Il tema ricorrente è la tracciabilità. Ogni documento deve rispondere a: chi lo ha creato, quando, chi lo ha approvato, quando è stato revisionato l'ultima volta e cosa è cambiato rispetto alla versione precedente. Una cartella su un disco condiviso non offre tutto questo. Un DMS con cronologia delle versioni e workflow di approvazione sì.
Segnalazione degli incidenti: la regola 24-72-1
L'Articolo 23 impone un processo di segnalazione degli incidenti in tre fasi per gli incidenti significativi. Il mancato rispetto di queste scadenze è di per sé una violazione della conformità. Ogni fase richiede prove documentate — il che significa che la qualità dei tuoi registri degli incidenti è direttamente legata alla tua esposizione normativa.
Pre-allarme
Notifica il tuo CSIRT nazionale entro 24 ore dal momento in cui vieni a conoscenza di un incidente significativo. Si tratta di un avviso preliminare, non di un'analisi completa.
Notifica dell'incidente
Invia una valutazione iniziale dell'incidente: gravità, impatto, indicatori di compromissione ed effetti transfrontalieri.
Relazione finale
Fornisci una relazione completa: analisi delle cause profonde, misure di mitigazione adottate e impatto transfrontaliero. Se l'incidente è ancora in corso, invia invece una relazione sullo stato di avanzamento.
In pratica, le organizzazioni che non dispongono di una gestione documentale strutturata faticano a raccogliere le prove dell'incidente sotto pressione. Quelle che mantengono registri organizzati — con timestamp, cronologia delle versioni e archivi ricercabili — possono produrre ciò di cui i regolatori hanno bisogno in poche ore, non settimane.
A che punto è il tuo paese?
La NIS2 avrebbe dovuto essere recepita nel diritto nazionale entro il 17 ottobre 2024. In realtà, l'attuazione è stata lenta. Ad aprile 2026, 21 dei 27 Stati membri hanno completato il recepimento secondo il tracker ECSO. La Commissione Europea ha inviato pareri motivati a 19 stati nel maggio 2025, concedendo loro due mesi per completare il recepimento o affrontare procedimenti dinanzi alla Corte di Giustizia.
Ecco lo stato delle sei maggiori economie dell'UE:
| Paese | Stato | Dettagli |
|---|---|---|
| Germania | Recepita | BSI Act adottato il 6 dicembre 2025. In vigore senza periodo transitorio. Prima sanzione emessa: 850.000 € contro un fornitore cloud (febbraio 2026). |
| Francia | In corso | Loi Résilience approvata in prima lettura all'Assemblea Nazionale. Adozione finale prevista per il Q1/Q2 2026. L'ANSSI ha aperto indagini su 14 entità. |
| Italia | Recepita | Decreto Legislativo 138/2024 in vigore da ottobre 2024. L'ACN segnala oltre 4.800 entità registrate; circa 2.000 ancora non registrate. |
| Spagna | In stallo | Nessun progresso legislativo previsto nel breve termine. |
| Paesi Bassi | In corso | Cybersecurity Act (Cbw) in preparazione. Scadenza per l'autovalutazione delle entità fissata per giugno 2026. |
| Polonia | In corso | Emendamento alla legge sul sistema nazionale di cybersecurity in fase di completamento. |
Anche se il tuo paese non ha ancora recepito la NIS2, la direttiva si applica.
La NIS2 è in vigore come legge UE dal 18 ottobre 2024. Le autorità nazionali applicheranno i requisiti retroattivamente una volta completato il recepimento. Iniziare la conformità ora — invece di aspettare la legislazione nazionale — è l'unica posizione difendibile.
Le sanzioni sono reali
La NIS2 introduce due livelli di sanzioni amministrative, modellati sulla struttura delle sanzioni del GDPR. Gli Stati membri possono fissare massimali superiori a queste soglie minime, ma non inferiori.
| Tipo di entità | Sanzione massima | Alternativa sul fatturato | Poteri aggiuntivi |
|---|---|---|---|
| Essenziali | 10.000.000 € | o il 2% del fatturato annuo globale (se superiore) | Istruzioni vincolanti, audit di sicurezza a spese dell'entità, divieti temporanei di gestione |
| Importanti | 7.000.000 € | o l'1,4% del fatturato annuo globale (se superiore) | Istruzioni vincolanti, audit di sicurezza a spese dell'entità |
L'Articolo 20 aggiunge la responsabilità personale: gli organi direttivi devono approvare le misure di gestione dei rischi di cybersecurity e supervisionarne l'attuazione. I membri della direzione possono essere ritenuti personalmente responsabili per la non conformità. In alcuni Stati membri, tra cui la Germania, ciò si estende a divieti temporanei di ricoprire cariche dirigenziali.
L'applicazione sta seguendo il modello iniziale del GDPR. Il BSI tedesco ha emesso 47 avvisi formali nel Q4 2025 e la sua prima sanzione pecuniaria (850.000 € contro un fornitore di servizi cloud) nel febbraio 2026. L'ANSSI francese ha aperto 14 indagini. L'ACN italiana si è concentrata sull'obbligo di registrazione. Si prevede che le sanzioni finanziarie significative aumenteranno nel corso del 2026-2027 con la maturazione dell'applicazione nazionale.
La proposta di semplificazione di gennaio 2026
Il 20 gennaio 2026, la Commissione Europea ha pubblicato una proposta di emendamenti mirati alla NIS2 come parte di un pacchetto più ampio sulla cybersecurity. L'obiettivo dichiarato è semplificare la conformità, aumentare la certezza del diritto e armonizzare l'attuazione. La proposta seguirà la procedura legislativa ordinaria, con un accordo politico previsto per l'inizio del 2027.
Ecco cosa potrebbe cambiare — e cosa no:
NON cambierà
- ×Le 10 misure di sicurezza obbligatorie (Articolo 21)
- ×Requisiti di documentazione ed evidenza
- ×Tempistiche di segnalazione degli incidenti (24h/72h/1 mese)
- ×Struttura delle sanzioni e responsabilità della direzione
Potrebbe cambiare (fase di proposta)
- ✓Nuova categoria "small mid-cap" (<750 dipendenti, <150M € di fatturato) — riclassificata come importante invece di essenziale
- ✓Percorso di conformità basato sulla certificazione tramite l'EU Cybersecurity Certification Framework
- ✓Micro e piccoli fornitori di DNS rimossi dal perimetro di applicazione
- ✓Massima armonizzazione per gli atti di esecuzione — meno divergenze nazionali
La direzione è chiara: la NIS2 sta diventando più semplice da rispettare, non più debole. Gli obblighi fondamentali rimangono. Se ritardi la conformità sperando che gli emendamenti ti esentino, stai correndo un rischio legale. La proposta restringe il perimetro ai margini ma non riduce i requisiti per le entità che rimangono in ambito.
Checklist pratica per le PMI
Se stai leggendo questo perché il tuo responsabile della conformità ha detto "potremmo essere nel perimetro" — ecco il percorso minimo percorribile. Questo non è un piano di implementazione NIS2 completo. È l'insieme di azioni che ti porterà da zero a essere pronto per un audit per quanto riguarda i requisiti di documentazione.
Determina se sei nel perimetro
Controlla il tuo settore rispetto agli Allegati I e II. Applica la soglia dimensionale (50+ dipendenti o 10M+ € di fatturato). Se non sei sicuro, consulta il registro della tua autorità nazionale — diversi Stati membri hanno pubblicato elenchi di entità o strumenti di autovalutazione.
Classifica come essenziale o importante
I settori dell'Allegato I sono generalmente essenziali; i settori dell'Allegato II sono generalmente importanti. La distinzione influisce sull'intensità della vigilanza ma non sui requisiti fondamentali dell'Articolo 21. Documenta la logica della tua classificazione.
Esegui una gap analysis rispetto alle 10 misure
Per ciascuna delle 10 misure dell'Articolo 21, rispondi: abbiamo una politica documentata? È approvata dalla direzione? È stata revisionata negli ultimi 12 mesi? Abbiamo prove dell'attuazione? Annota le lacune.
Costruisci il tuo pacchetto di evidenze
Inizia con i tre registri fondamentali: rischi, incidenti e fornitori. Aggiungi una politica di sicurezza delle informazioni, un piano di continuità operativa e un registro della formazione. Ogni documento necessita di un proprietario, una data di revisione, un controllo di versione e l'approvazione della direzione.
Configura la gestione del ciclo di vita dei documenti
Ogni documento di politica NIS2 necessita di una data di creazione, un record di approvazione, un programma di revisione e una cronologia delle versioni. Se gestisci tutto questo in una cartella condivisa, ne perderai traccia in pochi mesi. Un DMS con workflow di approvazione e audit trail rende tutto questo sostenibile.
Pianifica revisioni della direzione e formazione
L'Articolo 20 richiede che gli organi direttivi approvino le misure di cybersecurity e seguano una formazione. Pianifica revisioni trimestrali, documenta le presenze e conserva i verbali delle decisioni. Questa è l'evidenza che gli auditor controllano per prima.
Come Veluvanto aiuta con la documentazione NIS2
Veluvanto non è una piattaforma GRC. Non sostituisce la tua metodologia di valutazione dei rischi o le tue procedure di risposta agli incidenti. Ciò che fa è fornire il livello di gestione documentale che rende sostenibili le evidenze NIS2 — la parte con cui la maggior parte delle aziende fatica dopo la spinta iniziale alla conformità.
- ✓Archiviazione documenti con controllo di versione: ogni modifica viene registrata con timestamp, utente e versione precedente. Puoi ricostruire lo stato di qualsiasi documento in qualsiasi momento — esattamente ciò che richiedono gli auditor.
- ✓Workflow di approvazione: instrada i documenti di politica verso l'approvazione della direzione con stato tracciato. La catena di approvazione crea la traccia di evidenza richiesta dall'Articolo 20.
- ✓Audit trail completo: ogni azione sui documenti (caricamento, visualizzazione, modifica, approvazione, archiviazione) viene registrata. Nessun tracciamento manuale richiesto — l'evidenza di conformità viene generata automaticamente.
- ✓Ricerca e organizzazione basate su AI: trova qualsiasi documento in pochi secondi utilizzando query in linguaggio naturale. Quando un auditor chiede le valutazioni di sicurezza dei fornitori del terzo trimestre, puoi recuperarle immediatamente invece di cercarle tra le cartelle.
- ✓Residenza dei dati in UE e crittografia: i documenti sono archiviati nell'UE con crittografia AES-256 a riposo e in transito. Nessun dato lascia il confine dei dati UE — a differenza di certi strumenti basati su AI che instradano l'elaborazione attraverso data center negli Stati Uniti durante i picchi di domanda.
- ✓Conforme al GDPR per progettazione: isolamento per tenant, crittografia SSE-C e gestione del ciclo di vita dei dati. NIS2 e GDPR si sovrappongono significativamente nei loro requisiti di documentazione — un sistema che soddisfa uno ti porta a buon punto anche per l'altro.
La parte più difficile della conformità NIS2 non è la configurazione iniziale — è il mantenimento delle evidenze nel tempo. Le politiche diventano obsolete, le revisioni vengono saltate, i registri di formazione spariscono. Un DMS che impone il controllo di versione, traccia le approvazioni e registra ogni azione trasforma la conformità da una corsa trimestrale in un processo in background.
Fonti e approfondimenti
Questa guida si basa sulle seguenti fonti primarie. Le date tra parentesi indicano la pubblicazione o l'ultimo aggiornamento di ciascuna fonte.
- Direttiva (UE) 2022/2555 (Direttiva NIS2) — Testo completo su EUR-Lex (dicembre 2022)
- Regolamento di esecuzione (UE) 2024/2690 della Commissione — Misure tecniche per la conformità NIS2 (ottobre 2024)
- COM(2026) 13 — Proposta di emendamenti mirati alla NIS2 e allineamento con il Cybersecurity Act (gennaio 2026)
- ECSO NIS2 Transposition Tracker — 21/27 Stati membri hanno recepito la direttiva ad aprile 2026
- Commissione Europea, Parere motivato a 19 Stati membri sul recepimento della NIS2 (maggio 2025)
- CyberSmart, "Solo il 16% delle aziende è pienamente conforme alla NIS2" — Sondaggio su 670 leader aziendali (aprile 2026)
- ENISA, Guida all'attuazione tecnica della NIS2 (2025)
- Germania BSI — Prima sanzione NIS2: 850.000 € contro un fornitore di servizi cloud (febbraio 2026)
- Valutazione d'impatto della Commissione Europea — Perimetro NIS2: circa 160.000 entità in 18 settori
Guide Correlate
Gestione Documentale GDPR
Come archiviare, organizzare e proteggere i dati personali nel tuo DMS — NIS2 e GDPR condividono una significativa sovrapposizione documentale
EU AI Act e Gestione Documentale
L'altra grande scadenza per la conformità UE nel 2026 — obblighi di trasparenza per le funzionalità AI nel tuo DMS
Workflow di Approvazione Documenti
Come impostare catene di approvazione per i documenti di politica — la base dell'evidenza di governance NIS2