NIS2: scadenze, obblighi e sanzioni — la guida operativa

La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, espande radicalmente il perimetro della cybersecurity normata: migliaia di aziende fino a ieri fuori dal campo applicativo si trovano oggi soggette a obblighi di governance, gestione del rischio e segnalazione incidenti all'ACN.

Rispetto alla NIS originale, la NIS2 introduce due categorie di soggetti — essenziali e importanti — sposta la responsabilità diretta sul management aziendale e prevede sanzioni fino al 2% del fatturato globale per gli enti essenziali. Capire dove ci si trova nella tassonomia, e in che ordine attaccare le scadenze, è la prima decisione operativa.

Chi deve adeguarsi

La NIS2 si applica a soggetti che operano in 18 settori elencati negli allegati I e II della direttiva, con dimensione minima da media impresa (50 dipendenti / 10 milioni di fatturato). Sono soggetti essenziali, fra gli altri: energia, trasporti, sanità, acqua potabile, infrastrutture digitali, pubblica amministrazione centrale. Sono soggetti importanti: servizi postali, gestione rifiuti, manifattura di prodotti critici, ricerca, fornitori digitali.

Soggetti essenziali: vigilanza ex-ante, audit periodici, sanzioni fino al 2% del fatturato globale annuo.
Soggetti importanti: vigilanza ex-post a seguito di incidenti, sanzioni fino all'1,4% del fatturato.
Soggetti micro/piccoli: esclusi salvo casi specifici (operatori di servizi DNS, registri TLD, fornitori di servizi cloud essenziali).
Supply chain: anche fornitori non direttamente obbligati possono essere coinvolti contrattualmente per garantire la resilienza dei clienti soggetti.

Verifica preliminare. ACN ha pubblicato un tool di self-assessment sul portale istituzionale per determinare la qualifica del soggetto. La registrazione è obbligatoria per chi rientra nel perimetro: il primo errore tipico è non auto-classificarsi pensando di essere fuori scope.

Le scadenze chiave

Il calendario operativo italiano, dopo il recepimento del 16 ottobre 2024, segue un ritmo serrato. Le date vanno presidiate perché la mancata registrazione o l'omissione dei reporting comportano sanzioni dirette e responsabilità personale degli organi amministrativi.

Calendario adempimenti

17 gennaio 2026 — Termine per la registrazione sul portale ACN dei soggetti essenziali e importanti.
Entro 24 ore dall'evento — Pre-notifica di un incidente significativo all'ACN.
Entro 72 ore — Notifica dettagliata con valutazione iniziale.
Entro 1 mese — Relazione finale con root cause, impatti e misure correttive.
Aggiornamento annuale — Riconferma dei dati di registrazione e dei contatti referenti.

"La NIS2 non chiede strumenti nuovi: chiede di documentare in modo strutturato quello che molte aziende già fanno in modo informale. La differenza la fa il tempo: ricostruire un incident handling a 72 ore non si improvvisa." — CISO, gruppo manifatturiero, settore meccanico

I dieci obblighi di gestione del rischio

L'articolo 21 della direttiva — recepito nell'art. 24 del D.Lgs. 138/2024 — enumera dieci macro-aree di misure tecniche, operative e organizzative. Tutti i soggetti devono adottarle in misura proporzionale al rischio.

Politiche di analisi dei rischi e sicurezza dei sistemi informativi.
Gestione degli incidenti (rilevazione, risposta, ripristino).
Continuità operativa e gestione delle crisi (backup, disaster recovery).
Sicurezza della supply chain (rapporti diretti con fornitori e service provider).
Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi.
Politiche e procedure per valutare l'efficacia delle misure adottate.
Pratiche di igiene informatica di base e formazione del personale.
Politiche e procedure relative all'uso della crittografia.
Sicurezza delle risorse umane, controllo degli accessi, gestione degli asset.
Autenticazione a più fattori, soluzioni di comunicazione sicura.

Supply chain e responsabilità del management

Due novità rendono la NIS2 più pungente della prima direttiva. Primo: la responsabilità della catena di fornitura. Il soggetto obbligato deve mappare i fornitori, valutarne il livello di sicurezza e introdurre clausole contrattuali coerenti — anche verso fornitori non direttamente soggetti a NIS2.

Secondo: la responsabilità personale degli organi amministrativi. Il consiglio di amministrazione deve approvare le misure di gestione del rischio, seguire formazione regolare in materia e supervisionarne l'attuazione. L'omissione comporta sanzioni amministrative dirette ai membri.

EViX NIS2 automatizza il ciclo di adempimento: gap analysis sull'art. 24, gestione registro incidenti con timer di notifica ACN, questionari supply chain con scoring e cruscotto board-level pronto per la riunione del CdA. Scopri di più →

Cosa fare nei prossimi 90 giorni

Per chi è in ritardo sulla registrazione di gennaio 2026 o non ha ancora avviato il piano di adeguamento, queste sono le mosse minime:

Auto-classificare il soggetto sul portale ACN e registrarsi entro la scadenza.
Eseguire una gap analysis rispetto ai dieci obblighi dell'art. 24.
Definire un piano di remediation con priorità sui rischi più rilevanti.
Mappare la supply chain critica e avviare l'aggiornamento dei contratti.
Pianificare la formazione obbligatoria per il management.

La NIS2 sposta la cybersecurity dal perimetro IT al perimetro di governance. Le aziende che la affrontano come un puro adempimento tecnico sottostimano il vero costo: ricostruire un sistema di reporting, formare il management e contrattualizzare la supply chain richiede mesi, non settimane. Iniziare adesso è già tardi.

Chi deve adeguarsi

Le scadenze chiave

Calendario adempimenti

I dieci obblighi di gestione del rischio

Supply chain e responsabilità del management

Cosa fare nei prossimi 90 giorni

Continua a leggere

CSRD 2026: cosa cambia per le aziende italiane nella reportistica di sostenibilita

Whistleblowing e 231: come integrare i canali di segnalazione nel MOG

Carbon footprint: calcolo automatico con AI — dal dato grezzo al report ESRS

Zero spam. Solo contenuti utili!