approfondimento
-
Tempo medio di lettura 9'

Elefantiasi normativa? Quali sono i veri obblighi normativi per la Cybersecurity

Pubblicato in: Business
di Arlo Canella
Home > Elefantiasi normativa? Quali sono i veri obblighi normativi per la Cybersecurity

Tra obblighi reali e “finti adempimenti”, la normativa europea e italiana sulla cybersecurity rischia di disorientare imprenditori e PMI. Questo articolo spiega quali sono le regole oggi davvero vincolanti (NIS2, GDPR, DORA, Data Act) e cosa comportano in termini di scadenze, responsabilità, sanzioni e opportunità operative.

  1. Mission impossible: capire cosa è davvero obbligatorio
  2. Tre regolamenti, mille incubi? Come orientarsi tra NIS2, GDPR e DORA
  3. Italia, dove la cybersecurity è anche penale
  4. Accesso ai dati e sicurezza: dove si incontrano Data Act e Cyber Resilience Act

Mission impossible: capire cosa è davvero obbligatorio

Oggi il termine cybersecurity è sulla bocca di tutti, ma per le piccole e medie imprese italiane il vero problema è capire cosa è obbligatorio per legge e cosa invece è solo un consiglio tecnico o una raccomandazione generica. E soprattutto: quali sanzioni si rischiano davvero, e da quando?

Non è raro che imprenditori e professionisti si sentano sommersi da un linguaggio normativo oscuro e da sigle difficili da decifrare: NIS2, GDPR, DORA, CRA, Data Act. A una prima lettura sembrano moltiplicarsi all’infinito gli adempimenti. Ma se si guarda bene, si scopre che solo alcune norme sono realmente vincolanti, cioè impongono obblighi specifici con sanzioni in caso di mancato rispetto. Tutte le altre sono cornici, linee guida, o futuri orientamenti.

Le norme oggi vincolanti per la cybersecurity aziendale si dividono in due categorie: quelle immediatamente applicabili in quanto regolamenti europei (come il GDPR e il DORA), e quelle che richiedono recepimento nazionale (come la direttiva NIS2). In Italia, il quadro è completato da decreti legislativi che danno attuazione ai principi europei e spesso li inaspriscono. Per esempio, il Decreto Legislativo 138/2024, che recepisce NIS2, impone alle imprese italiane classificate come “essenziali” o “importanti” di registrarsi presso il Portale ACN, adottare misure minime di sicurezza entro il 2026, e notificare gli incidenti secondo scadenze precise.

Un altro punto da chiarire è che non tutte le PMI sono soggette agli stessi obblighi. Alcune normative (come il DORA per il settore finanziario) si applicano solo se l’azienda opera in un determinato settore regolamentato. Altre, come il GDPR, si applicano sempre – anche alla più piccola microimpresa – se tratta dati personali. La NIS2 esclude le micro e piccole imprese, ma solo se non operano in settori critici o come fornitori strategici di enti pubblici o aziende “essenziali”.

Questo vuol dire che non esiste un solo elenco di obblighi uguale per tutte le PMI, ma che ogni azienda deve mappare la propria esposizione normativa in base alla propria attività, dimensione e filiera. E se questa attività rientra in un ambito “a rischio” – ad esempio, una PMI IT che sviluppa software per ospedali o pubbliche amministrazioni – allora potrebbe dover rispettare obblighi stringenti anche se ha meno di 50 dipendenti.

Obblighi o raccomandazioni?

Tre regolamenti, mille incubi? Come orientarsi tra NIS2, GDPR e DORA

Quando si parla di obblighi di cybersecurity in Europa, ci si muove dentro un triangolo normativo fatto da tre grandi regolamenti o direttive: GDPR, NIS2 e DORA. Sembrano sigle astratte, ma in realtà definiscono – ognuna dal suo angolo – come proteggere i sistemi, i dati e la continuità operativa delle imprese. Capire le differenze è fondamentale per sapere cosa fare e quando farlo.

  • Il GDPR (Regolamento UE 2016/679) è ormai una vecchia conoscenza per chi tratta dati personali. È in vigore dal 2018 e impone a tutti i titolari di trattamento, anche le PMI, di adottare misure di sicurezza adeguate ai rischi. Cosa significa in concreto? Significa proteggere i dati di clienti, dipendenti o utenti con strumenti e procedure informatiche adeguate: cifratura, backup, controllo accessi, test periodici e soprattutto la documentazione di tutto per poter dimostrare la conformità. La violazione di questi obblighi può costare fino a 20 milioni di euro o il 4% del fatturato mondiale, anche per le PMI.
  • La direttiva NIS2 (UE 2022/2555), invece, mira a rafforzare la sicurezza delle infrastrutture critiche in Europa. Il principio è semplice: se un’azienda fornisce un servizio considerato “essenziale” (come energia, salute, trasporti, infrastrutture ICT), deve garantire che resti operativo anche sotto attacco. La NIS2 è stata recepita in Italia con il D.Lgs. 138/2024, che ha imposto l’obbligo di registrazione al Portale ACN per tutte le imprese potenzialmente in ambito, con sanzioni fino allo 0,1% del fatturato in caso di mancata registrazione. Dal 2026 scatterà l’obbligo di adeguamento pieno: valutazione dei rischi, piani di continuità, sicurezza nella supply chain, formazione del personale e notifica degli incidenti entro 24 ore (approfondisci: Protezione dei dati e cybersecurity 2025: gli obblighi aggiornati per le aziende – Canella Camaiora).
  • Il DORA (Digital Operational Resilience Act) riguarda invece il settore finanziario. Si applica anche alle PMI se operano come banche, fintech, assicurazioni o servizi di pagamento. Dal 17 gennaio 2025, anche una start-up con 5 persone che gestisce un’app finanziaria è tenuta a dimostrare resilienza operativa digitale: piani di disaster recovery, test di sicurezza, gestione dei fornitori ICT, notifiche entro 72 ore e cooperazione con Banca d’Italia o CONSOB. Le sanzioni? Fino al 10% del fatturato annuo, senza tetto massimo.

Questi tre strumenti non si sovrappongono, ma si completano.

Una PMI che sviluppa software sanitari, ad esempio, può essere soggetta al GDPR (per i dati), alla NIS2 (per il settore critico) e anche al CRA (per la sicurezza del prodotto, dal 2027).

È per questo che il rischio non è tanto “fare troppo”, quanto tralasciare un obbligo nascosto dietro la propria filiera. Il principio da seguire è: partire sempre da ciò che si fa e da chi si serve, e poi capire se si rientra in uno di questi regimi.

Italia, dove la cybersecurity è anche penale

Se le norme europee sulla cybersecurity pongono una base comune, l’Italia ha fatto un passo in più. Il recepimento della direttiva NIS2 con il D.Lgs. 138/2024 non si è limitato ad adattare le regole: ha introdotto nuovi obblighi formali, un calendario stringente di adempimenti e sanzioni penali per chi ostacola i controlli o fornisce informazioni false all’Agenzia per la Cybersicurezza Nazionale (ACN).

Dal dicembre 2024 è operativo il Portale ACN, dove tutte le imprese pubbliche e private che operano nei settori NIS2 (es. acqua potabile, energia, sanità, servizi ICT) devono registrarsi. Entro febbraio 2025 dovevano completare la registrazione, pena una sanzione fino allo 0,1% del fatturato annuo. Le imprese coinvolte riceveranno una comunicazione individuale da ACN entro aprile 2025 con la loro classificazione come “entità essenziale” o “importante” e dovranno implementare misure minime di sicurezza entro ottobre 2026.

Oltre alle sanzioni amministrative (fino a 10 milioni di euro o il 2% del fatturato), il legislatore ha previsto sanzioni penali per i dirigenti che ostacolano la vigilanza o trascurano ordini correttivi dell’ACN. In alcuni casi si rischia la reclusione, oltre alla sospensione delle attività aziendali in caso di inadempienze reiterate. È un salto di qualità: la cybersecurity entra nel diritto penale dell’impresa, con conseguenze dirette anche sulla responsabilità 231 degli enti.

A tutto questo si aggiungono le peculiarità italiane: esiste un “Perimetro di sicurezza nazionale cibernetica” – introdotto con la legge 133/2019 – che impone obblighi di sicurezza e notifiche rapide anche a soggetti non formalmente rientranti in NIS2, ma ritenuti strategici dallo Stato. Una PMI può finire in questo perimetro se fornisce software o infrastrutture critiche alla pubblica amministrazione o a enti di rilevanza nazionale. In quel caso, anche se “piccola”, sarà trattata come un soggetto sensibile, con obblighi aggiuntivi di verifica, qualificazione e notifica.

Insomma, in Italia le PMI non possono più pensare che la cybersecurity sia una questione da grandi aziende. Se servono un ente pubblico, operano in un settore regolamentato o sono parte di una filiera essenziale, sono dentro a pieno titolo. E devono dimostrarlo con atti concreti, registrazioni formali, piani documentati e risposte tempestive agli incidenti.

NIS2: sei già in regola?

Accesso ai dati e sicurezza: dove si incontrano Data Act e Cyber Resilience Act

Nel nuovo ecosistema normativo europeo, la cybersecurity non è più solo difesa. È anche trasparenza, accesso e controllo sui dati. Questo cambio di paradigma è evidente nel Data Act (Regolamento UE 2023/2854), che entrerà in vigore dal 12 settembre 2025 e obbligherà le imprese a rendere disponibili i dati generati dai dispositivi connessi – come macchinari, veicoli, elettrodomestici smart – agli utenti che li utilizzano, inclusi altri fornitori scelti dall’utente.

Per una PMI, questo significa che non potrà più trattenere per sé i dati generati dai propri prodotti connessi, se non a condizioni ben definite. Dovrà rendere disponibili i dati in formato leggibile, completo, gratuito o a costo marginale e senza ritardi. Se il destinatario dei dati è un’altra impresa (magari un’officina, un consulente o un partner commerciale), dovrà garantirne l’accesso con interfacce sicure, trasparenza contrattuale e protezione dei segreti industriali. Per chi non si adegua, sono previste sanzioni che ogni Stato membro dovrà rendere effettive, proporzionate e dissuasive.

Ma l’accesso ai dati – se non regolato bene – può aprire nuove vulnerabilità di sicurezza. Per questo motivo, il Data Act è stato pensato in complementarità con il Cyber Resilience Act (CRA), che entrerà pienamente in vigore dall’11 dicembre 2027. Il CRA impone a tutti i produttori di software e hardware connessi requisiti minimi di sicurezza digitale, per garantire che i dispositivi non diventino una porta d’ingresso per attacchi informatici.

Nel concreto, chi progetta un prodotto connesso dovrà assicurarsi che sia accessibile nei dati (come impone il Data Act), ma anche protetto da attacchi informatici (come richiede il CRA). Questo significa, ad esempio, che le API attraverso cui si accede ai dati dovranno essere autenticate, cifrate e monitorate. E che l’utente potrà estrarre i dati, ma non potrà alterare il funzionamento del dispositivo in modo pericoloso. È una nuova forma di responsabilità tecnica e giuridica, che richiederà sinergia tra i team legali, IT e di prodotto.

Per molte PMI, queste norme rappresentano al tempo stesso una sfida di adeguamento e un’opportunità: offrire nuovi servizi basati sui dati (come manutenzione predittiva, analisi in cloud o interfacce per i clienti) diventa più facile quando il quadro giuridico è chiaro. Le imprese che sapranno governare i propri flussi di dati in modo sicuro e trasparente avranno un vantaggio competitivo nel nuovo mercato digitale europeo.

© Canella Camaiora Sta. Tutti i diritti riservati.
Data di pubblicazione: 12 Giugno 2025

È consentita la riproduzione testuale dell’articolo, anche a fini commerciali, nei limiti del 15% della sua totalità a condizione che venga indicata chiaramente la fonte. In caso di riproduzione online, deve essere inserito un link all’articolo originale. La riproduzione o la parafrasi non autorizzata e senza indicazione della fonte sarà perseguita legalmente.
Avv. Arlo Cannela

Avvocato Arlo Canella

Managing Partner dello studio legale Canella Camaiora, iscritto all’Ordine degli Avvocati di Milano, appassionato di Branding, Comunicazione e Design.
Leggi la bio
Torna alla lista degli articoli

Vai alla pagina

error: Content is protected !!