Obblighi NIS2 per il software di gestione turni: cosa cambia per la tua azienda

Aggiornato a marzo 2026

Quadro normativo

Cos’è la Direttiva NIS2

La Direttiva (UE) 2022/2555, comunemente nota come NIS2 (Network and Information Security 2), è il nuovo quadro normativo europeo sulla sicurezza delle reti e dei sistemi informativi. Approvata dal Parlamento europeo e dal Consiglio il 14 dicembre 2022, la direttiva rappresenta un’evoluzione significativa rispetto alla precedente NIS1 (Direttiva 2016/1148), che aveva introdotto per la prima volta un approccio comune alla cybersicurezza nell’Unione Europea.

In Italia, la NIS2 è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138 (D.Lgs 138/2024), entrato in vigore il 16 ottobre 2024. Da quella data, le organizzazioni rientranti nel perimetro della direttiva sono tenute ad adeguarsi ai nuovi obblighi in materia di gestione del rischio informatico, segnalazione degli incidenti e governance della sicurezza.

“L’obiettivo principale della NIS2 è innalzare il livello comune di cybersicurezza nell’Unione Europea, armonizzando le misure di sicurezza e rafforzando la cooperazione tra gli Stati membri.”

La supervisione e l’attuazione della direttiva in Italia sono affidate all’ACN – Agenzia per la Cybersicurezza Nazionale, che opera come autorità competente per la verifica della conformità, la gestione delle segnalazioni di incidenti e l’emanazione di linee guida operative per i soggetti obbligati.

Rispetto alla NIS1, la nuova direttiva amplia in modo sostanziale il numero di settori e di organizzazioni coinvolte, introduce criteri dimensionali più chiari e rafforza le sanzioni per la mancata conformità. Inoltre, pone un’attenzione particolare alla sicurezza della catena di approvvigionamento (supply chain), un aspetto che ha implicazioni dirette per tutti i fornitori di software, compresi quelli che operano nella gestione dei turni di lavoro.

Ambito di applicazione

Chi è soggetto alla NIS2

La Direttiva NIS2 suddivide le organizzazioni obbligate in due categorie principali, ciascuna con livelli differenziati di obblighi e vigilanza.

Soggetti essenziali

Rientrano in questa categoria le organizzazioni che operano in settori considerati di importanza critica per il funzionamento della società e dell’economia:

  • Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Sanità (ospedali, laboratori, produttori di dispositivi medici, farmacie)
  • Acqua (potabile e reflua)
  • Infrastrutture digitali (DNS, data center, cloud, CDN)
  • Pubblica Amministrazione (centrale e regionale)
  • Spazio (operatori di infrastrutture terrestri a supporto di servizi spaziali)

Soggetti importanti

La seconda categoria include settori che, pur non essendo classificati come critici, rivestono un ruolo rilevante nell’economia e nella società:

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Produzione e distribuzione alimentare
  • Manifattura (dispositivi medici, computer, elettronica, macchinari, veicoli)
  • Fornitori di servizi digitali (marketplace, motori di ricerca, social network)
  • Ricerca scientifica

Criteri dimensionali

La NIS2 si applica alle medie imprese (almeno 50 dipendenti o fatturato annuo superiore a 10 milioni di euro) e alle grandi imprese dei settori indicati. Tuttavia, alcune organizzazioni rientrano nel perimetro indipendentemente dalla dimensione, come i fornitori di servizi DNS, i registri di nomi di dominio e i fornitori di servizi fiduciari.

Attenzione: la supply chain

La NIS2 si estende alla catena di approvvigionamento. Ciò significa che i fornitori di software utilizzati dai soggetti essenziali e importanti devono anch’essi garantire standard di sicurezza adeguati. Un’azienda sanitaria o di trasporti soggetta alla NIS2 è tenuta a verificare che tutti i propri fornitori – incluso il fornitore del software di gestione turni – rispettino i requisiti di cybersicurezza previsti dalla direttiva.

Settori in cui opera TurniX e la NIS2

Sanità e RSA

Ospedali, cliniche, residenze sanitarie assistenziali – soggetti essenziali NIS2

Trasporti

Trasporto pubblico locale, ferroviario, aeroportuale – soggetti essenziali NIS2

Manifattura

Produzione industriale, elettronica, macchinari – soggetti importanti NIS2

Trasporto Pubblico

Aziende TPL, autobus, metropolitane – soggetti essenziali NIS2

Energia

Produzione e distribuzione energetica – soggetti essenziali NIS2

Obblighi

I 10 obblighi principali della NIS2

L’articolo 21 della Direttiva NIS2 – recepito nell’art. 24 del D.Lgs 138/2024 – elenca le misure di gestione del rischio di cybersicurezza che i soggetti obbligati devono adottare. Si tratta di un approccio basato sul rischio, che richiede misure proporzionate alla dimensione dell’organizzazione e alla criticità dei servizi erogati.

1
Analisi dei rischi e politiche di sicurezza

Definire e mantenere aggiornate le politiche di sicurezza dei sistemi informativi, basate su un’analisi dei rischi sistematica e documentata.

2
Gestione degli incidenti

Implementare procedure di rilevamento (detection), risposta (response) e ripristino (recovery) degli incidenti di sicurezza informatica, con obbligo di notifica entro 24 ore.

3
Continuità operativa e gestione delle crisi

Predisporre piani di disaster recovery, strategie di backup e procedure di gestione delle crisi per garantire la continuità dei servizi essenziali.

4
Sicurezza della catena di approvvigionamento

Valutare e gestire i rischi legati ai fornitori diretti e ai service provider, includendo requisiti di sicurezza nei contratti e verificandone il rispetto.

5
Sicurezza nello sviluppo e manutenzione dei sistemi

Garantire la sicurezza nell’acquisizione, nello sviluppo e nella manutenzione dei sistemi informativi e di rete, inclusa la gestione delle vulnerabilità.

6
Valutazione dell’efficacia delle misure

Definire strategie e procedure per valutare periodicamente l’efficacia delle misure di gestione dei rischi di cybersicurezza adottate.

7
Igiene informatica e formazione

Adottare pratiche di igiene informatica di base (aggiornamenti, password sicure, principio del minimo privilegio) e garantire la formazione periodica del personale sulla cybersecurity.

8
Crittografia e cifratura dei dati

Implementare politiche e procedure relative all’uso della crittografia, inclusa la cifratura dei dati in transito e a riposo, per proteggere la riservatezza e l’integrità delle informazioni.

9
Sicurezza HR, controllo accessi e gestione asset

Garantire la sicurezza delle risorse umane con politiche di controllo degli accessi basate sui ruoli e una gestione inventariale completa degli asset informativi.

10
Autenticazione multi-fattore e comunicazioni sicure

Utilizzare soluzioni di autenticazione a più fattori (MFA), comunicazioni vocali, video e testuali sicure, e sistemi di comunicazione di emergenza protetti.

Impatto operativo

Perché il software turni è rilevante per la NIS2

A prima vista, un software di gestione turni potrebbe sembrare un elemento marginale rispetto alla cybersicurezza delle infrastrutture critiche. In realtà, si tratta di un componente operativo che rientra a pieno titolo nel perimetro della NIS2, per diverse ragioni concrete.

Dati personali dei dipendenti

Il software di gestione turni tratta dati personali sensibili dei dipendenti: anagrafiche, presenze, assenze, qualifiche professionali, certificazioni, turni di reperibilità. Nei settori sanitari, queste informazioni possono includere abilitazioni mediche e specializzazioni. Una violazione di questi dati non solo configura un data breach ai sensi del GDPR, ma rappresenta anche un incidente di sicurezza rilevante per la NIS2.

Continuità del servizio nei settori critici

Nei settori essenziali come la sanità e i trasporti, la continuità del servizio dipende direttamente dalla corretta pianificazione dei turni. Un ospedale che non riesce a generare la turnazione del personale infermieristico non può garantire la copertura dei reparti. Un’azienda di trasporto pubblico che perde l’accesso al sistema turni non può assegnare i conducenti alle linee. In entrambi i casi, il disservizio ha un impatto diretto sulla popolazione.

Rischio di paralisi operativa

Un attacco informatico mirato al sistema di gestione turni – un ransomware, ad esempio – può paralizzare un’intera organizzazione. Se il software turni è inaccessibile, il personale non conosce i propri orari, i responsabili non possono gestire le sostituzioni e la continuità operativa è compromessa. In un ospedale, questo scenario può avere conseguenze dirette sulla sicurezza dei pazienti.

Supply chain: obbligo di conformità per i fornitori

La NIS2 richiede esplicitamente che tutti i software nella catena operativa rispettino standard di sicurezza adeguati. I soggetti essenziali e importanti sono tenuti a valutare i rischi legati ai propri fornitori e a includere requisiti di cybersicurezza nei contratti di fornitura. Di conseguenza, i fornitori di software di gestione turni devono essere in grado di dimostrare la propria conformità ai clienti dei settori soggetti alla NIS2.

In pratica

Se la tua azienda opera nella sanità, nei trasporti o nella manifattura e utilizza un software di gestione turni, la NIS2 ti impone di verificare che quel software rispetti i requisiti di sicurezza della direttiva. Il fornitore del software deve essere in grado di fornirti documentazione sulla crittografia utilizzata, sulle politiche di backup, sulla gestione degli accessi e sulla risposta agli incidenti.

Conformità

Come TurniX garantisce la conformità NIS2

TurniX è stato progettato tenendo conto dei requisiti di sicurezza richiesti dalla normativa europea e nazionale in materia di cybersicurezza. Di seguito, le misure tecniche e organizzative implementate.

  • Crittografia SSL/TLS per tutte le comunicazioni

    Tutte le comunicazioni tra client e server sono protette da crittografia SSL/TLS, garantendo la riservatezza dei dati in transito.

  • Crittografia AES-256 per i dati a riposo

    I dati archiviati sono protetti con crittografia AES-256, lo standard utilizzato anche in ambito militare e governativo.

  • Server localizzati in Italia

    L’infrastruttura cloud è ospitata su server situati in territorio italiano, garantendo la sovranità dei dati (data sovereignty) e la conformità alle normative nazionali.

  • Backup automatici giornalieri con retention 30 giorni

    I backup vengono eseguiti automaticamente ogni giorno e conservati per 30 giorni, assicurando la possibilità di ripristino in caso di incidente.

  • Autenticazione a due fattori (2FA) opzionale

    Gli utenti possono attivare l’autenticazione multi-fattore per un ulteriore livello di protezione dell’accesso al sistema.

  • Conformità GDPR (Reg. UE 2016/679)

    Il trattamento dei dati personali avviene nel pieno rispetto del Regolamento Generale sulla Protezione dei Dati, con informative trasparenti e basi giuridiche documentate.

  • Uptime 99.9% con disaster recovery

    L’infrastruttura garantisce una disponibilità del servizio pari al 99.9%, con procedure di disaster recovery testate per il ripristino rapido in caso di guasto.

  • Audit trail: log di tutte le operazioni

    Ogni operazione eseguita nel sistema viene registrata in un log di audit immutabile, utile per la tracciabilità e per le verifiche di conformità.

  • Disponibile anche in versione on-premise

    Per le organizzazioni che necessitano del massimo controllo sull’infrastruttura, TurniX è disponibile in versione on-premise, installabile sui server aziendali.

  • Aggiornamenti di sicurezza continui

    Gli aggiornamenti di sicurezza sono inclusi nel canone e vengono rilasciati in modo continuo per rispondere tempestivamente a nuove vulnerabilità.

Sanzioni

Sanzioni NIS2: cosa si rischia

Il regime sanzionatorio introdotto dalla NIS2 è significativamente più severo rispetto alla precedente direttiva NIS1. Le sanzioni sono proporzionate alla categoria del soggetto e alla gravità della violazione.

Soggetti essenziali

Sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato mondiale annuo dell’esercizio precedente (si applica l’importo più elevato).

Soggetti importanti

Sanzioni amministrative fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo dell’esercizio precedente (si applica l’importo più elevato).

Responsabilità degli organi di gestione

Una delle novità più rilevanti della NIS2 è l’introduzione della responsabilità personale degli organi di gestione. I dirigenti e gli amministratori delle organizzazioni soggette possono essere ritenuti personalmente responsabili in caso di mancata adozione delle misure di sicurezza richieste. Questa previsione mira a garantire che la cybersicurezza sia trattata come una priorità a livello di governance aziendale, e non delegata esclusivamente ai reparti tecnici.

Nota importante

Le sanzioni NIS2 sono significativamente più alte rispetto alla precedente direttiva NIS1, che prevedeva importi massimi molto inferiori e non contemplava la responsabilità personale dei dirigenti. L’inasprimento del regime sanzionatorio riflette la volontà del legislatore europeo di rendere la cybersicurezza un obbligo effettivo e non una mera formalità.

Checklist

Cosa fare adesso: checklist per le aziende

Se la tua organizzazione opera in uno dei settori soggetti alla NIS2 – o se fornisci servizi a organizzazioni di quei settori – è necessario avviare un percorso di adeguamento. Ecco cinque passi concreti per iniziare.

1
Verificare il proprio status

Determinare se la propria organizzazione rientra tra i soggetti essenziali o i soggetti importanti ai sensi del D.Lgs 138/2024, considerando il settore di attività e i criteri dimensionali (50+ dipendenti o 10M+ di fatturato).

2
Mappare sistemi e fornitori

Effettuare un censimento completo di tutti i sistemi informativi utilizzati e dei fornitori software nella propria catena operativa, includendo il software di gestione turni, le piattaforme HR, i sistemi di rilevazione presenze e ogni altro applicativo che tratta dati dei dipendenti.

3
Richiedere documentazione ai fornitori

Chiedere a ciascun fornitore software la documentazione sulla conformità NIS2: politiche di crittografia, procedure di backup e disaster recovery, gestione degli accessi, procedure di incident response, certificazioni di sicurezza e localizzazione dei server.

4
Implementare le misure di sicurezza

Adottare le misure richieste dalla direttiva: autenticazione multi-fattore su tutti i sistemi critici, crittografia dei dati in transito e a riposo, backup regolari con test di ripristino, e procedure documentate di incident response.

5
Formare il personale

Organizzare sessioni di formazione sulla cybersicurezza per tutto il personale, con particolare attenzione alle pratiche di igiene informatica: gestione delle password, riconoscimento del phishing, procedure di segnalazione degli incidenti e uso sicuro dei dispositivi aziendali.

Hai bisogno di un software turni conforme NIS2?

TurniX risponde ai requisiti di cybersicurezza della Direttiva NIS2. Richiedi una demo gratuita per verificare come il nostro software può supportare la conformità della tua organizzazione.

Richiedi Demo Gratuita
Approfondisci: Software turni e normativa Tutti gli articoli FAQ