25/11/2025 – Esobit | Team Cybersecurity

Dal NIS 2024 al Decreto NIS 2025: la svolta operativa della cybersicurezza in Italia

Lunedì mattina, ore 9. Un tecnico accende il PC e trova un avviso insolito: è l’inizio di un ransomware che, in pochi minuti, blocca file, servizi e comunicazioni. Una scena sempre più comune che il Decreto NIS 2025 punta finalmente a prevenire in modo concreto.

Dopo anni di approcci rimandati e misure generiche, l’Europa e l’Italia introducono un quadro normativo chiaro, prescrittivo e orientato alla resilienza reale. Il 2024 è stato l’anno della norma, il 2025 è l’anno dell’operatività.

Cosa prevedeva il “vecchio NIS” nel 2024

Fino al 2024 la cybersicurezza italiana si basava sul D.Lgs. 65/2018, derivato dalla prima Direttiva NIS del 2016. Un impianto che mostrava limiti evidenti:

• perimetro ristretto a pochi operatori;
• misure di sicurezza vaghe e non prescrittive;
• responsabilità del management quasi assente;
• notifiche di incidente poco strutturate;
• sanzioni e controlli limitati.

Un quadro non più adeguato alle minacce moderne: ransomware, supply chain, zero-day e compromissione delle credenziali.

Dal 2024 al 2025: cosa introduce davvero il nuovo Decreto NIS 2

Con il D.Lgs. 138/2024 e la Determinazione ACN del 14 aprile 2025, la Direttiva NIS 2 entra nella fase esecutiva: obblighi concreti, controlli e verifiche.

Un perimetro molto più ampio

Migliaia di organizzazioni entrano ora come soggetti importanti: sanità, manifatturiero, ICT, logistica, servizi essenziali e PA.

Finalmente una vera governance: il management risponde

La sicurezza smette di essere solo un tema IT. Entra nella responsabilità diretta di CDA e Direzione.

• approvazione delle politiche di sicurezza;
• supervisione del rischio cyber;
• formazione obbligatoria del management;
• responsabilità in caso di negligenza.

Chi dirige, ora guida anche la sicurezza.

Le misure di sicurezza diventano prescrittive (ACN 2025)

Gli allegati ACN introducono controlli obbligatori e dettagliati:

• MFA e gestione sicura degli accessi;
• logging e conservazione dei log;
• vulnerability management e patching;
• backup isolati e testati;
• segmentazione di rete e hardening;
• business continuity e incident response;
• valutazione dei fornitori critici.

Come si prepara un soggetto importante nel 2025

1. verificare l’inquadramento normativo;
2. condurre una gap analysis rispetto alle misure ACN;
3. definire governance, ruoli e responsabilità;
4. prioritizzare MFA, backup, logging e segmentazione;
5. documentare incident response e continuità operativa;
6. formare il personale;
7. gestire la sicurezza dei fornitori;
8. prepararsi ad audit e ispezioni ACN.

Non è complesso, se affrontato con una roadmap chiara e guidata.

Conclusione: la cybersicurezza smette di essere un optional

Il passaggio dal NIS 2024 al NIS 2025 non è cosmetico: è una rivoluzione. La sicurezza diventa un pilastro aziendale, con regole chiare e responsabilità definite.

Chi non investe oggi in sicurezza informatica rischia di diventare la vittima di domani.

Con il supporto di partner come Esobit, la conformità NIS 2 può trasformarsi in un vero vantaggio competitivo: più resilienza, più continuità, più fiducia.

↑ Torna all’inizio dell’articolo