La direttiva NIS2 cambia le regole del gioco per la sicurezza email. Ecco tutto quello che la tua azienda deve sapere per essere conforme.
La NIS2 (Network and Information Security Directive 2) e la direttiva europea 2022/2555. Sostituisce la vecchia NIS1 e alza drasticamente l'asticella della cybersecurity per le aziende europee.
In Italia e stata recepita con il Decreto Legislativo 138/2024, entrato in vigore il 16 ottobre 2024. Non e piu una bozza. Non e un'ipotesi futura. E legge.
L'obiettivo? Creare un livello minimo di sicurezza informatica in tutti i settori critici dell'economia. E l'email e uno dei vettori d'attacco piu citati nella direttiva.
La differenza con la vecchia NIS1 e enorme. Prima coinvolgeva poche centinaia di aziende in Italia. Ora ne coinvolge decine di migliaia. E le sanzioni sono passate da un buffetto a un pugno.
Per approfondire la NIS2 nel contesto email, leggi anche la nostra pagina dedicata alla NIS2 Compliance.
La NIS2 divide le aziende in due categorie: soggetti essenziali e soggetti importanti. Se rientri in una delle due, non hai scelta.
Il criterio dimensionale: in generale, la NIS2 si applica a medie e grandi imprese (50+ dipendenti o fatturato 10M+). Ma attenzione: alcune categorie sono incluse indipendentemente dalla dimensione.
Se sei un fornitore di un soggetto essenziale, potresti essere coinvolto indirettamente. La NIS2 richiede anche la sicurezza della supply chain. Ne parliamo piu avanti.
I settori sanitario e PA hanno requisiti specifici. Li abbiamo approfonditi nelle pagine Sanita e Pubblica Amministrazione.
Il 91% dei cyberattacchi inizia con un'email. Non e un'opinione. E un dato confermato da anni di report di Verizon, IBM, ENISA. La NIS2 lo sa.
La direttiva cita esplicitamente la necessita di proteggere i canali di comunicazione elettronica. E l'email e il canale numero uno per:
Il punto d'ingresso per il furto di credenziali. Un clic su un link malevolo e l'attaccante e dentro.
L'attaccante si finge il CEO o un fornitore. Chiede un bonifico urgente. L'azienda paga.
L'allegato infetto cripta tutti i file. Per riaverli, devi pagare un riscatto.
Email con dati sensibili inviate al destinatario sbagliato. O intercettate in transito.
Secondo l'ENISA Threat Landscape 2025, gli attacchi via email alle aziende europee sono cresciuti del 35% in un anno. L'Italia e tra i paesi piu colpiti, soprattutto nei settori manifattura e sanita.
La NIS2 non ti dice "installa un antispam". Ti dice che devi proteggere adeguatamente i tuoi canali di comunicazione. Se non lo fai, sei non conforme. E le conseguenze sono serie.
La NIS2 non entra nei dettagli tecnici specifici. Non ti dice "usa questo prodotto" o "configura questo protocollo". Definisce invece delle misure di gestione del rischio che devi adottare. Vediamo come si traducono per la sicurezza email.
Devi avere una policy scritta che definisca come gestisci la sicurezza email. Quali minacce consideri? Come le monitori? Chi e responsabile? Non basta 'installare un antivirus'. Serve un approccio strutturato.
Serve un piano di risposta agli incidenti email. Se un dipendente clicca su un link di phishing alle 15:30 di venerdi, cosa fate? Chi viene avvisato? Come contenete il danno? La NIS2 richiede che tu possa notificare un incidente significativo entro 24 ore.
Se il tuo sistema email viene compromesso, come garantisci la continuita del business? Backup, disaster recovery, ridondanza. L'email e critica per la maggior parte delle aziende.
I tuoi fornitori ti mandano email ogni giorno. Se un fornitore viene compromesso, le sue email diventano il vettore d'attacco. La NIS2 ti chiede di gestire anche questo rischio.
La direttiva richiede l'uso di crittografia adeguata. Per l'email: TLS in transito, SPF/DKIM/DMARC per l'autenticazione, e possibilmente cifratura end-to-end per dati sensibili.
La NIS2 enfatizza la 'cyber hygiene' e la formazione. I tuoi dipendenti devono sapere riconoscere un'email di phishing. Non e opzionale. E un requisito.
Per una checklist completa dei requisiti NIS2, consulta la nostra Checklist NIS2.
La NIS1 aveva sanzioni quasi simboliche. La NIS2 no. Ha preso ispirazione dal GDPR. E si vede.
Fino a 10 milioni di euro
oppure il 2% del fatturato annuo mondiale (il maggiore dei due)
Fino a 7 milioni di euro
oppure l'1,4% del fatturato annuo mondiale (il maggiore dei due)
Ma non e solo una questione di soldi. La NIS2 prevede anche:
Il messaggio e chiaro: la cybersecurity non e piu una decisione IT. E una decisione di business. E la protezione email e il primo tassello.
Ottobre 2024
Recepimento in Italia (D.Lgs. 138/2024)
Gennaio - Febbraio 2025
Registrazione sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale)
Aprile 2025
ACN notifica i soggetti inclusi nella lista NIS2
Gennaio 2026
Obbligo di notifica incidenti (entro 24h l'allerta, 72h il report)
Ottobre 2026
Adozione completa delle misure di sicurezza
2027+
Audit e verifiche ACN, sanzioni per non conformita
Se stai leggendo questa guida nel 2026, sei nel momento giusto per agire. Le misure devono essere in atto entro ottobre 2026. Non aspettare l'ultimo mese.
La NIS2 richiede misure di autenticazione adeguate. Per l'email, questo significa tre protocolli che lavorano insieme:
Sender Policy Framework. Dice al mondo quali server sono autorizzati a inviare email per il tuo dominio. Senza SPF, chiunque puo spedire email fingendosi te.
Approfondisci SPF →DomainKeys Identified Mail. Aggiunge una firma digitale alle email. Il destinatario puo verificare che il messaggio non sia stato alterato in transito.
Approfondisci DKIM →Domain-based Message Authentication. Unisce SPF e DKIM e dice ai server riceventi cosa fare se un'email non supera i controlli: niente, quarantena o rifiuto.
Approfondisci DMARC →Senza questi tre protocolli, la tua azienda e vulnerabile allo spoofing email. Qualcuno puo inviare email a nome tuo ai tuoi clienti, fornitori, dipendenti. In ottica NIS2, e una falla di sicurezza critica.
Vuoi verificare se il tuo dominio e configurato correttamente? Usa il nostro strumento di verifica DNS gratuito.
Uno degli aspetti piu impattanti della NIS2 e l'obbligo di notifica degli incidenti. Se la tua azienda subisce un attacco email significativo, devi reagire in fretta.
24 ore
Allerta iniziale al CSIRT Italia. Descrizione dell'incidente e primo impatto stimato.
72 ore
Report dettagliato. Causa dell'incidente, scope, misure adottate.
1 mese
Report finale. Analisi root cause, impatto totale, misure correttive.
In pratica: se un dipendente cade in una trappola di phishing e un attaccante accede alla casella email, il cronometro parte. 24 ore per l'allerta iniziale. Non "appena possibile". 24 ore.
Per questo un sistema di incident response email strutturato e fondamentale. Abbiamo creato una guida dedicata: Incident Response Email.
La NIS2 introduce un concetto nuovo per molte aziende: la sicurezza della supply chain. Non basta proteggere te stesso. Devi assicurarti che anche i tuoi fornitori siano sicuri.
Perche? Perche il 62% degli attacchi BEC sfrutta la compromissione di un fornitore. L'attaccante hackera il fornitore, accede alla sua email, e ti manda una fattura con IBAN modificato. Tu paghi. I soldi vanno all'attaccante.
Cosa puoi fare concretamente:
MailSniper rileva automaticamente le email di Business Email Compromise e le anomalie comportamentali, anche quando provengono da mittenti fidati.
Usa questa checklist per verificare il tuo livello di conformita NIS2 per la sicurezza email.
MailSniper e stato progettato per rispondere esattamente ai requisiti che la NIS2 impone sulla sicurezza email. Non e un caso. E il motivo per cui esiste.
Analisi del contenuto email con intelligenza artificiale. Rileva phishing, BEC e social engineering che i filtri tradizionali non vedono.
Requisito: Analisi del rischio
Ogni allegato sospetto viene aperto in un ambiente isolato. Se e malevolo, viene bloccato prima di raggiungere la tua casella.
Requisito: Gestione incidenti
Ogni link nelle email viene riscritto e verificato al momento del clic. Anche se un sito diventa malevolo dopo la consegna.
Requisito: Protezione continua
Dashboard con metriche di sicurezza, log dettagliati, report esportabili. Tutto quello che serve per dimostrare la conformita.
Requisito: Documentazione
Alerting in tempo reale per attacchi mirati. Notifiche immediate per compromissioni account. Ti aiuta a rispettare le 24 ore.
Requisito: Notifica incidenti
Simulazioni di phishing e security awareness. Allena i tuoi dipendenti a riconoscere le minacce prima che sia troppo tardi.
Requisito: Cyber hygiene
Scopri tutte le funzionalita nella pagina Come Funziona o nella nostra pagina sulla conformita email.