«NIS2» è diventata una di quelle sigle che generano più ansia che chiarezza. La prima cosa utile da sapere è anche la più rassicurante: la maggior parte delle PMI non è direttamente obbligata a NIS2. Il motivo per cui potrebbe riguardarti comunque è un altro, meno noto, e sta nella catena di fornitura. Questo articolo separa gli obblighi reali dal panico, e si concentra sulla parte che chi sviluppa software può affrontare davvero: il codice, gli accessi, i dati.
Cos'è NIS2, in breve
NIS2 è la direttiva europea sulla cybersicurezza (Direttiva UE 2022/2555), recepita in Italia dal D.Lgs. 138/2024, in vigore dal 16 ottobre 2024, con l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità di riferimento. Alza l'asticella della sicurezza informatica per una serie di settori considerati critici, e la rende una responsabilità esplicita, che coinvolge anche gli organi di vertice delle aziende obbligate.
Chi è obbligato davvero (e perché quasi tutte le piccole imprese non lo sono)
Qui sta il primo malinteso da sciogliere. Essere in uno dei diciotto settori indicati dalla normativa non basta a essere obbligati: conta anche la dimensione. In ambito rientrano, in linea di massima, le imprese medie e grandi di quei settori, non le piccole e le micro. Le piccole e micro imprese sono coinvolte solo in casi specifici, a prescindere dalla dimensione: per esempio chi fornisce un servizio essenziale in modo esclusivo, o chi gestisce infrastrutture come DNS, registri di domini o reti pubbliche di comunicazione. Per la stragrande maggioranza delle PMI, quindi, non c'è un obbligo diretto.
Chi rientra viene poi distinto in soggetti «essenziali», i più critici, sottoposti a una vigilanza preventiva, e soggetti «importanti», controllati soprattutto in caso di segnalazioni. I soggetti in ambito si registrano sulla piattaforma dell'ACN e hanno tempo per adeguarsi: per la prima ondata di soggetti individuati, il termine per le misure di base è fissato a ottobre 2026, con i meccanismi di notifica degli incidenti già operativi da inizio 2026. Una precisazione onesta: girano molte «soglie precise» di dipendenti e fatturato presentate come regola secca. La realtà è più sfumata, e la classificazione va verificata caso per caso, non liquidata con una cifra.
Il punto che riguarda la tua PMI: la catena di fornitura
Ecco il vero motivo per cui NIS2 può bussare alla tua porta anche se non sei obbligato. Tra i doveri dei soggetti in ambito c'è la sicurezza della catena di fornitura: devono gestire gli aspetti di sicurezza nel rapporto con i loro fornitori diretti. La legge non estende automaticamente l'obbligo ai fornitori, né alle PMI fuori ambito. Ma nella pratica genera un effetto a cascata: l'azienda obbligata, per mettersi in regola, chiede ai propri fornitori, cioè a te se sviluppi o mantieni il loro software, garanzie di sicurezza.
La distinzione è sostanziale e conviene tenerla chiara: non è un obbligo di legge su di te, è una richiesta contrattuale del tuo cliente. Nessuna autorità ti sanziona; ma se non sei pronto, rischi di perdere il contratto. È qui che NIS2, per una PMI fornitrice, smette di essere un tema astratto e diventa concreto.
Cosa ti chiederà il cliente, in concreto
Le richieste che arrivano ai fornitori di software tendono a somigliarsi, perché nascono dagli stessi requisiti. In genere ruotano attorno a pochi punti:
- Clausole contrattuali sulla sicurezza: impegni scritti su come proteggi i dati e il servizio.
- Notifica tempestiva degli incidenti: se qualcosa va storto, il cliente vuole saperlo in fretta.
- Gestione delle vulnerabilità: come individui, correggi e comunichi le falle nel software.
- Sicurezza delle dipendenze: le librerie di terze parti che usi non devono diventare un cavallo di Troia.
- Controllo degli accessi e, dove serve, il diritto del cliente di verificare (audit).
Non tutte arrivano sempre, e l'intensità dipende da quanto sei critico per quel cliente. Ma conviene farsi trovare pronti, con risposte documentate, invece di rincorrere all'ultimo.
Le misure che contano sul software (e che spesso valgono anche per il GDPR)
La buona notizia è che la parte di NIS2 che riguarda chi sviluppa software è un sottoinsieme preciso e concreto, non un universo. E in gran parte coincide con quello che serve già per il GDPR. Le misure che fanno la differenza:
- Sviluppo sicuro e gestione delle vulnerabilità: scrivere codice tenendo conto della sicurezza fin dall'inizio, e avere un modo ordinato per correggere e aggiornare quando emerge una falla.
- Cifratura dei dati: proteggere le informazioni sia dove sono salvate sia mentre viaggiano in rete. È una delle poche misure nominate in modo esplicito, richiesta sia da NIS2 sia dall'art. 32 del GDPR.
- Controllo degli accessi con privilegio minimo: ognuno accede solo a ciò che gli serve; per gli accessi più delicati (amministrativi, da remoto, alle applicazioni esposte) si aggiunge, dove opportuno, l'autenticazione a più fattori.
- Sicurezza delle dipendenze: tenere sotto controllo le librerie esterne, aggiornarle, sapere cosa c'è davvero dentro il proprio software.
Il vantaggio pratico: molte di queste misure soddisfano contemporaneamente NIS2 e GDPR. La cifratura, per dire, è al tempo stesso un requisito di base di NIS2 e una misura «adeguata» citata testualmente dall'art. 32 del GDPR. Una scelta tecnica, due conformità.
Cosa non tratto qui, e quando serve un'altra figura
Per onestà, NIS2 è molto più ampia della parte software. Comprende ambiti che sono un altro mestiere e che non tratto: il monitoraggio continuo della sicurezza, la difesa della rete (firewall, sistemi di rilevamento), la gestione operativa degli incidenti, i test d'intrusione come servizio a sé. Per quelle aree servono figure e fornitori specializzati nella sicurezza gestita. Io mi occupo della fetta applicativa: il software scritto e mantenuto in modo sicuro, gli accessi, i dati, le dipendenze. Sapere dove finisce una competenza e ne comincia un'altra fa parte del lavoro fatto bene.
Prepararsi senza panico, sul lato software
Se sviluppi software e vuoi farti trovare pronto, o se hai già ricevuto un questionario di sicurezza da un cliente, il percorso non è un salto nel buio:
- Capire dove stanno i dati: quali informazioni tratta il software, dove sono salvate, chi vi accede.
- Rivedere codice e configurazione: correggere le debolezze note, chiudere gli accessi troppo larghi, mettere la cifratura dove manca.
- Ordinare la gestione di vulnerabilità e dipendenze: sapere cosa si usa, aggiornarlo, avere un modo per reagire quando esce una falla.
- Documentare le misure: metà del lavoro, davanti a un cliente o a un'autorità, è poter dimostrare cosa si è fatto. Le misure tecniche vanno scritte, non solo applicate.
È lo stesso approccio della sicurezza e della privacy by design: la protezione incorporata nel software, non aggiunta alla fine. Chi costruisce così arriva alle richieste di NIS2 con gran parte del lavoro già fatto.
Se l'azienda sei tu, non chi sviluppa
Fin qui il discorso è rivolto a chi il software lo scrive. Ma se l'azienda sei tu, e il software te lo fa qualcun altro, il messaggio è ancora più semplice: non devi diventare esperto di sicurezza. Ti serve un fornitore che il software lo costruisca già così, e che a una richiesta di sicurezza del tuo cliente sappia rispondere con misure documentate, non con un'alzata di spalle. Quando scegli chi ti sviluppa un sito, un gestionale o un'applicazione, chiedigli come gestisce accessi, cifratura, vulnerabilità e dipendenze: la risposta ti dice subito con chi hai a che fare.
Domande frequenti su NIS2 e PMI
La mia PMI è obbligata a NIS2?
Nella maggior parte dei casi no. L'obbligo diretto riguarda, in linea di massima, le imprese medie e grandi di determinati settori critici, salvo casi specifici in cui rientrano anche micro e piccole a prescindere dalla dimensione. Non esiste una soglia numerica unica: la classificazione va verificata caso per caso, e per la gran parte delle piccole imprese non c'è un obbligo diretto.
Il mio cliente mi chiede requisiti di sicurezza NIS2: sono obbligato?
Non per legge, se non sei tu il soggetto in ambito. È una richiesta contrattuale: il tuo cliente, che è obbligato, deve gestire la sicurezza dei suoi fornitori e la trasferisce a te. Non soddisfarla non comporta una sanzione, ma può costare il contratto.
NIS2 e GDPR sono la stessa cosa?
No. Il GDPR protegge i dati personali; NIS2 protegge la sicurezza dei servizi e delle infrastrutture, anche di dati non personali. Sono regimi diversi, ma diverse misure tecniche (la cifratura, il controllo degli accessi) valgono per entrambi: farle bene una volta serve a due scopi.
Quali sono le scadenze?
Per i soggetti obbligati della prima ondata il termine per le misure di base è ottobre 2026, con i meccanismi di notifica degli incidenti già operativi da inizio 2026. Il conteggio è individuale, calcolato dalla notifica: per soggetti individuati più tardi le scadenze si spostano di conseguenza.
Cosa posso fare, concretamente, sul software?
Sviluppo sicuro e gestione delle vulnerabilità, cifratura dei dati, accessi con privilegio minimo, controllo delle dipendenze e documentazione delle misure adottate. Sono le stesse basi che rendono un software difendibile davanti a un cliente, a un'autorità e a un attacco.
Farsi trovare pronti, sul pezzo che dipende da te
NIS2 non va né ignorata né vissuta come un'apocalisse. Per la maggior parte delle PMI non è un obbligo diretto, ma è una realtà che arriva dai clienti, e la parte che dipende da chi sviluppa software è concreta e delimitata. Farsi trovare con il software costruito e documentato in modo sicuro non serve solo a superare un questionario: è software migliore, che vale di più.
Il modo più semplice per capire a che punto sei è partire da un'analisi: dove stanno i dati, quali accessi e dipendenze contano, cosa manca rispetto a ciò che un cliente potrebbe chiederti. È un primo passo a scopo e prezzo definiti, non un impegno sull'intero percorso.
Per i servizi con cui questi interventi vengono realizzati: Sviluppo sicuro, sicurezza applicativa e GDPR.
Pubblicato originariamente su custralis.com.
Top comments (0)