25/11/2025

Dal NIS 2024 al Decreto NIS 2025: la svolta operativa della cybersicurezza in Italia

Lunedì mattina, ore 9: un tecnico accende il PC e trova un avviso insolito. È l’inizio di un ransomware che, in pochi minuti, blocca file, servizi e comunicazioni. Una scena ormai comune che il nuovo Decreto NIS 2025 vuole prevenire in modo concreto e strutturato.

Dopo anni in cui la cybersicurezza è stata trattata come un tema “da rimandare”, l’Unione Europea e l’Italia hanno finalmente introdotto un quadro normativo chiaro, prescrittivo e orientato alla resilienza reale. Il 2024 ha rappresentato il passaggio legislativo, mentre il 2025 è l’anno della vera operatività, grazie alla Determinazione ACN che definisce cosa ogni soggetto essenziale e soggetto importante deve fare concretamente.

Cosa prevedeva il “vecchio NIS” nel 2024

Fino al 2024 la cybersicurezza italiana si basava ancora sul D.Lgs. 65/2018, un impianto derivato dalla prima Direttiva NIS del 2016. Funzionava? In parte sì, ma aveva limiti evidenti:

• perimetro limitato a pochi operatori (OSE e FSD);
• misure di sicurezza vaghe e non prescrittive;
• responsabilità del management quasi assente;
• notifiche incidenti senza criteri precisi;
• sanzioni deboli e controlli limitati.

In altre parole: un quadro che lasciava troppa discrezionalità e che non rifletteva le minacce moderne (ransomware, supply chain, attacchi 0-day, compromissione credenziali…).

Dal 2024 al 2025: cosa introduce davvero il nuovo Decreto NIS 2

Con il Decreto Legislativo 138/2024 l’Italia ha ufficialmente adottato la Direttiva NIS 2. Ma è stato solo nel 2025, con la Determinazione ACN del 14 aprile, che le regole sono diventate concrete, obbligatorie e verificabili.

1. Entra in gioco un perimetro molto più ampio

Migliaia di organizzazioni che nel 2024 erano completamente fuori dalla normativa ora rientrano come soggetti importanti. Tra i nuovi settori coinvolti:

• sanità estesa e ricerca;
• manifatturiero critico e industria;
• servizi digitali avanzati e ICT provider;
• gestione rifiuti, alimentare e acqua;
• logistica, trasporti e servizi postali;
• pubbliche amministrazioni di medie e grandi dimensioni.

2. Scompaiono OSE e FSD: nascono essenziali e importanti

Le vecchie categorie vengono sostituite da:

• Soggetti essenziali → settori ad alta criticità;
• Soggetti importanti → ampia parte del tessuto economico produttivo.

La differenza? Gli obblighi sono simili, ma gli essenziali devono implementare controlli ancora più approfonditi.

3. Finalmente una vera governance: il management risponde

Uno dei cambiamenti più rivoluzionari è questo: la sicurezza smette di essere un tema “IT”. Entra ufficialmente nella responsabilità diretta di CDA e Direzione.

• devono approvare politiche e processi di sicurezza;
• devono supervisionare la gestione del rischio;
• devono formarsi in materia di cybersicurezza;
• possono rispondere in caso di negligenza.

Chi dirige, ora guida anche la sicurezza.

4. Le misure di sicurezza diventano prescrittive (ACN 2025)

Gli allegati ACN introducono controlli obbligatori e dettagliati. Niente più interpretazioni creative. Parliamo di:

• MFA e gestione sicura degli accessi;
• monitoraggio, logging e conservazione log;
• gestione vulnerabilità e patching strutturato;
• backup isolati e verificati periodicamente;
• segmentazione di rete e hardening;
• piani di continuità operativa aggiornati;
• procedure di incident response realmente testate;
• valutazione di sicurezza dei fornitori critici.

Come si prepara un soggetto importante nel 2025

Ecco i passi più efficaci, in ordine strategico:

1. Verifica: capire se rientri tra i soggetti importanti.
2. Gap analysis: confrontarti con le misure ACN.
3. Governance: definire ruoli, responsabilità e processi.
4. Priorità: MFA, backup, logging, segmentazione.
5. Documentazione: piani di incident response e continuità.
6. Formazione: ridurre il rischio umano.
7. Fornitori: introdurre requisiti di sicurezza contrattuali.
8. Audit: prepararsi a verifiche e ispezioni ACN.

Non è complicato, se affrontato con una roadmap chiara.

Conclusione: la cybersicurezza smette di essere un optional

Il passaggio dal NIS 2024 al NIS 2025 non è cosmetico: è una rivoluzione. È il momento in cui la sicurezza passa da “tema tecnico” a pilastro aziendale. Le regole sono chiare, gli obblighi prescrittivi, le responsabilità evidenti.

In Italia la sicurezza informatica è ancora vista come un tabù. Ma i numeri parlano chiaro: chi non investe oggi diventa la vittima di domani.

Con il supporto di partner affidabili come Esobit, ogni organizzazione può trasformare la conformità NIS 2 in un vantaggio competitivo, migliorando resilienza, continuità operativa e qualità dei servizi.