La Direttiva NIS2 è stata recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. Il decreto affida all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di autorità competente e CSIRT, introduce la registrazione dei soggetti in ambito su una piattaforma digitale dedicata e impone obblighi di gestione del rischio, notifica degli incidenti e responsabilità degli organi direttivi. Le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali. Questa è la guida di riferimento al perimetro italiano.
Se la vostra organizzazione opera nell’energia, nei trasporti, nella sanità, nel digitale, nei rifiuti, nella PA o in altri settori degli allegati, probabilmente rientrate nell’ambito: ecco cosa fare e quando.
Key Takeaways
- Il D.Lgs. 138/2024 recepisce la Direttiva (UE) 2022/2555 (NIS2); l’autorità è l’ACN.
- La registrazione sulla piattaforma ACN avviene nella finestra annuale, di norma tra gennaio e febbraio.
- I soggetti si distinguono in essenziali e importanti, con obblighi e sanzioni differenziati.
- Le misure di sicurezza dell’art. 21 NIS2 sono a base di rischio e includono la sicurezza della catena di fornitura.
- Gli organi di amministrazione rispondono dell’attuazione: la governance della sicurezza non è delegabile del tutto.
Cosa cambia con il D.Lgs. 138/2024
NIS2 amplia enormemente il perimetro rispetto alla vecchia NIS (D.Lgs. 65/2018): più settori, più soggetti, obblighi più stringenti e un regime sanzionatorio serio. Il baricentro passa da una logica di designazione dall’alto a una di auto-identificazione: è il soggetto che deve valutare se rientra e registrarsi.
L’ACN gestisce l’intero ciclo: registrazione, ricezione delle notifiche di incidente tramite il CSIRT Italia, vigilanza e sanzioni. Il calendario di attuazione è graduale: dopo la registrazione, gli obblighi di sicurezza e di notifica entrano progressivamente a regime secondo le determinazioni ACN.
Chi rientra: settori e dimensioni
L’ambito di applicazione discende dagli allegati al decreto (settori ad alta criticità e altri settori critici) combinati con la regola dimensionale: rientrano di norma i soggetti che superano le soglie della media impresa (oltre 50 dipendenti oppure oltre 10 milioni di euro di fatturato/bilancio annuo), fatte salve le inclusioni a prescindere dalla dimensione per alcune categorie critiche.
| Categoria | Esempi di settori | Regime |
|---|---|---|
| Soggetti essenziali | Energia, trasporti, banche, sanità, acqua potabile, infrastrutture digitali, PA centrale | Vigilanza ex ante, sanzioni più alte |
| Soggetti importanti | Servizi postali, gestione rifiuti, produzione chimica e alimentare, fabbricazione, provider digitali | Vigilanza ex post |
La distinzione tra i due regimi, con la tabella settoriale dettagliata e la regola del size-cap, è approfondita nella guida ai soggetti essenziali e importanti a confronto. Chi ha dubbi sull’inquadramento deve documentare la propria auto-valutazione: è essa stessa oggetto di possibile verifica.
La registrazione sulla piattaforma ACN
L’adempimento di partenza è la registrazione del soggetto sulla piattaforma digitale dell’ACN. La finestra ordinaria è annuale (tipicamente gennaio-febbraio) e richiede l’indicazione dei dati identificativi, del settore, del punto di contatto e delle informazioni utili alla classificazione. Da questa iscrizione discende l’inserimento negli elenchi dei soggetti NIS2 e l’attivazione degli obblighi successivi.
Mancare la registrazione o fornire informazioni inesatte è di per sé una violazione. Conviene monitorare le comunicazioni ufficiali dell’Agenzia per la Cybersicurezza Nazionale per le scadenze aggiornate.
Gli obblighi di sicurezza (art. 21)
Il cuore tecnico è l’art. 21 della direttiva, trasfuso nel decreto: i soggetti adottano misure adeguate e proporzionate al rischio, secondo un approccio all-hazards. Il pacchetto minimo comprende:
- politiche di analisi dei rischi e sicurezza dei sistemi informativi;
- gestione degli incidenti;
- continuità operativa e gestione delle crisi (backup, disaster recovery);
- sicurezza della catena di approvvigionamento, comprese le relazioni con i fornitori ICT;
- sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi;
- crittografia, controllo degli accessi e igiene informatica di base;
- formazione del personale e degli organi direttivi.
Molte di queste misure coincidono con quelle richieste dall’art. 32 del Regolamento (UE) 2016/679: un solo programma di sicurezza ben costruito serve entrambe le normative, come spiega il confronto NIS2 vs GDPR: differenze e sovrapposizioni. La sicurezza della catena di fornitura impone di formalizzare i rapporti con i fornitori, un tema che si intreccia con la nomina del responsabile del trattamento ex art. 28 quando i fornitori trattano anche dati personali.
Notifica degli incidenti e responsabilità degli organi
In caso di incidente significativo scattano scadenze serrate verso il CSIRT Italia: pre-notifica entro 24 ore, notifica entro 72 ore e relazione finale entro un mese. Il flusso operativo completo, e il suo intreccio con la notifica al Garante quando sono coinvolti dati personali, è descritto nella guida alla notifica degli incidenti ad ACN entro 24 ore. Quando l’incidente è anche un data breach, resta dovuta la notifica di violazione dei dati al Garante.
Novità sostanziale: gli organi di amministrazione approvano le misure di gestione del rischio, ne sorvegliano l’attuazione e seguono formazione specifica. La responsabilità della cybersicurezza sale al livello del board.
Legiscope aiuta a strutturare il registro delle misure NIS2, la documentazione della catena di fornitura e i workflow di notifica; per una valutazione più ampia degli strumenti si può partire dal software per la conformità NIS2.
Il rapporto con DORA e le altre normative
Un punto che genera confusione: le entità finanziarie (banche, assicurazioni, SIM) non applicano la NIS2 sugli aspetti di resilienza ICT, perché su quel terreno prevale DORA come normativa speciale, come spiega la guida a DORA in Italia. Restano invece pienamente in ambito NIS2 gli altri settori critici e le PA. La sovrapposizione con il GDPR va gestita in modo integrato: un incidente che coinvolge dati personali attiva sia gli obblighi di notifica NIS2 sia quelli dell’art. 33 del Regolamento (UE) 2016/679.
Le tappe operative per mettersi in regola
Chi rientra nell’ambito dovrebbe procedere per passi ordinati, evitando di affrontare tutto insieme:
- Valutare l’ambito: verificare settore e dimensione, documentare l’auto-classificazione tra essenziali e importanti.
- Registrarsi sulla piattaforma ACN nella finestra utile, con un punto di contatto stabile.
- Analizzare i rischi ICT e mappare gli asset critici.
- Colmare i gap rispetto alle misure dell’art. 21, dando priorità a gestione degli incidenti, backup e sicurezza della catena di fornitura.
- Predisporre la procedura di notifica con i template per le scadenze di 24 e 72 ore.
- Coinvolgere il board, con approvazione formale delle misure e formazione.
Questo percorso non si esaurisce in un progetto una tantum: NIS2 richiede un ciclo continuo di valutazione, aggiornamento e rendicontazione. La documentazione va mantenuta viva, pronta per una possibile verifica da parte dell’ACN.
FAQ
Da quando è in vigore la NIS2 in Italia?
Il D.Lgs. 138/2024 è in vigore dal 16 ottobre 2024. Gli obblighi però entrano a regime in modo graduale: prima la registrazione sulla piattaforma ACN, poi progressivamente gli obblighi di sicurezza e di notifica secondo le determinazioni dell’Agenzia per la Cybersicurezza Nazionale.
La mia azienda deve registrarsi presso l’ACN?
Se rientra nei settori degli allegati e supera le soglie dimensionali (oltre 50 dipendenti o 10 milioni di euro), sì, salvo le categorie incluse a prescindere dalla dimensione. La registrazione avviene sulla piattaforma digitale dell’ACN nella finestra annuale, tipicamente tra gennaio e febbraio.
Quali sono le sanzioni previste dalla NIS2 in Italia?
Per i soggetti essenziali le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale totale, e fino a 7 milioni o all’1,4% per i soggetti importanti. Sono previste anche misure correttive e forme di responsabilità in capo agli organi di amministrazione.
NIS2 sostituisce il GDPR?
No. NIS2 riguarda la sicurezza delle reti e dei sistemi informativi, il GDPR la protezione dei dati personali. I due regimi convivono: un incidente può richiedere sia la notifica ad ACN sia la notifica al Garante. Un unico programma di sicurezza può però soddisfare gli obblighi tecnici di entrambi.
Vedi anche: come distinguere i soggetti essenziali e importanti e il GDPR per i comuni e la pubblica amministrazione, tra i soggetti che rientrano in NIS2.
Fonti ufficiali: Agenzia per la Cybersicurezza Nazionale · Direttiva (UE) 2022/2555 (NIS2) su EUR-Lex
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial