La direttiva NIS2 ha trasformato il panorama della cybersicurezza italiana: da meno di 1.000 entità obbligate sotto il vecchio regime NIS1 a circa 12.000 organizzazioni che devono oggi conformarsi a nuovi obblighi di sicurezza, governance e notifica degli incidenti. Con la scadenza del 1° ottobre 2026 che si avvicina, sanzioni fino a 10 milioni di euro o il 2% del fatturato globale attendono le aziende italiane inadempienti. Questo è il quadro che si delinea a metà 2026, nel pieno della fase di implementazione più intensa della storia normativa italiana in materia di cybersicurezza.
Dal NIS1 al NIS2: da 900 a 12.000 Entità in Italia
Quando il vecchio framework NIS1 era in vigore, meno di 900 organizzazioni italiane erano soggette agli obblighi di cybersicurezza europei. Una cifra modesta, concentrata in pochi settori ritenuti critici. La direttiva NIS2, recepita in Italia con il Decreto Legislativo n. 138 del 4 settembre 2024 (in vigore dal 16 ottobre 2024), ha cambiato tutto: ora sono circa 12.000 i soggetti obbligati, con un incremento di 12 volte rispetto al passato.
Questo salto quantitativo riflette una visione radicalmente diversa della cybersicurezza: non più un adempimento riservato agli operatori di infrastrutture critiche tradizionali, ma un requisito strutturale per qualsiasi organizzazione di medie o grandi dimensioni operante in 18 settori definiti. Il decreto abroga e sostituisce la precedente normativa del 2018, introducendo un regime più ampio e più severo.
Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), ha sottolineato l’ambizione del progetto: “L’ACN sta facendo molto per accompagnare le imprese italiane oggetto della NIS2”, ricordando che il settore privato rappresenta circa la metà della platea dei soggetti coinvolti. Una transizione di questa portata non può essere improvvisata: richiede pianificazione, risorse e una comprensione approfondita dei nuovi obblighi.
Il confronto con il panorama europeo è significativo. Paesi come la Germania e la Francia faticano ancora a completare il recepimento nazionale della direttiva, esposti a procedure di infrazione da parte della Commissione Europea. L’Italia, avendo approvato il decreto a settembre 2024, si posiziona tra i primi stati membri a dotarsi di una legge di trasposizione completa, un vantaggio competitivo nel posizionamento del Paese come hub digitale sicuro per le imprese europee.
Decreto Legislativo 138/2024: Cosa Prevede per le Aziende
Il D.Lgs. 138/2024 rappresenta il cuore normativo dell’adeguamento italiano alla NIS2. Il decreto stabilisce tre pilastri fondamentali: registrazione obbligatoria presso il portale ACN, gestione del rischio di sicurezza informatica, e notifica degli incidenti a CSIRT-Italia.
La registrazione sul portale ACN è diventata un obbligo annuale: la prima finestra si è aperta il 1° dicembre 2024 e si è chiusa il 28 febbraio 2025. Da allora, il ciclo si ripete ogni anno tra il 1° gennaio e il 28 febbraio. La mancata registrazione espone le organizzazioni a sanzioni amministrative. L’ACN ha già pubblicato l’elenco completo dei soggetti inclusi entro il 31 marzo 2025, comunicando ai singoli operatori la loro classificazione.
Con la Risoluzione n. 379907/2025 del 15 aprile 2025, l’ACN ha ulteriormente affinato le specifiche tecniche, organizzative e di reporting per l’implementazione della NIS2, fissando le tempistiche per le misure di sicurezza di base e gli obblighi di notifica degli incidenti. Questo aggiornamento normativo ha segnato la fine della fase transitoria iniziale e l’avvio del regime a pieno regime.
Un aspetto spesso sottovalutato: la conformità agli standard europei non è sufficiente in Italia. Il decreto impone requisiti di registrazione nazionale aggiuntivi, obblighi di governance specifici e requisiti di supervisione propri, con scadenze operative che si estendono fino al 2026. Le aziende che si affidano esclusivamente a framework internazionali come ISO 27001 o NIST rischiano di trovarsi scoperte su aspetti peculiari della normativa italiana.
Chi Deve Adeguarsi: 18 Settori e Soglie Dimensionali
La direttiva NIS2 identifica 18 settori distinti, suddivisi in due categorie di criticità. Gli 11 settori di alta criticità includono energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione e spazio. I restanti 7 settori critici comprendono servizi postali e di corriere, gestione dei rifiuti, fabbricazione di prodotti chimici, produzione, trasformazione e distribuzione di alimenti, fabbricazione, ricerca, e fornitori di servizi digitali.
Le soglie dimensionali determinano l’applicabilità: sono incluse le organizzazioni con più di 50 dipendenti e un fatturato annuo superiore a 10 milioni di euro. Fanno eccezione alcune categorie specifiche, come fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, che rientrano nell’ambito indipendentemente dalle dimensioni. Le piccole imprese sono incluse solo se operano in infrastrutture e servizi digitali critici.
Per la pubblica amministrazione, l’ambito è ancora più ampio: il decreto si applica a tutti i ministeri centrali, a tutte le regioni e ai comuni con più di 50.000 abitanti. Questo coinvolge alcune delle strutture pubbliche più complesse e meno abituate a operare con framework di cybersicurezza strutturati, creando una sfida implementativa particolarmente significativa per il settore pubblico italiano.
Soggetti Essenziali vs Soggetti Importanti: Due Regimi di Compliance
Il decreto distingue tra due categorie di soggetti con obblighi simili ma livelli di supervisione diversi. I soggetti essenziali (SE) sono sottoposti a controlli più stringenti e sono tipicamente le grandi organizzazioni che operano nei settori di alta criticità. I soggetti importanti (SI) hanno gli stessi obblighi sostanziali in termini di misure di sicurezza e notifica, ma beneficiano di una supervisione più leggera da parte dell’ACN.
La distinzione non è meramente formale: impatta direttamente sull’intensità dell’attività ispettiva, sulla frequenza degli audit e sulla celerità con cui le autorità possono intervenire. I soggetti essenziali sono soggetti a ispezioni regolari, anche ex ante, mentre i soggetti importanti rientrano generalmente in un regime di supervisione ex post, attivato in caso di segnalazioni di incidenti o indicazioni di non conformità.
Per la pubblica amministrazione, il regime è ancora diverso: i soggetti pubblici sono soggetti a ordini correttivi anziché a sanzioni pecuniarie. Questa distinzione riflette la natura peculiare delle amministrazioni pubbliche, che non possono essere “multate” nel senso tradizionale, ma devono comunque rispettare gli stessi standard tecnici e organizzativi previsti per i privati.
Le Scadenze Critiche 2025-2026: Tre Mesi al Giro di Boa
Il calendario NIS2 in Italia è fitto di scadenze operative che nessun compliance officer può permettersi di ignorare. La tabella seguente riassume i momenti chiave del percorso di adeguamento.
| Data | Obbligo | Chi è Interessato |
|---|---|---|
| 28 febbraio 2025 | Prima registrazione obbligatoria sul portale ACN | Tutti i soggetti in ambito NIS2 |
| 31 marzo 2025 | ACN pubblica l’elenco completo dei soggetti inclusi | ACN (azione dell’Agenzia) |
| 15 aprile 2025 | Comunicazione individuale di classificazione (SE/SI) | ACN (azione dell’Agenzia) |
| 31 luglio 2025 | Scadenza estesa per aggiornamento dati annuali (entità con supporto ACN) | Soggetti che hanno richiesto supporto |
| 1° gennaio 2026 | Avvio obblighi di notifica incidenti informatici | Tutti i soggetti in ambito |
| 28 febbraio 2026 | Secondo aggiornamento annuale registrazione ACN | Tutti i soggetti in ambito |
| 30 giugno 2026 | Aggiornamento elenco attività e servizi per categorizzazione | Soggetti art. 7 §5 |
| 1° ottobre 2026 | Adozione obbligatoria: governance, formazione, risk management | Tutti i soggetti in ambito |
La scadenza del 1° ottobre 2026 è quella più impattante: entro quella data, tutti i soggetti in ambito dovranno aver adottato le misure di cybersicurezza previste dall’art. 23 (formazione e governance), dall’art. 24 (gestione del rischio di sicurezza informatica) e dall’art. 29 (database di registrazione dei nomi a dominio). Non si tratta di adempimenti burocratici: richiedono investimenti concreti in tecnologia, processi e persone.
Bruno Frattasi ha ricordato la portata storica dell’obbligo di notifica degli incidenti: “Da gennaio 2026 tutti i soggetti interessati dalla NIS2 dovranno, obbligatoriamente, notificare all’Agenzia gli incidenti cyber”, aggiungendo che “questi numeri e dati ci serviranno per continuare a costruire sempre più il sistema di cyber resilienza del Paese”. Una visione che va oltre il mero adempimento: i dati sugli incidenti diventano intelligence collettiva per rafforzare la sicurezza nazionale.
Il Protocollo di Notifica Incidenti: 24 Ore, 72 Ore, 30 Giorni
Uno degli elementi più innovativi della NIS2 rispetto al precedente regime è la struttura a tre livelli per la notifica degli incidenti significativi. Non è sufficiente segnalare un incidente “quando possibile”: la direttiva impone tempistiche precise che scattano dal momento della scoperta dell’incidente.
Il primo livello è il pre-allarme entro 24 ore: una notifica iniziale a CSIRT-Italia che indica se si sospetta un’origine dolosa (attacco) o se l’incidente ha potenziali effetti transfrontalieri. Non è richiesta ancora un’analisi completa, ma solo una prima valutazione dell’accaduto. Il secondo livello è il rapporto di incidente entro 72 ore: una relazione più dettagliata con una valutazione iniziale della gravità, dell’impatto e degli indicatori di compromissione (IoC) se disponibili. Il terzo livello è il rapporto finale entro un mese: un’analisi completa con la descrizione dell’incidente, la causa radice, le misure di mitigazione adottate e l’impatto transfrontaliero se applicabile.
Questo sistema di notifica multi-fase bilancia due esigenze contrastanti: la rapidità nell’allertare le autorità e la qualità delle informazioni fornite. Le organizzazioni che non rispettano queste tempistiche rischiano sanzioni, indipendentemente dalla gravità dell’incidente stesso. Non notificare è punito quanto non proteggere adeguatamente. CSIRT-Italia riceve le notifiche e le condivide con la rete europea CSIRT e con ENISA per il coordinamento transfrontaliero, creando un sistema di early warning che beneficia l’intera Unione Europea.
Sanzioni: fino a €10 Milioni o 2% del Fatturato Mondiale
Il regime sanzionatorio della NIS2 segna una discontinuità netta rispetto al passato. Le sanzioni non sono simboliche: per i soggetti essenziali, le autorità competenti possono irrogare ammende fino a 10 milioni di euro oppure fino al 2% del fatturato annuo mondiale, applicando il valore più elevato tra i due. Per i soggetti importanti, le sanzioni massime scendono a 7 milioni di euro o all’1,4% del fatturato globale.
Per contestualizzare: una media impresa italiana con 200 dipendenti e un fatturato di 50 milioni di euro potrebbe affrontare sanzioni fino a 1 milione di euro (2% di 50M) se classificata come soggetto essenziale. Per una grande azienda con 500 milioni di fatturato, il massimo sanzionatorio sale a 10 milioni di euro. Numeri sufficienti a motivare qualsiasi consiglio di amministrazione a prendere la NIS2 sul serio.
Il calcolo si basa sul fatturato annuo mondiale dell’intera organizzazione, non solo su quello generato in Italia. Per le multinazionali con sede legale o operativa nel nostro Paese, questo significa che una filiale italiana di una grande società internazionale potrebbe essere esposta a sanzioni calcolate sul fatturato globale del gruppo. Una ragione in più per cui le capogruppo straniere stanno guardando con attenzione all’adeguamento delle loro controllate italiane alla NIS2.
La Responsabilità Personale del Management: una Novità Senza Precedenti
Tra le novità più impattanti della NIS2, la responsabilità personale dei vertici aziendali merita un capitolo a parte. La direttiva introduce la possibilità per le autorità nazionali di tenere gli organi di gestione personalmente responsabili per gravi violazioni degli obblighi di cybersicurezza. Il decreto prevede la possibilità di divieti temporanei o addirittura la decadenza dall’incarico per CEO, CTO, CISO e altri membri del board che abbiano colposamente ignorato le loro responsabilità in materia di sicurezza informatica.
