Guida · Direttiva NIS2
NIS2: cos'è, chi è soggetto
e cosa devi fare adesso.
La direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, estende gli obblighi di cybersicurezza a migliaia di aziende italiane e responsabilizza direttamente amministratori e organi direttivi. In questa pagina spieghiamo chi deve adeguarsi, entro quando, con quali misure e quali sanzioni rischia chi non lo fa.
A colpo d'occhio
Cosa è
Direttiva UE
2022/2555 · D.Lgs. 138/2024
Per chi
18 settori
Soggetti essenziali e importanti
Quando
Entro Ott. 2026
Misure art. 24 operative
Se sbagli
Fino €10M
O 2% fatturato mondiale
Cos'è la direttiva NIS2
La NIS2 è la seconda generazione della direttiva europea sulla sicurezza delle reti e dei sistemi informativi. Ha sostituito la NIS del 2016, ne ha allargato l'ambito di applicazione (da poche centinaia di operatori essenziali a decine di migliaia di aziende in tutta Europa) e ha alzato l'asticella sia sulle misure tecnico-organizzative richieste sia sulle sanzioni.
L'idea di fondo è semplice: la sicurezza informatica di un'azienda non è più solo affare suo. Un attacco a un fornitore di trasporti, di energia, di servizi sanitari o di software gestionale può paralizzare interi settori. Per questo l'Europa ha scelto di stabilire un livello minimo comune di difesa, di obblighi di trasparenza in caso di incidente e di responsabilità personale per chi guida l'azienda.
In Italia la direttiva è stata recepita con il D.Lgs. 138 del 4 settembre 2024, in vigore dal 16 ottobre 2024. L'autorità competente è l'Agenzia per la Cybersicurezza Nazionale (ACN), che gestisce l'iscrizione dei soggetti, la vigilanza e le sanzioni.
La tua azienda è soggetta a NIS2?
La direttiva si applica a soggetti pubblici e privati che operano in 18 settori (11 ad alta criticità più 7 considerati critici) e che superano determinate soglie dimensionali. La regola generale combina due criteri: il settore di attività e la dimensione dell'azienda.
Soggetti essenziali
Medie e grandi imprese (≥250 dip. o ≥50M€ fatturato) in settori ad alta criticità: energia, trasporti, banche, infrastrutture finanziarie, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione ICT B2B, P.A., spazio.
Vigilanza ex ante. Sanzioni fino a 10M€ / 2% fatturato.
Soggetti importanti
Medie imprese (50–249 dip. o 10–50M€ fatturato) negli stessi settori, oppure di qualsiasi dimensione media in altri settori critici: poste e corrieri, rifiuti, chimica, alimentare, manifattura, fornitori digitali, ricerca.
Vigilanza ex post. Sanzioni fino a 7M€ / 1,4% fatturato.
Eccezione importante. Anche micro e piccole imprese sono incluse se forniscono servizi chiave: fornitori unici di servizi essenziali, gestori di DNS pubblici, registrar di nomi a dominio, fornitori di comunicazioni elettroniche pubbliche, e alcuni soggetti della P.A.
Effetto a catena. Anche se la tua azienda non è formalmente NIS2, se sei fornitore di un soggetto essenziale o importante, ti verrà chiesto contrattualmente di rispettare requisiti di sicurezza assimilabili. È l'art. 25 sulla catena di approvvigionamento: la responsabilità si propaga.
Le scadenze chiave
Il calendario di adeguamento si snoda su tre fasi. Le prime due sono già passate, la terza è quella che conta per le PMI nel 2026.
- 1
16 ottobre 2024 — entrata in vigore
Il D.Lgs. 138/2024 entra in vigore. La piattaforma ACN per l'iscrizione dei soggetti viene aperta.
- 2
1 gennaio – 28 febbraio 2025 — registrazione ACN
Finestra di iscrizione obbligatoria sulla piattaforma ACN per chi rientra nei criteri. Chi era tenuto e non si è registrato è già in violazione.
- 3
Entro ottobre 2026 — misure operative
Le misure tecnico-organizzative dell'art. 24 devono essere implementate, documentate e dimostrabili. Da questa data partono i controlli effettivi e le sanzioni in caso di non conformità.
I quattro obblighi principali
Riassunti in modo operativo: ecco cosa l'Agenzia ti chiederà di dimostrare durante una verifica.
Art. 24 · Misure di gestione del rischio
Dieci aree minime obbligatorie
Politiche di sicurezza, gestione del rischio, gestione degli incidenti, continuità operativa e backup, sicurezza della catena di approvvigionamento, sicurezza nello sviluppo e manutenzione, valutazione dell'efficacia, igiene di base e formazione, crittografia, controllo accessi e gestione asset, autenticazione multi-fattore.
Art. 25 · Notifica degli incidenti significativi
Pre-allarme 24h · Notifica 72h · Relazione finale 1 mese
In caso di incidente significativo (impatto rilevante sull'erogazione del servizio o sui dati) hai obblighi di notifica scaglionati a CSIRT Italia: pre-allarme entro 24 ore dalla rilevazione, notifica completa entro 72 ore, relazione finale dettagliata entro un mese. I tempi sono perentori e tracciati.
Art. 23 · Responsabilità degli organi direttivi
Approvazione, sorveglianza, formazione
Gli organi direttivi (CdA, amministratori) devono approvare le misure, sorvegliarne l'attuazione e seguire formazione specifica. Sono direttamente responsabili: in caso di gravi violazioni l'ACN può sospenderli temporaneamente dall'incarico.
Art. 25 · Sicurezza della catena di approvvigionamento
Valuti i tuoi fornitori, ti valutano i tuoi clienti
Devi tenere conto della qualità della sicurezza dei tuoi fornitori e delle relazioni dirette con loro. È il motivo per cui anche aziende non direttamente soggette a NIS2 si trovano oggi a ricevere questionari, clausole contrattuali e richieste di evidenze dai loro clienti più grandi.
Quanto rischi se non ti adegui
Le sanzioni sono pesanti per scelta. La NIS2 le ha volutamente parametrate al GDPR per dare lo stesso livello di deterrenza.
Soggetti essenziali
fino a 10M€
oppure il 2% del fatturato annuo mondiale, se superiore
Soggetti importanti
fino a 7M€
oppure l'1,4% del fatturato annuo mondiale, se superiore
Oltre alle sanzioni economiche, l'ACN può disporre misure ispettive, ordinare azioni correttive, pubblicare la non conformità e — nei casi più gravi — sospendere temporaneamente i membri dell'organo direttivo dalle loro funzioni, fino a quando le violazioni non vengono sanate.
Come prepararsi: i sei step
Un percorso di adeguamento NIS2 ben fatto attraversa queste fasi. I tempi cambiano in funzione della complessità aziendale, ma l'ordine è quasi sempre questo.
- 1
Verifica dell'ambito
Determinare se l'azienda è soggetta NIS2 e con quale qualifica (essenziale o importante). Si parte dal codice ATECO, dal numero di dipendenti, dal fatturato e dai servizi erogati.
- 2
Gap analysis
Confronto fra lo stato attuale (policy, misure tecniche, processi) e i requisiti dell'art. 24. L'output è una lista prioritizzata di lacune da colmare.
- 3
Piano di trattamento dei rischi
Risk assessment formale, scelta delle contromisure, accettazione documentata dei rischi residui. Approvato dall'organo direttivo, non dall'IT.
- 4
Implementazione policy e controlli
Adozione delle policy mancanti (sicurezza, accessi, gestione incidenti, business continuity, fornitori), configurazione delle misure tecniche (MFA, backup, cifratura, logging), formazione dei dipendenti e degli organi direttivi.
- 5
Procedura di gestione incidenti e segnalazione
Definizione del processo interno di rilevazione, classificazione e notifica al CSIRT entro 24/72 ore. Test del processo (tabletop exercise) prima che serva davvero.
- 6
Audit interno e mantenimento
Verifica periodica dell'efficacia, riesame dell'organo direttivo, aggiornamento del piano. La conformità non è uno stato ma un processo: in caso di ispezione devi poter mostrare il flusso continuo, non un timbro datato.
Come ti aiutiamo ad arrivare audit-ready
Due binari complementari: la piattaforma per tenere in ordine evidenze e policy, e il supporto diretto di un Lead Auditor ISO 27001 per gli audit interni.
Piattaforma · Comprova
Evidenze, policy, Audit Pack
Vault delle prove, Incident Register con timer 24/72h, Policy Kit editabile, Audit Pack con hash SHA-256. Tutto in ordine, datato, dimostrabile.
Scopri Comprova →
Servizio · Audit interno
Lead Auditor ISO 27001
Audit di prima e seconda parte (interno aziendale, audit di fornitori) condotti dal founder, certificato Lead Auditor ISO 27001 BSI.
Richiedi una call →