NIS2 Un Anno Dopo: Cosa è Cambiato per la Sicurezza Email

La NIS2 Compie Un Anno. E' Ora di Fare i Conti.

Il 16 ottobre 2024 e' scaduto il termine per il recepimento della Direttiva NIS2 in Italia. Con il D.Lgs. 138/2024, il nostro Paese ha finalmente tradotto in legge nazionale gli obblighi europei sulla cybersecurity. Un anno dopo, la domanda e' semplice: cosa e' cambiato davvero?

La risposta, come spesso accade in Italia, e' un misto di luci e ombre. Da un lato, la consapevolezza e' cresciuta in modo significativo. Dall'altro, la maggior parte delle aziende — soprattutto le piccole e medie imprese — e' ancora molto indietro, specialmente sulla sicurezza email, uno dei vettori di attacco piu' sfruttati dai cybercriminali nel panorama italiano.

In questo articolo facciamo un bilancio realistico e dettagliato: cosa ha funzionato, cosa no, e soprattutto cosa devi fare tu — oggi, concretamente — se non sei ancora in regola.

Cosa Prevede la NIS2 per la Sicurezza Email

Se non hai familiarita' con la Direttiva NIS2, ecco il riassunto veloce. La Direttiva impone a migliaia di aziende italiane (non solo le grandi) di adottare misure di sicurezza informatica proporzionate al rischio. E l'email e' al centro di tutto, perche' rimane il canale di comunicazione aziendale principale e il punto di ingresso preferito dagli attaccanti.

L'Articolo 21 del D.Lgs. 138/2024 richiede esplicitamente:

• Gestione degli incidenti: devi avere procedure documentate per rilevare, gestire e notificare gli attacchi informatici. Dato che oltre l'80% degli attacchi parte da un'email, il tuo gateway email e' la prima linea di difesa e il primo componente che viene esaminato in un audit.
• Continuita' operativa: se un attacco ransomware ti blocca la posta elettronica, devi avere un piano B documentato. Backup, failover, continuity — tutto deve essere previsto e testato periodicamente.
• Sicurezza della catena di fornitura: non basta proteggere la tua azienda. Devi verificare e documentare che anche i tuoi fornitori e partner commerciali abbiano standard di sicurezza adeguati, inclusa la protezione delle comunicazioni email.
• Autenticazione e crittografia delle comunicazioni: SPF, DKIM, DMARC non sono piu' best practice opzionali. Sono requisiti impliciti della normativa per garantire l'autenticita' e l'integrita' delle comunicazioni aziendali.

L'Articolo 23 aggiunge l'obbligo di notifica degli incidenti entro 24 ore (pre-notifica) e 72 ore (notifica completa) all'ACN. Se un dipendente clicca su un link di phishing e i dati aziendali vengono esfiltrati, devi essere in grado di ricostruire l'intera catena dell'attacco con precisione forense. Senza un gateway email professionale che registri ogni evento, e' quasi impossibile rispettare questi tempi e questi standard.

Per un approfondimento completo su tutti gli articoli rilevanti, leggi la nostra guida NIS2 e sicurezza email.

I Numeri: Quante Aziende Italiane Sono in Regola?

Parliamo di dati concreti. E non sono incoraggianti.

Secondo le stime dell'Agenzia per la Cybersicurezza Nazionale (ACN), circa 16.000 soggetti rientrano nel perimetro NIS2 in Italia, tra soggetti essenziali e soggetti importanti. Di questi, a marzo 2026:

• Solo il 35-40% delle grandi imprese ha completato l'adeguamento in modo sostanziale
• Meno del 15% delle medie imprese ha implementato tutte le misure richieste dalla normativa
• Per le PMI la percentuale crolla sotto il 10%, con molte che non hanno nemmeno avviato una gap analysis

Suona familiare? Dovrebbe. E' esattamente lo stesso schema del GDPR. Quando il Regolamento europeo sulla privacy entro' in vigore nel maggio 2018, la stragrande maggioranza delle aziende italiane si adeguo' solo dopo le prime sanzioni significative del Garante, arrivate nel 2019-2020. Con la NIS2 sta succedendo la stessa identica cosa.

La differenza cruciale? Le sanzioni NIS2 sono ancora piu' severe di quelle previste dal GDPR. E il perimetro di applicazione e' piu' ampio: non riguarda solo chi tratta dati personali, ma chiunque operi in settori essenziali o importanti — dalla sanita' alla Pubblica Amministrazione, dall'energia ai trasporti, dalle telecomunicazioni ai servizi digitali.

Il Gap Specifico sulla Email Security

Il dato piu' preoccupante riguarda proprio la sicurezza della posta elettronica. Un'indagine Censis-IISFA di fine 2025 ha evidenziato che:

• Il 62% delle PMI italiane usa ancora solo le protezioni base incluse nel provider email (Microsoft Defender for Office 365 nel piano base, o il filtro antispam standard di Google Workspace)
• Solo il 28% ha configurato correttamente tutti e tre i protocolli di autenticazione email: SPF, DKIM e DMARC
• Il 71% non ha mai effettuato un test di phishing simulato sui propri dipendenti
• Appena il 19% ha un piano di incident response specifico per gli attacchi via email

Vuoi verificare subito la situazione del tuo dominio? Usa il nostro tool gratuito di verifica DNS per controllare SPF, DKIM e DMARC in 30 secondi, senza installare nulla.

Le 3 Carenze Piu' Comuni (E Come Risolverle)

Dopo aver analizzato centinaia di richieste di assessment arrivate tramite MailSniper nell'ultimo anno, abbiamo identificato tre problemi ricorrenti che si ripetono con una frequenza impressionante.

1. Nessun Gateway Email Dedicato

Il problema piu' diffuso in assoluto. La maggior parte delle aziende si affida alla protezione inclusa nel piano base di Microsoft 365 o Google Workspace. E pensa di essere adeguatamente protetta.

La realta'? Microsoft Defender nel piano E3/E5 offre una protezione discreta, ma nel piano Business Basic — quello usato dalla stragrande maggioranza delle PMI italiane — il filtro antispam e' estremamente basico. Non ha sandboxing per gli allegati, non ha analisi comportamentale delle URL, non ha protezione avanzata contro il BEC (Business Email Compromise), e non offre la reportistica granulare richiesta dalla NIS2 per la gestione degli incidenti.

Un gateway email professionale come quello offerto da MailSniper, basato sulla tecnologia Libraesva, si posiziona davanti al tuo server email e analizza ogni singolo messaggio in entrata e in uscita con intelligenza artificiale, sandboxing avanzato e regole euristiche sofisticate, prima che arrivi nella casella del destinatario.

2. SPF, DKIM e DMARC Non Configurati (o Mal Configurati)

Sai cos'e' peggio di non avere DMARC? Averlo configurato in modalita' p=none. E' come avere un sistema di allarme che suona ma non chiama nessuno e non blocca le porte.

Eppure, secondo i dati raccolti dal nostro verificatore DNS su oltre 5.000 domini italiani analizzati, il 43% di quelli che hanno un record DMARC lo hanno impostato su p=none, che in pratica non blocca nulla e non protegge da niente. Il protocollo serve a qualcosa solo se configurato su p=quarantine o p=reject.

E il SPF? Il 18% dei domini analizzati ha record SPF con errori sintattici — include duplicate, meccanismi in conflitto, superamento del limite di 10 lookup DNS — che li rendono inefficaci o addirittura controproducenti. Un record SPF sbagliato e' peggio di nessun record, perche' ti da' una falsa sensazione di sicurezza mentre lascia il dominio completamente esposto allo spoofing.

3. Zero Formazione Anti-Phishing per i Dipendenti

La tecnologia da sola non basta, e la NIS2 lo riconosce esplicitamente. L'Articolo 21, comma 2, lettera g) richiede che le misure di sicurezza includano pratiche di igiene informatica di base e formazione del personale. Eppure, il 71% delle PMI italiane non ha mai organizzato nemmeno un singolo test di phishing simulato.

Risultato? Quando noi di MailSniper eseguiamo un test di phishing simulato nelle aziende che ce lo richiedono, il tasso medio di click sul link malevolo e' del 32%. Significa che un dipendente su tre cade nella trappola alla prima simulazione. In alcune aziende — specialmente quelle che non hanno mai fatto formazione — arriviamo al 50%.

La formazione efficace non deve essere un corso noioso e teorico da 4 ore in aula. Bastano simulazioni regolari (una al mese) e micro-training di 5 minuti somministrato automaticamente quando qualcuno cade nella trappola. I risultati migliorano drasticamente dopo 3-4 cicli: il tasso di click scende sotto il 5%.

Cosa e' Migliorato in Questo Anno

Non e' tutto nero. Alcuni segnali positivi sono innegabili, e vale la pena riconoscerli.

Piu' Consapevolezza nei Board Aziendali

La NIS2 ha introdotto una novita' dirompente: la responsabilita' diretta del management. L'Articolo 20 prevede che gli organi di gestione (CDA, amministratori delegati, direttori generali) siano personalmente responsabili dell'approvazione e della supervisione delle misure di sicurezza informatica. Questo ha spostato la cybersecurity da "problema dell'IT" a "problema del board", con un impatto concreto sulle decisioni di investimento.

Nelle grandi aziende, i budget dedicati alla sicurezza email sono aumentati mediamente del 23% rispetto al 2024. Non e' ancora abbastanza per colmare il gap accumulato, ma e' un trend decisamente positivo.

Settore Sanita' e PA Piu' Attenti

Due settori storicamente deboli sulla cybersecurity hanno fatto passi avanti significativi nel corso dell'ultimo anno:

• La Sanita' ha registrato un aumento del 40% nell'adozione di gateway email professionali, trainato dai casi clamorosi di attacchi ransomware a ospedali e ASL italiane nel biennio 2024-2025. Dopo i casi dell'ASL 1 Abruzzo e dell'Ospedale di Verona, il messaggio e' finalmente arrivato.
• La Pubblica Amministrazione, grazie ai fondi PNRR dedicati alla digitalizzazione sicura, ha avviato programmi strutturati di adeguamento in oltre 2.000 enti locali. Molti Comuni hanno finalmente sostituito i sistemi email legacy con soluzioni protette da gateway professionali.

L'Ecosistema di Compliance e' Piu' Maturo

Rispetto a un anno fa, oggi esistono molti piu' strumenti, guide pratiche e servizi specializzati per aiutare le aziende nell'adeguamento. Il framework ACN e' piu' chiaro e dettagliato, i provider di sicurezza (come MailSniper) offrono soluzioni specifiche per la compliance NIS2 con reportistica integrata, e le associazioni di categoria hanno diffuso linee guida settoriali concrete.

Le Sanzioni: Cosa Rischi Concretamente

Arriviamo al punto dolente. L'Articolo 38 del D.Lgs. 138/2024 prevede un regime sanzionatorio severo e articolato:

A marzo 2026, le sanzioni massime non sono ancora state applicate. Ma l'ACN ha avviato le prime attivita' sistematiche di vigilanza e alcuni procedimenti pilota sono in corso, soprattutto nei settori energetico, dei trasporti e delle telecomunicazioni.

Il parallelo con il GDPR e' istruttivo: le prime sanzioni significative del Garante Privacy arrivarono circa 18-24 mesi dopo l'entrata in vigore del Regolamento. Con la NIS2, siamo esattamente in quella finestra temporale critica. Chi aspetta ancora rischia concretamente di essere tra i primi sanzionati.

E c'e' un aspetto spesso sottovalutato che merita attenzione: in caso di data breach causato da un attacco email, la mancata conformita' NIS2 puo' aggravare significativamente le sanzioni GDPR. Le due normative si rafforzano a vicenda. Se non proteggi adeguatamente la tua posta elettronica e un attacco di phishing causa una violazione di dati personali, rischi sanzioni pesanti su entrambi i fronti — NIS2 e GDPR — con importi che si sommano.

Checklist Rapida: 5 Punti per la Conformita' NIS2 Email

Non sai da dove iniziare? Ecco i 5 passaggi essenziali che ogni azienda dovrebbe completare per la conformita' NIS2 sul fronte email:

• ] 1. Implementa un gateway email professionale — Vai oltre il filtro base del tuo provider. Servono sandboxing, analisi AI, protezione [anti-phishing avanzata e anti-BEC. Scopri come funziona MailSniper.
• ] 2. Configura SPF + DKIM + DMARC correttamente — Tutti e tre i protocolli, configurati senza errori. DMARC deve essere su p=quarantine o meglio p=reject. [Verifica il tuo dominio gratis in 30 secondi.
• [ ] 3. Attiva il logging e la reportistica completa — Devi poter ricostruire la timeline di qualsiasi incidente email. Log conservati per almeno 12 mesi, report settimanali automatici sulle minacce bloccate, dashboard in tempo reale.
• ] 4. Forma il personale con simulazioni regolari — Test di phishing simulato almeno una volta al mese, micro-training automatico per chi cade nella trappola. Minimo 4 cicli completi all'anno. [Testa il livello di rischio della tua azienda.
• [ ] 5. Documenta tutto per gli audit — Procedure scritte di incident response email, policy di utilizzo della posta, registri delle misure adottate e dei risultati ottenuti. Ti servira' in caso di audit ACN o di incidente.

Vuoi una checklist ancora piu' dettagliata con template pronti e scaricabili? Consulta la nostra checklist NIS2 completa per la sicurezza email.

Non Aspettare la Sanzione per Agire

La storia si ripete con una precisione quasi matematica. Con il GDPR, le aziende italiane si sono mosse in massa solo dopo le prime multe milionarie. Con la NIS2, la finestra di tolleranza si sta chiudendo rapidamente.

La buona notizia? Adeguarsi alla NIS2 non significa solo evitare sanzioni. Significa proteggere davvero la tua azienda dalle minacce che ogni giorno colpiscono migliaia di organizzazioni italiane. Il costo medio di un attacco ransomware via email per una PMI e' stimato tra 50.000 e 500.000 euro — da 10 a 50 volte superiore al costo di un anno intero di protezione email professionale.

MailSniper ti offre tutto quello che serve per la conformita' NIS2 lato email security: gateway professionale basato su Libraesva, protezione avanzata anti-phishing e anti-ransomware, reportistica completa per gli audit, e supporto tecnico italiano dedicato.

Attiva la prova gratuita di 14 giorni e verifica tu stesso la differenza rispetto al filtro base del tuo provider. Oppure prenota una demo personalizzata con il nostro team: ti mostriamo esattamente come MailSniper ti aiuta a rispettare ogni singolo requisito NIS2 per la sicurezza email.

La NIS2 non e' un problema. E' l'occasione per fare quel salto di qualita' sulla sicurezza della posta elettronica che avresti dovuto fare da tempo. E un anno dopo l'entrata in vigore, il tempo per agire e' adesso.