Home Data Protection & CybersecurityLe Linee Guida di Enisa sulla conformità alla Direttiva NIS2

Le Linee Guida di Enisa sulla conformità alla Direttiva NIS2

23 Luglio 2025 by

Lo scorso 26 giugno, l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) ha pubblicato due linee guida utili alle imprese per garantire la conformità della propria struttura con la Direttiva NIS2. L’obiettivo delle linee guida è quello di aiutare le imprese nel comprendere come i requisiti legali si traducono in attività operative, in particolare in materia di (i) ruoli e competenze per i professionisti all’interno di entità essenziali e importanti, nonché (ii) di misure tecniche volte a garantire la sicurezza e resilienza dei sistemi informatici.

  • Linee Guida “Cybersecurity roles and skills for NIS2 Essential and Important Entities

Come noto, l’articolo 21 della Direttiva NIS 2 stabilisce che i soggetti essenziali e importanti devono adottare misure adeguate di gestione dei rischi legati alla sicurezza informatica. Tali misure non si limitano agli aspetti tecnici volti alla protezione dei sistemi, ma comprendono anche l’adozione di misure organizzative proporzionate, finalizzate a garantire la resilienza e la tutela complessiva degli asset digitali.

Queste misure organizzative presuppongono l’implementazione di un sistema di compliance strutturato che – a partire della mappatura e identificazione dei compiti previsti dalle norme in conformità alla Direttiva NIS2 e alle sue attuazioni a livello nazionale – includa la definizione di ruoli chiari e l’individuazione di professionisti competenti nello svolgimento delle proprie funzioni.

A tal fine, le Linee Guida presentano due casi d’uso specifici, riferiti ad organizzazioni di media dimensione, caratterizzate da alcune limitazioni sia in termini di risorse umane che in termini di budget. Sebbene ogni organizzazione debba strutturare i propri ruoli in base alle esigenze specifiche – che possono variare a seconda degli obblighi normativi e del livello di maturità cyber – gli esempi proposti da ENISA risultano particolarmente utili come base operativa.

Nel primo scenario, ENISA suggerisce innanzitutto di procedere alla nomina di un Cybersecurity Manager (figura che può coincidere con il CISO), con un ruolo strategico nella definizione e attuazione delle policy di sicurezza, nonché nella gestione dei piani di remediation tecnica. In parallelo, viene sottolineata l’importanza di identificare un Cyber Legal, Policy and Compliance Officer, responsabile del supporto nelle attività di compliance societaria in ambito cybersecurity.

Oltre alla identificazione di tali figure chiave, ENISA raccomanda di investire nella formazione mirata di ruoli già esistenti all’interno dell’organizzazione – come i membri del dipartimento IT e gli Amministratori di Sistema – così da rafforzare le competenze trasversali in materia cybersecurity. Infine, viene considerata in modo positivo la possibilità di esternalizzare specifici servizi, quali la risposta agli incidenti informatici, all’intelligence sulle minacce informatiche e alle indagini di informatica forense. In tali casi rimangono comunque salde le responsabilità delle figure interne alla struttura cosicché i fornitori di servizi terzi hanno un ruolo di solo supporto e non di decisione strategica.

Il secondo scenario presentato da ENISA si concentra invece sulla gestione e risposta degli incidenti informatici e sui relativi obblighi di notifica previsti dall’articolo 23 della Direttiva NIS2. In questo contesto, ENISA suggerisce l’adozione di un processo strutturato che coinvolga il CISO, un c.d. Cybersecurity Implementer (tipicamente un amministratore di sistema con competenze specifiche nella gestione degli incidenti informatici) il Cyber Legal, Policy and Compliance Officer, e – se necessario – un fornitore di servizi terzo.

La creazione di un team con ruoli e responsabilità ben definiti, composto da risorse interne ed esterne, consente all’organizzazione di soddisfare gli stringenti requisiti di notifica della Direttiva NIS2, garantendo al contempo un approccio reattivo ed efficace nella gestione degli incidenti. Questa impostazione strutturata e collaborativa rappresenta un passo fondamentale non solo per la compliance normativa, ma anche per il rafforzamento complessivo della postura di sicurezza dell’organizzazione.

Le Linee Guida forniscono poi una mappatura completa dei ruoli, con una descrizione dettagliata delle responsabilità, dei compiti, dei risultati attesi e delle potenziali collaborazioni per ciascun profilo di ruolo, in relazione ai requisiti previsti dalla Direttiva NIS2. Vengono inoltre evidenziati i vantaggi di tale approccio, mostrando come una strutturazione chiara dei ruoli contribuisca a migliorare la trasparenza operativa, l’efficienza dei processi e la pianificazione della forza lavoro.

Pur riconoscendo – come sottolineato dalla stessa ENISA – la necessità di adattare ogni modello organizzativo al contesto specifico dell’organizzazione soggetta alla Direttiva NIS2, queste Linee Guida rappresentano senza dubbio un valido punto di partenza per la definizione di una struttura interna conforme ai rigorosi requisiti normativi applicabili.

  • Linee Guida “Technical Implementation Guidance

La Guida Tecnica ENISA è pensata per supportare i soggetti rientranti nell’ambito di applicazione del regolamento attuativo di esecuzione (UE) 2024/2690 del 17 ottobre 2024 – ovvero i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari –  nell’attuazione dei requisiti tecnici e metodologici delle misure di sicurezza previste dalla Direttiva NIS2.

Oltre a offrire un supporto specifico agli operatori inclusi nel regolamento, la Guida Tecnica fornisce indicazioni dettagliate e operative sulle misure di gestione del rischio richieste dalla Direttiva NIS2, risultando utile anche per un pubblico più ampio di soggetti essenziali ed importanti.

Pubblicata inizialmente in bozza nel gennaio 2025, la versione definitiva non ha introdotto modifiche sostanziali. Un approfondimento delle misure suggerite è disponibile in questo articolo [Direttiva NIS2 – guida tecnica ENISA].

La finalizzazione di questo documento rappresenta un ulteriore strumento concreto a disposizione delle organizzazioni per l’attuazione della Direttiva NIS2. Pur essendo rivolta a una categoria specifica di entità, i principi metodologici e i requisiti tecnici delineati costituiscono un solido punto di riferimento per tutte le organizzazioni soggette alla Direttiva NIS2, offrendo un supporto pratico e dettagliato per l’implementazione di un sistema di compliance cyber efficace.

Su un argomento simile può essere di interesse l’articolo “Direttiva NIS2 – dalla norma alla pratica: la bozza di guida tecnica dell’ENISA sul regolamento attuativo come strumento per la compliance

Autrici: Giulia Zappaterra e Maria Chiara Meneghetti

(Visited 31 times, 7 visits today)

About the Author:

Giulia Zappaterra è un senior lawyer del dipartimento di Intellectual Property & Technology dello studio legale DLA Piper

Related Posts

NIS2 in Italia – Scadenze e adempimenti

In questa infografica riassumiamo in stile legal design le scadenze principali imposte dal Decreto...

Al via la seconda fase di attuazione NIS 2: le tre determinazioni ACN in sintesi

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato sul proprio portale tre determinazioni di...

Data Protection & Cybersecurity

NIS 2 – Il conto alla rovescia per la conformità in Italia è ufficialmente iniziato

La conformità NIS in Italia non è più facoltativa: con le notifiche formali inviate dall’Autorità...

Close Search Window