Questa evoluzione normativa trasforma il profilo di rischio per i dirigenti italiani. Fino ad oggi, le violazioni in materia di cybersicurezza erano principalmente un problema aziendale: le sanzioni colpivano l’organizzazione, non l’individuo. Con la NIS2, il risk management personale dei dirigenti deve includere la gestione del rischio cyber. Chi approva budget inadeguati per la sicurezza, chi ignora le raccomandazioni dei team tecnici, chi ritarda l’adeguamento per motivi di costo, ora rischia la propria posizione professionale.
Le aziende hanno risposto con un intensificarsi della domanda di formazione specifica per il board: workshop sulla cybersicurezza per i consiglieri di amministrazione, briefing regolari da parte dei CISO, aggiornamenti trimestrali sullo stato di compliance. Il mercato della formazione executive in cybersicurezza ha registrato una crescita significativa nel primo semestre del 2026, trainata direttamente dai requisiti di governance della NIS2.
NIS1 vs NIS2: Il Confronto Completo
| Dimensione | NIS1 (2016-2024) | NIS2 (2024-oggi) |
|---|---|---|
| Entità coperte in Italia | Meno di 900 | Circa 12.000 (+1.233%) |
| Settori coperti | 7 settori principali | 18 settori (11 alta criticità + 7 critici) |
| Sanzione massima (SE) | Discrezionale per Stato membro | €10M o 2% del fatturato globale |
| Sanzione massima (SI) | Discrezionale per Stato membro | €7M o 1,4% del fatturato globale |
| Pre-allarme incidenti | Non previsto | Obbligatorio entro 24 ore |
| Rapporto incidente completo | 72 ore (discrezionale) | 72 ore (obbligatorio) |
| Rapporto finale | Non standardizzato | Entro 1 mese |
| Responsabilità management | Nessuna responsabilità individuale | Potenziale decadenza dall’incarico |
| Registrazione obbligatoria | Non richiesta (identificazione passiva) | Portale ACN, ogni anno a febbraio |
| Pubblica amministrazione | Applicazione limitata | Tutti i ministeri, regioni, comuni >50.000 abitanti |
Il confronto evidenzia una discontinuità radicale: non si tratta di un’evoluzione incrementale della NIS1, ma di un cambio di paradigma che ridisegna l’intero sistema di cybersicurezza europeo. La moltiplicazione per 12 delle entità coinvolte in Italia, unita a sanzioni significativamente più alte e alla responsabilità personale del management, trasforma la cybersicurezza da adempimento tecnico a priorità strategica d’impresa.
ACN: Il Centro Operativo della Compliance Italiana
L’Agenzia per la Cybersicurezza Nazionale è il fulcro dell’implementazione italiana della NIS2. Fondata nel 2021, l’ACN ha visto i propri poteri e il proprio mandato espandersi significativamente con il decreto di recepimento. I compiti dell’Agenzia spaziano dalla gestione del portale di registrazione alla conduzione di ispezioni e audit, dall’emanazione di linee guida tecniche all’irrogazione di sanzioni amministrative.
Con la Risoluzione n. 379907/2025, l’ACN ha definito le specifiche tecniche e organizzative per le misure di sicurezza di base, stabilendo un quadro di riferimento concreto per le organizzazioni in adeguamento. La risoluzione chiarisce requisiti che altrimenti potrebbero risultare vaghi: quali controlli tecnici implementare, come strutturare i processi di incident response, quali competenze devono avere i referenti per la cybersicurezza nominati da ciascuna organizzazione.
L’ACN gestisce anche il CSIRT-Italia, il punto di contatto ufficiale per la ricezione delle notifiche di incidenti e il coordinamento della risposta nazionale. In questo ruolo, l’Agenzia si interfaccia con la rete europea di CSIRT e con ENISA per condividere informazioni sulle minacce e coordinare la risposta a incidenti transfrontalieri. Frattasi ha descritto la visione alla base di questo sistema: “La trasformazione digitale, con la cybersicurezza al centro, sta contrastando la lentocrazia in Italia”, una dichiarazione che sintetizza l’ambizione dell’ACN di usare la NIS2 non solo come strumento regolatorio ma come leva per modernizzare il tessuto digitale del Paese.
Lo Stato dell’Implementazione in Europa: Chi è Avanti e Chi è Rimasto Indietro
Il panorama europeo dell’implementazione NIS2 è frammentato. La scadenza per il recepimento nazionale era fissata al 17 ottobre 2024: paesi come Belgio, Danimarca, Grecia, Ungheria, Italia, Malta e Slovacchia hanno rispettato i tempi, dotandosi di legislazione nazionale conforme. Germania e Francia, le due maggiori economie dell’eurozona, si trovano invece in ritardo: la Germania potrebbe completare il processo entro fine 2025, mentre la Francia è ancora in fase di elaborazione della normativa di recepimento.
La Commissione Europea ha avviato procedure di infrazione contro gli stati membri che non hanno rispettato la scadenza di ottobre 2024, un segnale chiaro che Bruxelles considera la NIS2 una priorità non negoziabile per la resilienza digitale del mercato unico. Queste procedure possono portare a sanzioni significative a carico degli stati inadempienti, creando un ulteriore incentivo politico ad accelerare il processo di recepimento.
A giugno 2025, ENISA ha pubblicato documenti di orientamento che definiscono le misure di sicurezza che le organizzazioni regolamentate devono adottare per conformarsi alla NIS2, fornendo un riferimento pratico che integra le normative nazionali. La pagina ufficiale della Commissione Europea sullo stato di recepimento della NIS2 viene aggiornata regolarmente e rappresenta la fonte più affidabile per seguire l’evoluzione del quadro normativo nei 27 stati membri.
Impatto sul Mercato della Cybersecurity: il Boom B2B
La NIS2 non è solo un adempimento normativo: è un motore di mercato. L’estensione degli obblighi di sicurezza a 12.000 organizzazioni italiane ha generato una domanda strutturale di servizi di cybersecurity che va ben oltre quello che il mercato italiano aveva mai sperimentato. Fornitori di soluzioni SIEM, consulenti di GRC (governance, risk and compliance), gestori di SOC in outsourcing: tutti i segmenti del mercato della sicurezza informatica B2B registrano una crescita trainata direttamente dalla NIS2.
Particolarmente rilevante è la domanda nei settori che la NIS2 ha aggiunto rispetto alla NIS1: manifatturiero, alimentare, postale, gestione rifiuti. Queste industrie tradizionalmente investivano poco in cybersicurezza e si trovano ora a dover costruire da zero competenze e infrastrutture. Per i fornitori di sicurezza specializzati, questi segmenti rappresentano un’opportunità di mercato quasi vergine. Secondo le analisi di mercato citate da Aegister, la domanda di soluzioni di gestione del rischio di terze parti (TPRM) è esplosa: la NIS2 impone alle organizzazioni di valutare la sicurezza dei propri fornitori, creando un effetto a cascata lungo tutta la catena di fornitura.
Un’azienda manifatturiera di medie dimensioni potrebbe ritrovarsi obbligata non solo a proteggere se stessa, ma a verificare la postura di sicurezza di decine di partner e subfornitori. Questo meccanismo trasforma la NIS2 in uno standard de facto per l’intero ecosistema produttivo italiano, ben oltre i confini formali della direttiva. I Managed Security Service Provider (MSSP) italiani stanno investendo pesantemente per ampliare la propria capacità produttiva in previsione di un’ondata di richieste di servizi gestiti da parte delle PMI in adeguamento.
NIS2 e il Quadro Normativo Europeo: DORA, CRA e Cybersecurity Act
La NIS2 non opera in isolamento: si inserisce in un ecosistema normativo europeo che le organizzazioni italiane devono navigare con attenzione. Il Cyber Resilience Act introduce obblighi di cybersicurezza per i prodotti hardware e software con componenti digitali, con scadenze di conformità che si estendono fino al 2027. Il DORA (Digital Operational Resilience Act), specifico per il settore finanziario, è entrato in vigore nel gennaio 2025 e si sovrappone parzialmente con la NIS2 per banche e assicurazioni. Il Cybersecurity Act 2.0 rafforza il mandato di ENISA e introduce nuovi schemi di certificazione per prodotti e servizi ICT.
La comprensione di questi framework interconnessi è essenziale per le organizzazioni all’intersezione di più normative. Una banca italiana, ad esempio, deve simultaneamente conformarsi a NIS2, DORA e potenzialmente al Cyber Resilience Act per i prodotti software che sviluppa o distribuisce. I team di compliance stanno investendo in strumenti di gestione integrata del rischio normativo per evitare sia sovrapposizioni costose sia lacune di copertura.
ENISA gioca un ruolo di coordinamento fondamentale in questo ecosistema: l’Agenzia pubblica linee guida, conduce esercitazioni di risposta agli incidenti a livello continentale (come Cyber Europe 2026, che ha coinvolto 5.000 esperti in scenari di attacco a infrastrutture critiche) e mantiene il database delle minacce che informa le politiche di sicurezza degli stati membri. Il suo ENISA Threat Landscape 2025 rimane il riferimento principale per la valutazione del rischio a livello europeo.
Cinque Previsioni per il Secondo Semestre 2026 e Oltre
1. Prime sanzioni significative entro fine 2026. Con la scadenza del 1° ottobre 2026 per l’adozione completa delle misure di sicurezza, i mesi successivi vedranno quasi certamente l’avvio dei primi procedimenti sanzionatori da parte dell’ACN. Le prime sanzioni saranno probabilmente rivolte a soggetti essenziali di grandi dimensioni che hanno ignorato gli obblighi: un segnale deterrente per l’intero mercato. Le ammende potrebbero superare i 5 milioni di euro nei casi più gravi.
2. La supply chain diventa il nuovo perimetro di compliance. La NIS2 richiede alle organizzazioni di gestire i rischi della catena di fornitura come parte integrante degli obblighi di sicurezza. Nel 2026-2027, si moltiplicheranno le richieste di questionari di sicurezza e audit di terze parti lungo tutta la filiera produttiva italiana. Le PMI che forniscono grandi gruppi manifatturieri saranno le più pressate: anche se non direttamente obbligate dalla NIS2, dovranno adeguarsi per mantenere i contratti con i clienti in ambito NIS2.
3. La pubblica amministrazione accuserà il colpo maggiore. Comuni, regioni e ministeri partono da una posizione di vulnerabilità strutturale: budget limitati, personale tecnico scarso, infrastrutture obsolete. La scadenza di ottobre 2026 trova la PA italiana in ritardo sull’adeguamento. L’ACN dovrà probabilmente prevedere meccanismi di supporto straordinario per le amministrazioni più in difficoltà, con piani pluriennali di adeguamento che si estendono oltre il 2026.
4. Consolidamento del mercato dei MSSP italiani. Managed Security Service Provider: i fornitori di sicurezza gestita diventeranno i protagonisti dell’implementazione NIS2 per le medie imprese italiane. Con 12.000 soggetti da mettere in regola e una carenza strutturale di competenze interne di cybersicurezza, il modello “sicurezza come servizio” è destinato a dominare. Entro il 2027, il mercato italiano dei MSSP dovrebbe registrare consolidamenti e acquisizioni tra i principali operatori.
5. NIS2 come standard de facto per i contratti pubblici. Già nel 2026, le gare d’appalto per forniture alla PA italiana stanno iniziando a includere requisiti di conformità NIS2 come criteri di qualificazione. Entro il 2027, la conformità alla NIS2 diventerà di fatto una precondizione per accedere al mercato pubblico italiano, estendendo indirettamente l’ambito della direttiva anche a organizzazioni che tecnicamente ne sarebbero escluse.
Come Adeguarsi: Il Percorso Operativo
Per le organizzazioni che devono ancora completare il loro adeguamento alla NIS2, il tempo a disposizione prima della scadenza di ottobre 2026 è limitato ma sufficiente se si agisce subito. Il percorso operativo si articola in quattro fasi principali.
La prima fase è la verifica dell’applicabilità: determinare se la propria organizzazione rientra nell’ambito NIS2 in base a settore di attività e dimensioni. Questa valutazione deve considerare sia i criteri europei sia le specificità del D.Lgs. 138/2024. La seconda fase è l’autovalutazione e classificazione: determinare se si è soggetti essenziali o importanti, con implicazioni significative sul regime di supervisione applicabile.
La terza fase è la gap analysis: confrontare la propria postura di sicurezza attuale con i requisiti della NIS2, identificando le aree di non conformità prioritarie. La quarta fase è l’implementazione e registrazione: avviare i progetti di adeguamento, nominare il referente per la cybersicurezza e procedere alla registrazione sul portale ACN.
Le risorse disponibili sono numerose: le linee guida di OpenKRITIS per l’Italia offrono un’analisi dettagliata del decreto italiano con tutte le scadenze aggiornate. Il portale Copla dedicato alla NIS2 Italy e la guida di Eversheds-Sutherland sono tra i riferimenti più completi per i team legali e di compliance. Il testo integrale della direttiva è consultabile su EUR-Lex in lingua italiana.
Domande Frequenti sulla Direttiva NIS2 in Italia
La mia azienda ha 60 dipendenti e 15 milioni di fatturato nel settore manifatturiero: sono obbligato dalla NIS2?
Sì. Con più di 50 dipendenti e oltre 10 milioni di fatturato, e operando nel settore manifatturiero (incluso tra i 18 settori NIS2), la tua azienda rientra nell’ambito della direttiva come soggetto importante. Dovresti già aver verificato la tua classificazione sul portale ACN.
Qual è la differenza tra la scadenza di gennaio 2026 e quella di ottobre 2026?
Dal 1° gennaio 2026 sono scattati gli obblighi di notifica degli incidenti: qualsiasi incidente significativo deve essere segnalato a CSIRT-Italia con il protocollo 24/72/30 giorni. Dal 1° ottobre 2026 entrano invece in vigore gli obblighi di governance, formazione e risk management: le misure tecniche e organizzative devono essere pienamente operative.
Cosa rischia personalmente il CEO di un’azienda non conforme alla NIS2?
In caso di gravi violazioni attribuibili a negligenza del management, la NIS2 consente alle autorità competenti di irrogare divieti temporanei dall’esercizio di funzioni dirigenziali o la decadenza dall’incarico. Si tratta di una responsabilità personale, distinta dalle sanzioni amministrative che colpiscono l’azienda.
Un comune con 30.000 abitanti deve adeguarsi alla NIS2?
No. Il decreto italiano si applica ai comuni con più di 50.000 abitanti, non a quelli sotto questa soglia. Rimane però consigliabile per qualsiasi ente pubblico adottare misure di sicurezza adeguate, anche in assenza di obbligo formale.
La conformità alla ISO 27001 è sufficiente per soddisfare i requisiti NIS2?
No, non completamente. La ISO 27001 è un framework riconosciuto e aiuta significativamente nell’adeguamento, ma la NIS2 italiana impone requisiti aggiuntivi specifici: la registrazione obbligatoria all’ACN, il rispetto dei protocolli di notifica a CSIRT-Italia e la nomina di referenti per la cybersicurezza con i requisiti previsti dal decreto. La certificazione ISO 27001 può essere considerata come una base solida, non come un punto di arrivo.
Cosa succede se vengo colpito da un ransomware: devo notificare entro 24 ore?
Sì, se l’attacco ransomware costituisce un incidente significativo, ovvero se ha causato o potrebbe causare una grave perturbazione operativa o perdite economiche significative, oppure se ha interessato altre persone fisiche o giuridiche. La valutazione della significatività spetta all’organizzazione colpita, ma in caso di dubbio la notifica preventiva è sempre preferibile all’omissione.
Come si calcola la multa NIS2: sul fatturato italiano o mondiale?
Il calcolo si basa sul fatturato annuo mondiale dell’intera organizzazione (o del gruppo di appartenenza), non solo sul fatturato generato in Italia. Questo è particolarmente rilevante per le multinazionali: una filiale italiana di una grande azienda internazionale potrebbe essere esposta a sanzioni calcolate sul fatturato globale del gruppo.
Esiste un supporto pubblico per le PMI che devono adeguarsi?
L’ACN ha predisposto materiali informativi e linee guida per accompagnare le organizzazioni nel percorso di adeguamento. Per le PMI classificate come soggetti importanti, sono previsti meccanismi di supporto specifici, inclusa la possibilità di richiedere assistenza per finalizzare l’aggiornamento annuale dei dati. L’Agenzia ha già concesso proroghe (come quella al 31 luglio 2025) per le entità che hanno formalmente richiesto supporto.
Copertura Correlata
- Cyber Resilience Act: 15M€ e 3 Scadenze UE [2026]
- Cybersecurity Act 2.0: ENISA e 28.700 Aziende UE [2026]
- Rapporto TIM 2026: Ransomware +14% in Italia, 166 Attacchi [2026]
- Commissione Europea Hackerata Due Volte: 350 GB Rubati [2026]
- Sandworm: 30 Impianti UE, 500K Famiglie a Rischio [2026]
- Guida alla Sicurezza Informatica
