Blast - Quotidiano di diritto economia fisco e tecnologia

Blast - Quotidiano di diritto economia fisco e tecnologia

Tecnologia

NIS2: cosa è cambiato davvero per imprese e professionisti il 30 giugno

di Lorenzo Romano

Avatar di Blast
Blast
lug 02, 2026
∙ A pagamento

La scadenza del 30 giugno ha segnato un passaggio decisivo per la cybersecurity italiana: è entrato infatti in vigore il decreto nazionale che recepisce la Direttiva NIS2, il nuovo quadro europeo che ridisegna obblighi, responsabilità e controlli in materia di sicurezza informatica. Per imprese, professionisti e pubbliche amministrazioni non si tratta di un semplice adempimento tecnico, ma di un cambio di paradigma: la cybersicurezza diventa un requisito organizzativo, contrattuale e – soprattutto – di governance.

La NIS2 amplia in modo significativo il perimetro dei soggetti coinvolti. Non più solo operatori “critici”, ma un insieme molto più esteso di realtà pubbliche e private: energia, trasporti, sanità, finanza, infrastrutture digitali, servizi ICT gestiti, rifiuti, acqua, manifatturiero critico, alimentare, chimica. La logica è chiara: la resilienza digitale non è più un tema settoriale, ma un fattore sistemico. E ogni anello debole della catena può generare un rischio per l’intero mercato.

Al centro della direttiva c’è un principio semplice: gestire il rischio prima che diventi incidente. Per questo la NIS2 introduce obblighi stringenti di risk management, monitoraggio, gestione delle vulnerabilità, sicurezza della supply chain, continuità operativa e formazione del personale. Il cuore operativo è l’incident reporting: va fatta una notifica preliminare entro 24 ore, poi una notifica completa entro 72 ore, e da ultimo una relazione finale entro un mese. Un modello che avvicina la cybersecurity alle logiche già note nel mondo della compliance e del rischio operativo.

La vera novità, però, riguarda la responsabilità del top management. La NIS2 impone agli organi di amministrazione di approvare le misure di sicurezza, vigilare sulla loro attuazione e rispondere in caso di inadempimento grave. Non è un dettaglio: la cybersecurity entra nel perimetro della responsabilità organizzativa, con possibili ricadute anche in termini di responsabilità amministrativa e contrattuale.

Avatar di User

Continua a leggere questo Post gratuitamente, offerto da Blast.

Oppure acquista un abbonamento a pagamento.
© 2026 Maggioli · Privacy ∙ Condizioni ∙ Notifica di raccolta
Crea il tuo SubstackScarica l'app
Substack è la casa della grande cultura