supersqualo
Privacy & Sicurezza

NIS2 e aziende italiane: chi e' soggetto e cosa fare se usi IA

Il D.Lgs 138/2024 ha recepito NIS2 in Italia. Sei soggetto se hai >50 dipendenti o >10 milioni di fatturato in 18 settori. Se usi IA, gli obblighi si moltiplicano. Scadenze, ACN, sanzioni e cosa scrivi nel piano di sicurezza.

Di Super Squalo·6 min lettura
Nota. Premessa: questo settore si muove a velocità folle. Aggiorno le guide ogni volta che riesco, però alcune cose possono già essere obsolete. Se ti serve sapere se qualcosa è ancora valido oggi, scrivimi.

Martedì mattina, riunione coi capi reparto in un'azienda manifatturiera da ottanta dipendenti, diciotto milioni di fatturato. Hai introdotto da sei mesi un sistema IA per la manutenzione predittiva, gira bene. Il CEO ti guarda e ti chiede: "ma sta NIS2, quella nuova normativa europea, ci tocca anche a noi?". Sì, ci tocca. E se usi IA, gli obblighi non diminuiscono: aumentano. Te la racconto in dieci minuti, senza il pacchetto da quindicimila euro che ti vorrebbero vendere.

Cos'è NIS2 in due righe

NIS2 è la normativa europea sulla sicurezza informatica. In Italia è arrivata col decreto del 2024. Vale per aziende sopra una certa soglia: cinquanta dipendenti oppure dieci milioni di fatturato. I settori coperti sono diciotto. Manifatturiero, energia, trasporti, sanità, servizi digitali, gestione rifiuti, alimentare, e così via.

Le aziende sono divise in due categorie: essenziali e importanti. Cambia la severità delle sanzioni e dei controlli, ma gli obblighi base sono simili. La sanzione massima per le essenziali può arrivare a dieci milioni di euro o 2% del fatturato globale. Per le importanti la metà. Non sono cifre da ridere.

Il pasticcio in cui finisci se pensi "a noi non capiterà"

La frase che sento ripetere è: "siamo una PMI, mica un'azienda critica". Sbagliato. NIS2 ha allargato parecchio rispetto alla versione precedente. Una manifatturiera da ottanta dipendenti che fa componenti per il settore alimentare o automotive entra. Una società di software che gestisce gestionali per terzi entra. Un'azienda di logistica entra.

L'ente che vigila in Italia è l'Agenzia per la Cybersicurezza Nazionale. Le tempistiche pratiche: registrazione iniziale dell'azienda, piano di sicurezza scritto, segnalazione degli incidenti seri entro ventiquattro ore dalla scoperta. Non sono adempimenti che improvvisi la sera prima.

Aggiungi che, se introduci un sistema IA, gli obblighi NIS2 si sovrappongono con quelli del GDPR e con la legge europea sull'IA. Tre fronti aperti contemporaneamente. Synlab nel 2024 ha pagato 2,5 milioni al Garante per dati sanitari mal gestiti. Sotto NIS2 le multe possono essere ancora più alte, e i controlli stanno cominciando.

Cosa NON puoi fare

Non puoi rimandare la registrazione presso l'agenzia se sei nei settori coperti. Le scadenze sono passate per buona parte delle aziende, e l'omessa registrazione è già di per sé violazione.

Non puoi introdurre un sistema IA senza inserirlo nel piano di sicurezza aziendale: rischi, controlli, log, accessi. Va scritto.

Non puoi non avere una procedura di segnalazione degli incidenti. Quando succede qualcosa, le ventiquattro ore corrono.

Non puoi scaricare la responsabilità sul fornitore IA. Sei tu il titolare del trattamento, sei tu il responsabile della cybersicurezza aziendale.

Cosa invece si può fare bene

I passaggi sono cinque, e si fanno con calma in due-tre mesi.

Uno: censimento. Capire quali sistemi IT critici hai, dove sono i dati, chi accede, da dove. Senza censimento il piano è aria.

Due: registrazione. Iscrizione presso l'Agenzia per la Cybersicurezza Nazionale. È un modulo digitale, ma vuole nomi del referente e perimetro chiaro.

Tre: piano di sicurezza. Misure tecniche (cifratura, backup, multi-factor, segmentazione di rete) e organizzative (ruoli, formazione, procedure, fornitori). Non dieci pagine di filosofia, ma scelte pratiche.

Quattro: gestione incidenti. Procedura concreta: chi fa cosa nelle prime ore, come si scrive la segnalazione, chi la firma, come si comunica all'agenzia entro le ventiquattro ore.

Cinque: catena del fornitore. NIS2 chiede che tu ti curi anche dei tuoi fornitori IT critici. Contratti aggiornati, clausole di sicurezza, audit periodici. Compresi i fornitori IA.

I paletti che non si toccano

Sistemi IA che lavorano su dati aziendali devono girare su server in Europa, preferibilmente in casa o presso un fornitore italiano serio che firma contratti veri. Niente cloud americano per dati di clienti italiani. Cifratura, audit log, backup separati e testati: non ipotesi, ma routine.

Formazione del personale: vera, non il corso da venti minuti col certificato. La sicurezza si fa con persone che capiscono come funziona la posta truffa, come riconoscere un allegato strano, come gestire le credenziali. Senza la parte umana, il piano tecnico vale poco.

E un appunto sui costi. NIS2 fa paura per la quantità di adempimenti. Ma la spesa effettiva, su una PMI da ottanta dipendenti, è gestibile se si parte presto. Chi parte all'ultimo prende dei sovrapprezzi salati e fa cose male.

Una nota personale

Io di mestiere monto sistemi IA privati per aziende italiane sotto NIS2. Server in Europa, log a posto, contratti che reggono. Non vendo corsi, non vendo abbonamenti, non vendo formule magiche. Se ti gira la testa fra agenzia, GDPR e legge sull'IA, sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) ne parliamo ogni giorno, e si risponde gratis.

La domanda del CEO al comitato di martedì, intanto, sai come rispondere. Sì, ci tocca. E meglio cominciare adesso.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza