Il conto alla rovescia è iniziato. Da ottobre 2026, oltre 20.000 organizzazioni italiane entreranno nella fase di ispezione formale dell’Agenzia per la Cybersicurezza Nazionale (ACN), che abbandonerà la sua attuale “fase di accompagnamento” per passare alla verifica e alle sanzioni previste dal D.Lgs. 138/2024, la legge italiana che recepisce la Direttiva NIS2. Chi non è in regola rischia multe fino a 10 milioni di euro, e per la prima volta nella storia della cybersicurezza europea, anche i singoli dirigenti possono essere sospesi dai loro incarichi.
A meno di quattro mesi dalla scadenza, il quadro che emerge è preoccupante: l’Italia figura al secondo posto in Europa per attacchi ransomware (11,33% del totale UE), è il paese più colpito da attacchi OT (Operational Technology) da parte di hacktivisti, e ha registrato 225 eventi cyber solo nel gennaio 2026, con un aumento del 42% rispetto a dicembre 2025. La tempistica non potrebbe essere più critica.
Cos’è la Direttiva NIS2 e Perché Cambia Tutto
La Direttiva NIS2 (Direttiva UE 2022/2555) è entrata in vigore il 16 gennaio 2023 e ha sostituito la precedente NIS1, in vigore dal 2016. Il confronto tra le due direttive evidenzia un salto di scala che molte aziende hanno sottovalutato.
La NIS1 copriva un numero relativamente ristretto di operatori di servizi essenziali, con sanzioni lasciate interamente alla discrezionalità degli stati membri e senza alcuna soglia minima armonizzata a livello europeo. La NIS2 ribalta completamente questo paradigma: introduce due categorie distinte di soggetti, essenziali e importanti, estende il perimetro a 18 settori critici, impone soglie sanzionatorie minime vincolanti, e per la prima volta nella storia del diritto UE in materia di sicurezza informatica, prevede la responsabilità personale degli organi di amministrazione.
In Italia, la trasposizione è avvenuta tramite il D.Lgs. 138/2024, entrato in vigore nell’ottobre 2024. L’Italia è stata tra i primi paesi dell’Unione a completare il recepimento, insieme a Belgio, Ungheria e Croazia. Al contrario, al primo gennaio 2026, solo 20 dei 27 stati membri avevano completato la trasposizione: la Commissione Europea aveva già avviato 23 procedure di infrazione nel novembre 2024, seguite da 19 pareri motivati nel maggio 2025, rendendo quei paesi a rischio di sanzioni comunitarie.
“Il 2026 è il punto di svolta in cui la NIS2 smette di essere un esercizio di compliance e diventa un fattore di rischio operativo concreto per ogni organizzazione coinvolta,” ha dichiarato un esperto di The Gateway Digital in un’analisi pubblicata a gennaio 2026. “Le organizzazioni che hanno rimandato l’adeguamento si trovano ora di fronte a una finestra molto stretta.”
NIS2 vs NIS1: Il Confronto Numerico
Per comprendere la portata del cambiamento imposto dalla NIS2 alle aziende italiane, è utile confrontare le due direttive su dimensioni concrete. Il salto non è evolutivo: è una rottura di paradigma.
| Caratteristica | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Settori coperti | 7 settori | 18 settori |
| Aziende in Italia | Circa 700 operatori | Oltre 20.000 organizzazioni |
| Sanzione massima (essenziali) | Definita dai singoli stati | €10M o 2% del fatturato globale |
| Sanzione massima (importanti) | Definita dai singoli stati | €7M o 1,4% del fatturato globale |
| Responsabilità dirigenti | Non prevista | Sospensione temporanea dall’incarico |
| Notifica incidenti | Entro 24 ore (early warning) | 24h pre-notifica, 72h notifica, 30gg rapporto |
| Supply chain | Non esplicitamente coperta | Obbligatoriamente inclusa nel perimetro |
| Misure di sicurezza (essenziali) | Generiche | 116 misure specifiche (Allegato 4 ACN) |
| Misure di sicurezza (importanti) | Generiche | 87 misure specifiche (Allegato 3 ACN) |
Il dato più significativo riguarda la platea di aziende coinvolte: da circa 700 operatori di servizi essenziali sotto NIS1, si passa a oltre 20.000 organizzazioni. Questo salto rispecchia l’ambizione della direttiva di estendere il perimetro di sicurezza ben oltre le infrastrutture critiche tradizionali, abbracciando settori che nel 2016 erano ritenuti marginali rispetto alla cybersicurezza sistemica.
I 18 Settori Obbligati: Chi Deve Adeguarsi
La NIS2 distingue tra “settori ad alta criticità” e “altri settori critici”. Questa distinzione non è puramente tassonomica: determina la categoria di appartenenza (essenziale o importante) e quindi il regime sanzionatorio e di vigilanza applicabile.
Nei settori ad alta criticità rientrano: energia (elettricità, petrolio, gas), trasporti (aereo, ferroviario, marittimo, stradale), banche e infrastrutture di mercati finanziari, sanità (ospedali, laboratori, produzione farmaceutica), infrastrutture digitali (IXP, DNS, data center, provider cloud, reti CDN), pubblica amministrazione e settore spaziale. Le aziende in questi settori sono classificate come “soggetti essenziali” e soggette alla vigilanza più stringente.
Negli altri settori critici rientrano: servizi postali e di corriere, gestione dei rifiuti, produzione e distribuzione di prodotti chimici, settore alimentare (produzione, trasformazione, distribuzione), produzione di dispositivi medici e IVD, produzione di computer, elettronica e attrezzature ottiche, produzione di macchinari, produzione di autoveicoli e rimorchi, produzione di altri mezzi di trasporto, fornitori digitali (marketplace online, motori di ricerca, piattaforme di social network), organizzazioni di ricerca. Le aziende in questi settori sono “soggetti importanti”.
Un’azienda rientra nel perimetro NIS2 se opera in uno di questi settori e supera le soglie dimensionali: almeno 50 dipendenti e 10 milioni di euro di fatturato (media impresa), oppure 250 dipendenti e 50 milioni di euro (grande impresa). Tuttavia, alcune categorie di aziende rientrano nel perimetro indipendentemente dalle dimensioni: provider di reti pubbliche di comunicazioni elettroniche, registrar di nomi di dominio, e fornitori di servizi di fiducia qualificati.
Le Scadenze 2026 che Nessuno Può Ignorare
Il 2026 è l’anno in cui la NIS2 smette di essere un adempimento teorico e diventa enforcement concreto. L’ACN ha articolato il calendario degli obblighi in fasi precise, molte delle quali erano già attive all’inizio dell’anno.
Gennaio-febbraio 2026: finestra di rinnovo delle registrazioni. I soggetti già registrati nel 2025 dovevano rinnovare i propri dati sul portale ACN; i nuovi soggetti entrati nel perimetro dovevano effettuare la prima registrazione. Qualsiasi variazione rilevante — contatti, organi sociali, domini, indirizzi IP — deve essere comunicata entro 14 giorni dalla modifica, senza attendere la finestra annuale.
15 gennaio 2026: entrata in vigore della Determina ACN 379907/2025, pubblicata il 24 dicembre 2025. Da questa data è pienamente operativo l’obbligo di notifica degli incidenti significativi al CSIRT Italia. Il regime si articola in tre fasi: pre-notifica entro 24 ore dall’acquisizione dell’evidenza; notifica completa entro 72 ore; relazione finale entro 30 giorni. L’ACN ha adottato formalmente il modello NIST SP 800-61r3, strutturato in cinque fasi: Preparazione, Rilevamento, Risposta, Ripristino e Miglioramento.
15 aprile – 31 maggio 2026: finestra di conferma annuale dei dati tramite il portale ACN. I soggetti che non completano questa operazione sono considerati non conformi ai fini delle verifiche successive.
Ottobre 2026: scadenza delle misure di sicurezza di base, 18 mesi dalla ricezione delle prime comunicazioni di inserimento nell’elenco nazionale NIS. Da questa data l’ACN transita dalla “fase di accompagnamento” alla fase di verifica e ispezione formale. I soggetti essenziali saranno soggetti a vigilanza ex ante (proattiva); i soggetti importanti principalmente ex post, a seguito di incidenti o segnalazioni. Per questi ultimi, le ispezioni si attivano tipicamente dopo un incidente non notificato o una segnalazione di terzi.
L’ACN si Rafforza: 669 Persone dal 1° Gennaio 2026
Per gestire il salto di scala imposto dalla NIS2, l’ACN ha ottenuto un potenziamento significativo delle proprie risorse umane. Il Dpcm del 29 settembre 2025, pubblicato in Gazzetta Ufficiale n. 262 dell’11 novembre 2025, ha rideterminato la dotazione organica dell’agenzia con effetto dal 1° gennaio 2026.
Il totale è passato da 506 a 669 unità, con un incremento del 32%. Nel dettaglio: i consiglieri ed esperti operativi sono aumentati da 273 a 375 unità; i coordinatori e assistenti da 181 a 242. La copertura finanziaria è assicurata dalle risorse previste dall’articolo 18 del DL 82/2021, integrate dagli stanziamenti aggiuntivi del D.Lgs. 138/2024 e del DL 25/2025.
L’agenzia, istituita nel 2021, ha assunto in questi anni un ruolo centrale nel coordinamento della risposta ai cyber incidenti nazionali, gestendo attraverso il CSIRT Italia le notifiche e le misure di contenimento. Con la transizione alla fase ispettiva, il suo profilo cambia: da coordinatore tecnico a regolatore con potere sanzionatorio.
Secondo i dati presentati all’evento Cyber Security 2025 di Assolombarda, nella sola area metropolitana di Milano, Monza e Brianza, Lodi e Pavia, si sono registrati 1.795 eventi cyber nella prima metà del 2025. Tra i rischi strutturali emergenti: 23.000 telecamere aziendali nella stessa area accessibili senza autenticazione, un esempio concreto del livello di esposizione che l’ACN dovrà affrontare nel corso delle ispezioni.
Sanzioni: Fino a €10M e la Responsabilità Personale dei Manager
Il regime sanzionatorio della NIS2 rappresenta la discontinuità più rilevante rispetto al passato. Non si tratta solo di importi più elevati, ma di una logica sanzionatoria completamente diversa, che sposta la responsabilità dal team IT al consiglio di amministrazione.
Per i soggetti essenziali, la sanzione massima è pari a 10 milioni di euro o al 2% del fatturato annuo globale, se superiore. Per i soggetti importanti, il massimo è 7 milioni di euro o l’1,4% del fatturato globale. Per un’azienda con 500 milioni di euro di ricavi, il 2% equivale esattamente a 10 milioni: la soglia percentuale raggiunge quella fissa. Per un’azienda da 1 miliardo, vale il 2%: 20 milioni. In Italia, la cornice edittale nazionale del D.Lgs. 138/2024 prevede sanzioni da 5.000 a 5 milioni di euro, con le soglie europee come massimali assoluti.
La novità più dirompente riguarda la responsabilità personale. La NIS2 prevede che gli organi di amministrazione possano essere soggetti a sospensione temporanea dall’incarico in caso di violazioni gravi o reiterate. I dirigenti possono essere ritenuti personalmente responsabili per negligenza grave, inclusa la mancata supervisione dell’implementazione delle misure di sicurezza. Questo crea un incentivo diretto per i CDA ad inserire la cybersicurezza nelle proprie agende con la stessa priorità della conformità finanziaria o legale.
Oltre alle sanzioni pecuniarie, le autorità di vigilanza possono emettere ordini vincolanti di rimedio, imporre audit di sicurezza indipendenti a spese del soggetto vigilato, e rendere pubblica la non conformità. Quest’ultima misura è particolarmente temuta nel settore finanziario e sanitario, dove la reputazione è un asset critico quanto il bilancio.
Le 10 Misure Obbligatorie dell’Articolo 21
Il cuore tecnico della NIS2 è l’Articolo 21, che definisce le misure di gestione del rischio di cybersicurezza che tutti i soggetti obbligati devono adottare. Queste misure non sono opzionali né interpretabili liberamente: rappresentano il floor di sicurezza minimo al di sotto del quale scattano le sanzioni.
| N. | Misura (Art. 21 NIS2) | Note operative per l’Italia |
|---|---|---|
| 1 | Politiche di analisi dei rischi e sicurezza dei sistemi | Documentazione obbligatoria, approvazione CDA |
| 2 | Gestione degli incidenti (prevenzione, rilevamento, risposta) | SOP documentate, modello NIST SP 800-61r3 |
| 3 | Continuità operativa (backup, disaster recovery, crisis management) | Test periodici obbligatori |
| 4 | Sicurezza della catena di approvvigionamento (fornitori e partner) | Valutazione risk dei fornitori IT critici |
| 5 | Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi | Secure-by-design per i nuovi sistemi |
| 6 | Procedure per valutare l’efficacia delle misure di sicurezza | Audit interni ed esterni regolari |
| 7 | Pratiche di igiene informatica e formazione del personale | Programmi di awareness per tutti i dipendenti |
| 8 | Politiche sull’uso della crittografia e cifratura | Applicazione a dati sensibili in transito e at-rest |
| 9 | Sicurezza delle risorse umane, controllo degli accessi, asset management | Principio del minimo privilegio, MFA obbligatoria |
| 10 | Uso di autenticazione multi-fattore e comunicazioni sicure | MFA per tutti gli accessi remoti e privilegiati |
In Italia, la Determina ACN 379907/2025 ha specificato il numero esatto di misure: 87 per i soggetti importanti (Allegato 3) e 116 per i soggetti essenziali (Allegato 4). Ogni misura corrisponde a un controllo verificabile, e le ispezioni formali previste da ottobre 2026 si baseranno esattamente su questi allegati. Le aziende che non hanno ancora effettuato un gap analysis rispetto a questi allegati si trovano in una posizione di rischio elevato.
Supply Chain: Il Rischio che Molte Aziende Ignorano
Una delle novità più impattanti della NIS2 riguarda la sicurezza della catena di fornitura. Sotto NIS1, un’azienda era responsabile solo delle proprie infrastrutture dirette. La NIS2 estende esplicitamente questa responsabilità ai fornitori e ai partner tecnologici: se un fornitore IT di un soggetto essenziale subisce una violazione che causa un incidente all’azienda cliente, quest’ultima rimane responsabile di non aver adeguatamente valutato i rischi del fornitore scelto.
In pratica, le aziende sono tenute a: valutare i rischi cyber dei propri fornitori critici; includere clausole di sicurezza nei contratti; verificare periodicamente il livello di conformità dell’intera supply chain. Questo aspetto è particolarmente rilevante per le PMI italiane che forniscono servizi a grandi aziende o enti pubblici nel perimetro NIS2. Anche se la PMI fornitrice non è direttamente soggetta alla direttiva per dimensioni, il cliente principale può imporre contrattualmente requisiti equivalenti, generando un effetto “cascata” che raggiunge ben oltre le 20.000 organizzazioni formalmente obbligate.
Secondo l’ENISA Threat Landscape 2025, che analizza 4.875 incidenti nel periodo luglio 2024-giugno 2025, la compromissione della supply chain attraverso fornitori terzi è uno dei vettori di attacco in più rapida crescita. I gruppi APT cinesi, tra cui Mustang Panda, UNC5221 e APT41, si concentrano specificatamente sul settore marittimo, dei trasporti e della logistica in più stati membri UE, sfruttando proprio le dipendenze di supply chain come punto di ingresso.
Il Contesto della Minaccia Italiana: Numeri che Giustificano la Norma
Le aziende italiane non affrontano la NIS2 in un contesto di minacce teoriche. Il rapporto ENISA Threat Landscape 2025 delinea un quadro che spiega perché l’Italia ha bisogno di questo salto normativo.
L’Italia è il secondo paese europeo per volume di attacchi ransomware, con una quota dell’11,33% degli incidenti totali UE. La classifica è guidata dalla Germania (23,4%), seguita dall’Italia, dalla Spagna (9,8%) e dalla Francia (9,5%). I tre gruppi ransomware più attivi nel settore dei trasporti europeo sono Akira (12,9% delle rivendicazioni), INC Ransom (9,7%) e Cl0p (9,7%). Nel comparto trasporti, il ransomware rappresenta l’83,9% degli incidenti cybercriminali.
Ancora più critico è il dato sugli attacchi agli impianti industriali: l’Italia è il paese europeo più colpito da attacchi OT da parte di hacktivisti, un primato legato alla visibilità internazionale del paese e alla sua prossimità geopolitica ai fronti di conflitto russo-ucraino. Il gruppo NoName057(16), responsabile di oltre il 60% delle rivendicazioni DDoS contro infrastrutture UE, ha colpito siti governativi italiani in ripetuti cicli di attività.
A livello europeo, il settore trasporti è il secondo più colpito nell’UE (7,5% di tutti gli incidenti ENISA), con il 12% degli incidenti significativi riportati sotto la Direttiva NIS avvenuto in questo comparto. L’87,6% degli attacchi al settore sono DDoS hacktivisti, ma l’impatto economico maggiore viene dai ransomware, che paralizzano le operazioni. Il settore aereo è il più colpito (58,4% degli incidenti nel trasporto), seguito dalla logistica (20,8%).
Come si Sta Muovendo l’Europa: Il Quadro Comparativo
L’Italia non è sola in questa fase di transizione, ma il panorama europeo rivela approcci molto diversi all’implementazione della NIS2. Secondo un’analisi di Wavestone aggiornata al gennaio 2026, 20 dei 27 stati membri hanno completato la trasposizione. I sette ritardatari includono paesi economicamente rilevanti.
Il Belgio è stato tra i primi ad avere una legislazione NIS2 pienamente operativa nel 2024, e il CCB (Centre for Cybersecurity Belgium) ha già avviato verifiche preliminari sulle aziende obbligate. La Germania, che guida la classifica UE per volume ransomware con il 23,4% degli incidenti, ha completato la trasposizione con ritardo ma sta accelerando il processo ispettivo. La Francia ha completato l’iter legislativo a inizio 2026.
Nessun paese dell’UE ha ancora pubblicato una sanzione definitiva NIS2 con importo specifico al giugno 2026. L’enforcement, tuttavia, è descritto come “ora attivo” dalla Commissione Europea: le autorità di vigilanza stanno conducendo audit, e le aziende ritenute non conformi stanno ricevendo ordini correttivi vincolanti. Le prime sanzioni pubbliche potrebbero arrivare entro la fine del 2026, probabilmente in paesi con autorità di vigilanza più mature come il Belgio.
Per l’Italia, il calendario ACN pone ottobre 2026 come spartiacque. Da quella data, le ispezioni ex ante sui soggetti essenziali e le verifiche ex post sui soggetti importanti renderanno la non conformità un rischio concreto e misurabile, non più una questione teorica.
Le Sfide Pratiche per le Aziende Italiane
L’adeguamento alla NIS2 presenta sfide operative concrete che vanno ben oltre la semplice redazione di policy aziendali. Le organizzazioni italiane di medie dimensioni si trovano spesso a dover costruire da zero capacità che le grandi multinazionali hanno sviluppato nel corso di anni di investimenti in cybersicurezza.
Il Problema della Notifica degli Incidenti
La gestione della notifica degli incidenti è l’adempimento che più aziende trovano difficile da implementare. Il regime a tre livelli (24 ore, 72 ore, 30 giorni) richiede processi interni ben rodati, procedure operative documentate (SOP), e un piano di gestione degli incidenti formalmente approvato dagli organi di amministrazione. In molte PMI italiane, e anche in alcune grandi aziende, queste strutture non esistono ancora in forma adeguata.
La Determina ACN 379907/2025 ha chiarito che il piano deve essere documentato, formalizzato, e approvato dagli organi di amministrazione e direttivi prima che gli obblighi di notifica diventino vincolanti. Questo trascina la cybersicurezza direttamente nelle sale del CDA, rimuovendo definitivamente la delega implicita al team IT.
La Carenza di Competenze: Il Vero Collo di Bottiglia
Il mercato italiano della cybersicurezza, stimato a 2,78 miliardi di euro nel 2025, sta crescendo rapidamente, ma la disponibilità di professionisti qualificati non tiene il passo con la domanda. Secondo i dati di Assolombarda presentati all’evento Cyber Security 2025, nella sola area metropolitana di Milano si registravano 1.795 eventi cyber nella prima metà dell’anno: un volume che richiede capacità di risposta strutturate che la maggior parte delle aziende non ha ancora costruito.
Il gap di competenze si riflette in ritardi nell’implementazione delle misure tecniche previste dagli Allegati 3 e 4 ACN, nella qualità dei piani di gestione degli incidenti, e nella capacità di valutare correttamente i rischi della supply chain. Le aziende che si trovano con scadenze imminenti e risorse interne insufficienti stanno ricorrendo a MSSP (Managed Security Service Provider) e a consulenti specializzati per colmare il divario, generando una domanda di mercato che supera l’offerta disponibile.
Cyber Europe 2026 e il Ruolo dell’Italia nella Resilienza UE
Parallelamente all’enforcement normativo, l’ENISA ha rafforzato la dimensione operativa della resilienza europea. Il 10 e 11 giugno 2026 si è tenuta la Cyber Europe 2026, ottava edizione dell’esercitazione biennale ENISA, con oltre 5.000 esperti da tutta Europa. L’esercitazione ha simulato attacchi coordinati alle infrastrutture ferroviarie e marittime, testando per la prima volta le capacità della EU Cybersecurity Reserve.
Lo scenario ha previsto: blocco di treni transfrontalieri con migliaia di pendolari e merci bloccati; compromissione dei sistemi di navigazione portuale con rischio di near-collision; attacco ransomware ai sistemi di biglietteria che ha paralizzato le operazioni amministrative; diffusione di disinformazione hacktivista sui social media. L’esercitazione ha evidenziato lacune nella coordinazione transfrontaliera e nella gestione della comunicazione di crisi in ambienti mediatici complessi, precisamente le aree che la NIS2 mira a rafforzare attraverso la rete CyCLONe e gli obblighi di condivisione degli incidenti.
Per l’Italia, la partecipazione a esercitazioni di questo tipo è direttamente connessa alla maturità operativa richiesta dalla NIS2: i soggetti essenziali sono tenuti non solo ad avere piani di risposta agli incidenti, ma a testarli periodicamente in scenari realistici.
5 Previsioni per la NIS2 in Italia: Ottobre 2026 e Oltre
Sulla base dei dati disponibili e dell’evoluzione del contesto regolatorio europeo, è possibile formulare previsioni concrete per il periodo ottobre 2026 – dicembre 2027.
1. Prime sanzioni pubbliche entro fine 2026. Con l’avvio delle ispezioni formali in ottobre, le prime sanzioni NIS2 documentate pubblicamente in Italia arriveranno probabilmente entro dicembre 2026. I settori più esposti sono la pubblica amministrazione locale e la sanità, dove la compliance è storicamente più difficile e il profilo di rischio più elevato.
2. Consolidamento del mercato MSSP. La domanda di Managed Security Service Provider crescerà in modo significativo nella seconda metà del 2026, portando probabilmente a operazioni di acquisizione e fusione nel settore della cybersicurezza italiana. Le PMI che non possono permettersi team interni dedicati sposteranno budget crescenti verso l’outsourcing strutturato.
3. Responsabilità dirigenziale come deterrente principale. Anche in assenza di sanzioni formali immediate, la possibilità concreta di una sospensione dalla carica dirigenziale accelererà l’adeguamento a livello di CDA in modo molto più efficace di quanto abbiano fatto le policy di settore degli ultimi anni. I consigli di amministrazione di grandi aziende italiane inseriranno la NIS2 compliance negli ordini del giorno con frequenza crescente.
4. Effetto domino sulla supply chain. Le grandi aziende essenziali inizieranno a imporre clausole NIS2-equivalenti ai propri fornitori nel corso del 2026-2027, estendendo di fatto il perimetro della direttiva a centinaia di migliaia di PMI italiane che non sono formalmente obbligate ma che dovranno adeguarsi per mantenere i contratti con i clienti principali.
5. Crescita del mercato cybersecurity italiano verso i 3 miliardi. Il mercato della cybersicurezza in Italia, già a 2,78 miliardi di euro nel 2025, supererà la soglia dei 3 miliardi entro il 2027, spinto dagli obblighi NIS2 e dalla crescente consapevolezza del rischio. I segmenti di gestione degli incidenti, vulnerability assessment, formazione del personale e security operations cresceranno più rapidamente della media di mercato.
Copertura Correlata
Approfondimenti
- EU Cybersecurity Act 2.0: 18 Settori, Multa 7%, 36 Mesi ai Fornitori Rischiosi [2026]
- Clusit Report 2026: 507 Attacchi in Italia, Prima in Europa
- Cyber Europe 2026: 27 Nazioni, Ferrovie e Porti nel Mirino
- Commissione UE: ShinyHunters Ruba 350GB, 30 Enti Colpiti [2026]
- Russia Colpisce Acqua ed Energia in 6 Paesi UE: +50% Attacchi ICS [2026]
Domande Frequenti sulla NIS2 in Italia
Quando iniziano le ispezioni ACN per la NIS2?
Le ispezioni formali dell’ACN inizieranno da ottobre 2026, 18 mesi dopo la ricezione delle prime comunicazioni di inserimento nell’elenco nazionale NIS. Prima di quella data, l’ACN opera in “fase di accompagnamento”, offrendo supporto invece di applicare sanzioni. Da ottobre, i soggetti essenziali saranno soggetti a vigilanza proattiva, i soggetti importanti a verifiche ex post.
Qual è la sanzione massima per non conformità NIS2 in Italia?
Per i soggetti essenziali, la sanzione massima è di 10 milioni di euro o il 2% del fatturato annuo globale (prevalente il valore più alto). Per i soggetti importanti, il massimo è 7 milioni di euro o l’1,4% del fatturato. La cornice edittale del D.Lgs. 138/2024 prevede sanzioni da 5.000 a 5 milioni di euro, con i massimali europei come tetto assoluto.
Quante aziende italiane sono obbligate dalla NIS2?
Oltre 20.000 organizzazioni in Italia rientrano nel perimetro NIS2, rispetto alle circa 700 sotto la precedente NIS1. Sono incluse le aziende con almeno 50 dipendenti e 10 milioni di euro di fatturato che operano in uno dei 18 settori critici. Alcune categorie di aziende, come i provider di reti di comunicazione pubbliche e i fornitori di servizi fiduciari qualificati, rientrano nel perimetro indipendentemente dalle dimensioni.
Come funziona la notifica degli incidenti con NIS2?
Il regime di notifica NIS2 è a tre livelli: pre-notifica al CSIRT Italia entro 24 ore dalla rilevazione dell’incidente significativo; notifica completa entro 72 ore; relazione finale entro 30 giorni. L’obbligo è pienamente operativo dal 15 gennaio 2026. L’ACN ha adottato il modello NIST SP 800-61r3 come framework di riferimento per la gestione degli incidenti.
I manager possono essere sanzionati personalmente per violazioni NIS2?
Sì. La NIS2 prevede la responsabilità personale degli organi di amministrazione, con la possibilità di sospensione temporanea dall’incarico in caso di violazioni gravi o reiterate. I dirigenti possono essere ritenuti personalmente responsabili per negligenza grave nell’implementazione delle misure di sicurezza. Questa disposizione è assente nella NIS1 e mira a coinvolgere il top management nella governance della sicurezza informatica.
La NIS2 coinvolge anche le PMI italiane?
Direttamente, la NIS2 si applica a partire dalle medie imprese (50+ dipendenti, 10+ milioni di fatturato) nei settori critici. Tuttavia, l’effetto “cascata” sulla supply chain fa sì che anche PMI e microimprese sotto soglia debbano adeguarsi contrattualmente per mantenere i propri clienti principali nel perimetro NIS2. Alcune grandi aziende stanno già inserendo clausole di conformità NIS2 nei loro contratti di fornitura.
Qual è la differenza tra soggetti essenziali e importanti NIS2?
I soggetti essenziali operano nei settori ad alta criticità (energia, trasporti, sanità, finanza, PA, infrastrutture digitali, spazio) e sono soggetti a 116 misure specifiche e vigilanza proattiva da parte di ACN. I soggetti importanti operano negli altri settori critici (chimica, alimentare, postale, manifatturiero) e sono soggetti a 87 misure specifiche e vigilanza principalmente ex post. Le sanzioni massime differiscono: 10M€ o 2% per gli essenziali, 7M€ o 1,4% per gli importanti.
