Sicurezza dei dati

NIS2 in Italia: guida al D.Lgs. 138/2024

NIS2 in Italia con il D.Lgs. 138/2024: chi rientra, registrazione ACN, obblighi di sicurezza, notifiche e sanzioni fino a 10 milioni di euro. Guida operativa.

Also available in:Français·Español·Deutsch·Nederlands

La Direttiva NIS2 è stata recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. Il decreto affida all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di autorità competente e CSIRT, introduce la registrazione dei soggetti in ambito su una piattaforma digitale dedicata e impone obblighi di gestione del rischio, notifica degli incidenti e responsabilità degli organi direttivi. Le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali. Questa è la guida di riferimento al perimetro italiano.

Se la vostra organizzazione opera nell’energia, nei trasporti, nella sanità, nel digitale, nei rifiuti, nella PA o in altri settori degli allegati, probabilmente rientrate nell’ambito: ecco cosa fare e quando.

Key Takeaways

  • Il D.Lgs. 138/2024 recepisce la Direttiva (UE) 2022/2555 (NIS2); l’autorità è l’ACN.
  • La registrazione sulla piattaforma ACN avviene nella finestra annuale, di norma tra gennaio e febbraio.
  • I soggetti si distinguono in essenziali e importanti, con obblighi e sanzioni differenziati.
  • Le misure di sicurezza dell’art. 21 NIS2 sono a base di rischio e includono la sicurezza della catena di fornitura.
  • Gli organi di amministrazione rispondono dell’attuazione: la governance della sicurezza non è delegabile del tutto.

Cosa cambia con il D.Lgs. 138/2024

NIS2 amplia enormemente il perimetro rispetto alla vecchia NIS (D.Lgs. 65/2018): più settori, più soggetti, obblighi più stringenti e un regime sanzionatorio serio. Il baricentro passa da una logica di designazione dall’alto a una di auto-identificazione: è il soggetto che deve valutare se rientra e registrarsi.

L’ACN gestisce l’intero ciclo: registrazione, ricezione delle notifiche di incidente tramite il CSIRT Italia, vigilanza e sanzioni. Il calendario di attuazione è graduale: dopo la registrazione, gli obblighi di sicurezza e di notifica entrano progressivamente a regime secondo le determinazioni ACN.

Chi rientra: settori e dimensioni

L’ambito di applicazione discende dagli allegati al decreto (settori ad alta criticità e altri settori critici) combinati con la regola dimensionale: rientrano di norma i soggetti che superano le soglie della media impresa (oltre 50 dipendenti oppure oltre 10 milioni di euro di fatturato/bilancio annuo), fatte salve le inclusioni a prescindere dalla dimensione per alcune categorie critiche.

Categoria Esempi di settori Regime
Soggetti essenziali Energia, trasporti, banche, sanità, acqua potabile, infrastrutture digitali, PA centrale Vigilanza ex ante, sanzioni più alte
Soggetti importanti Servizi postali, gestione rifiuti, produzione chimica e alimentare, fabbricazione, provider digitali Vigilanza ex post

La distinzione tra i due regimi, con la tabella settoriale dettagliata e la regola del size-cap, è approfondita nella guida ai soggetti essenziali e importanti a confronto. Chi ha dubbi sull’inquadramento deve documentare la propria auto-valutazione: è essa stessa oggetto di possibile verifica.

La registrazione sulla piattaforma ACN

L’adempimento di partenza è la registrazione del soggetto sulla piattaforma digitale dell’ACN. La finestra ordinaria è annuale (tipicamente gennaio-febbraio) e richiede l’indicazione dei dati identificativi, del settore, del punto di contatto e delle informazioni utili alla classificazione. Da questa iscrizione discende l’inserimento negli elenchi dei soggetti NIS2 e l’attivazione degli obblighi successivi.

Mancare la registrazione o fornire informazioni inesatte è di per sé una violazione. Conviene monitorare le comunicazioni ufficiali dell’Agenzia per la Cybersicurezza Nazionale per le scadenze aggiornate.

Gli obblighi di sicurezza (art. 21)

Il cuore tecnico è l’art. 21 della direttiva, trasfuso nel decreto: i soggetti adottano misure adeguate e proporzionate al rischio, secondo un approccio all-hazards. Il pacchetto minimo comprende:

  • politiche di analisi dei rischi e sicurezza dei sistemi informativi;
  • gestione degli incidenti;
  • continuità operativa e gestione delle crisi (backup, disaster recovery);
  • sicurezza della catena di approvvigionamento, comprese le relazioni con i fornitori ICT;
  • sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi;
  • crittografia, controllo degli accessi e igiene informatica di base;
  • formazione del personale e degli organi direttivi.

Molte di queste misure coincidono con quelle richieste dall’art. 32 del Regolamento (UE) 2016/679: un solo programma di sicurezza ben costruito serve entrambe le normative, come spiega il confronto NIS2 vs GDPR: differenze e sovrapposizioni. La sicurezza della catena di fornitura impone di formalizzare i rapporti con i fornitori, un tema che si intreccia con la nomina del responsabile del trattamento ex art. 28 quando i fornitori trattano anche dati personali.

Notifica degli incidenti e responsabilità degli organi

In caso di incidente significativo scattano scadenze serrate verso il CSIRT Italia: pre-notifica entro 24 ore, notifica entro 72 ore e relazione finale entro un mese. Il flusso operativo completo, e il suo intreccio con la notifica al Garante quando sono coinvolti dati personali, è descritto nella guida alla notifica degli incidenti ad ACN entro 24 ore. Quando l’incidente è anche un data breach, resta dovuta la notifica di violazione dei dati al Garante.

Novità sostanziale: gli organi di amministrazione approvano le misure di gestione del rischio, ne sorvegliano l’attuazione e seguono formazione specifica. La responsabilità della cybersicurezza sale al livello del board.

Legiscope aiuta a strutturare il registro delle misure NIS2, la documentazione della catena di fornitura e i workflow di notifica; per una valutazione più ampia degli strumenti si può partire dal software per la conformità NIS2.

Il rapporto con DORA e le altre normative

Un punto che genera confusione: le entità finanziarie (banche, assicurazioni, SIM) non applicano la NIS2 sugli aspetti di resilienza ICT, perché su quel terreno prevale DORA come normativa speciale, come spiega la guida a DORA in Italia. Restano invece pienamente in ambito NIS2 gli altri settori critici e le PA. La sovrapposizione con il GDPR va gestita in modo integrato: un incidente che coinvolge dati personali attiva sia gli obblighi di notifica NIS2 sia quelli dell’art. 33 del Regolamento (UE) 2016/679.

Le tappe operative per mettersi in regola

Chi rientra nell’ambito dovrebbe procedere per passi ordinati, evitando di affrontare tutto insieme:

  1. Valutare l’ambito: verificare settore e dimensione, documentare l’auto-classificazione tra essenziali e importanti.
  2. Registrarsi sulla piattaforma ACN nella finestra utile, con un punto di contatto stabile.
  3. Analizzare i rischi ICT e mappare gli asset critici.
  4. Colmare i gap rispetto alle misure dell’art. 21, dando priorità a gestione degli incidenti, backup e sicurezza della catena di fornitura.
  5. Predisporre la procedura di notifica con i template per le scadenze di 24 e 72 ore.
  6. Coinvolgere il board, con approvazione formale delle misure e formazione.

Questo percorso non si esaurisce in un progetto una tantum: NIS2 richiede un ciclo continuo di valutazione, aggiornamento e rendicontazione. La documentazione va mantenuta viva, pronta per una possibile verifica da parte dell’ACN.

FAQ

Da quando è in vigore la NIS2 in Italia?

Il D.Lgs. 138/2024 è in vigore dal 16 ottobre 2024. Gli obblighi però entrano a regime in modo graduale: prima la registrazione sulla piattaforma ACN, poi progressivamente gli obblighi di sicurezza e di notifica secondo le determinazioni dell’Agenzia per la Cybersicurezza Nazionale.

La mia azienda deve registrarsi presso l’ACN?

Se rientra nei settori degli allegati e supera le soglie dimensionali (oltre 50 dipendenti o 10 milioni di euro), sì, salvo le categorie incluse a prescindere dalla dimensione. La registrazione avviene sulla piattaforma digitale dell’ACN nella finestra annuale, tipicamente tra gennaio e febbraio.

Quali sono le sanzioni previste dalla NIS2 in Italia?

Per i soggetti essenziali le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato annuo mondiale totale, e fino a 7 milioni o all’1,4% per i soggetti importanti. Sono previste anche misure correttive e forme di responsabilità in capo agli organi di amministrazione.

NIS2 sostituisce il GDPR?

No. NIS2 riguarda la sicurezza delle reti e dei sistemi informativi, il GDPR la protezione dei dati personali. I due regimi convivono: un incidente può richiedere sia la notifica ad ACN sia la notifica al Garante. Un unico programma di sicurezza può però soddisfare gli obblighi tecnici di entrambi.

Vedi anche: come distinguere i soggetti essenziali e importanti e il GDPR per i comuni e la pubblica amministrazione, tra i soggetti che rientrano in NIS2.


Fonti ufficiali: Agenzia per la Cybersicurezza Nazionale · Direttiva (UE) 2022/2555 (NIS2) su EUR-Lex

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →