Chi è soggetto alla NIS2 in Italia
La NIS2 ha quasi triplicato il numero di soggetti obbligati rispetto alla NIS1. Il D.Lgs. 138/2024 distingue tra soggetti essenziali e soggetti importanti, con obblighi e sanzioni differenziati.
Il criterio principale è la combinazione di settore di attività e dimensione:
| Tipo | Dimensione | Settori | Sanzione max |
|---|---|---|---|
| Essenziale | Media o grande impresa | Energia, trasporti, sanità, acque, infrastrutture digitali, spazio | 10M€ o 2% fatturato globale |
| Importante | Media o grande impresa | Servizi postali, gestione rifiuti, chimica, alimentare, manifattura critica, fornitori digitali | 7M€ o 1,4% fatturato globale |
| Essenziale (piccola) | Qualsiasi dimensione | Infrastrutture critiche nazionali, TLD, DNS root, cloud critici | 10M€ o 2% fatturato globale |
Anche se la tua PMI non rientra direttamente nel perimetro NIS2, se sei fornitore di un'entità essenziale o importante potresti ricevere obblighi contrattuali di sicurezza a cascata. I soggetti NIS2 sono infatti obbligati a verificare la postura di sicurezza dei propri fornitori critici (art. 21 D.Lgs. 138/2024).
Per verificare se la tua organizzazione rientra nel perimetro, ACN ha attivato il portale ufficiale su acn.gov.it/portale/nis2 con la procedura di auto-registrazione.
Gli obblighi concreti: le 10 misure dell'art. 21
L'art. 21 del D.Lgs. 138/2024 definisce le misure di sicurezza minime che ogni soggetto NIS2 deve implementare. Non sono raccomandazioni: sono obblighi legali verificabili da ACN con ispezioni e audit.
- Politiche di sicurezza delle informazioni: policy documentate, approvate dal management, aggiornate periodicamente.
- Gestione del rischio: analisi dei rischi formale con metodologia strutturata (es. ISO 27005, NIST RMF) e piano di trattamento.
- Gestione degli incidenti: procedure documentate per rilevare, rispondere e notificare gli incidenti. CSIRT interno o contratto MDR esterno.
- Continuità operativa e gestione delle crisi: Business Continuity Plan (BCP) e Disaster Recovery Plan (DRP) testati.
- Sicurezza della supply chain: valutazione dei rischi dei fornitori critici, clausole contrattuali di sicurezza, audit periodici.
- Sicurezza nello sviluppo e manutenzione dei sistemi: secure SDLC, patching strutturato, vulnerability management.
- Politiche e procedure per valutare l'efficacia: KPI di sicurezza, audit interni, penetration testing periodico.
- Formazione sulla cybersicurezza: training obbligatorio per dipendenti e, novità NIS2, per il management e il board.
- Crittografia: utilizzo di crittografia appropriata per dati in transito e a riposo.
- Sicurezza delle risorse umane, controllo degli accessi e MFA: IAM, privileged access management, autenticazione a più fattori.
Nella nostra esperienza di gap analysis NIS2 su PMI italiane, i punti 3 (gestione incidenti), 5 (supply chain) e 7 (valutazione efficacia) sono quelli con i gap più ampi. La maggior parte delle PMI ha qualche policy documentata, ma manca di processi operativi verificabili.
Obblighi di notifica: tempistiche e destinatari
Una delle novità più impattanti della NIS2 è il regime di notifica degli incidenti, molto più stringente rispetto alla NIS1. Il D.Lgs. 138/2024 definisce tre livelli:
Early warning — entro 24 ore
Entro 24 ore dalla scoperta di un incidente significativo, il soggetto deve inviare ad ACN un early warning con: data/ora dell'incidente, tipologia (ransomware, DDoS, data breach…), sistemi coinvolti, primo assessment dell'impatto. Non è richiesta un'analisi completa — è sufficiente la prima stima.
Notifica dell'incidente — entro 72 ore
Entro 72 ore, la notifica deve essere integrata con: cause iniziali identificate, contromisure adottate, impatto stimato su utenti/servizi, informazioni di contatto del referente.
Relazione finale — entro 1 mese
Entro un mese dall'incidente, la relazione finale deve includere: analisi forense delle cause, timeline completa, misure correttive implementate, lezioni apprese.
Se l'incidente coinvolge dati personali, si sovrappongono gli obblighi NIS2 (notifica ACN entro 24h) e GDPR (notifica Garante entro 72h). I due regimi sono indipendenti: vanno notificati entrambi. Un unico incidente può generare obblighi verso due Autorità con tempistiche diverse.
La responsabilità personale degli amministratori
La NIS2 introduce una novità che molti advisor sottovalutano: la responsabilità personale degli organi di gestione. L'art. 20 del D.Lgs. 138/2024 stabilisce che gli organi direttivi (CDA, amministratori delegati) devono:
- Approvare le misure di gestione dei rischi di sicurezza informatica;
- Vigilare sulla loro attuazione;
- Seguire personalmente una formazione in materia di sicurezza informatica;
- Garantire analoga formazione ai dipendenti.
In caso di violazione grave, ACN può applicare una sospensione temporanea dalle funzioni direttive nei confronti delle persone fisiche responsabili della gestione o degli organi di supervisione. Non è più sufficiente delegare la sicurezza all'IT.
Roadmap pratica: da zero alla conformità NIS2
Per una PMI italiana che parte da zero, il percorso realistico verso la conformità NIS2 richiede 6-12 mesi, a seconda della complessità dell'infrastruttura e del livello di maturità iniziale.
- Mese 1 — Registrazione e scoping: registrazione sul portale ACN, identificazione del perimetro NIS2 applicabile, nomina del referente di sicurezza (può essere esterno).
- Mese 1-2 — Gap analysis: valutazione dell'attuale postura rispetto alle 10 misure dell'art. 21. Produce un report con gap prioritizzati per rischio e sforzo di remediation.
- Mese 2-4 — Quick wins: implementazione dei controlli a basso costo/alto impatto: MFA su tutti gli accessi, patching strutturato, backup offline verificato, formazione base.
- Mese 4-8 — Controlli strutturali: EDR/XDR, SIEM, gestione incidenti formalizzata, BCP/DRP testato, supply chain assessment, penetration testing.
- Mese 8-12 — Documentazione e governance: policy complete, procedure operative, registro rischi, piano di audit interno, reportistica per il board.
- Ongoing — Mantenimento: penetration testing annuale, audit interni semestrali, aggiornamento risk assessment, formazione continua.
Domande frequenti
La mia PMI è soggetta alla NIS2?
Dipende da settore e dimensioni. Sono soggette le medie imprese (50-249 dipendenti, fatturato 10-50M€) nei settori essenziali e importanti elencati nel D.Lgs. 138/2024. Anche se non sei direttamente soggetto, potresti ricevere obblighi contrattuali come fornitore di un'entità NIS2. Verifica sul portale ACN.
Entro quando devo adeguarmi?
Il D.Lgs. 138/2024 è in vigore dal 16 ottobre 2024. La registrazione era obbligatoria entro il 31 marzo 2025. I piani di adeguamento devono essere già avviati. ACN ha avviato le verifiche ispettive nel 2025 — essere in ritardo significa essere già esposti al rischio sanzionatorio.
Posso usare un fornitore esterno per soddisfare i requisiti NIS2?
Sì. Molti obblighi NIS2 (monitoraggio continuo, incident response, penetration testing, SIEM) possono essere soddisfatti tramite fornitori qualificati. La responsabilità rimane però in capo al soggetto obbligato: il contratto deve specificare gli SLA e la copertura normativa.
NIS2 e ISO 27001 si sovrappongono?
Parzialmente. L'ISO 27001 copre buona parte dei requisiti NIS2, ma non li soddisfa completamente: mancano le specifiche sulla notifica degli incidenti ad ACN, la responsabilità degli amministratori e alcuni requisiti di supply chain. Una certificazione ISO 27001 esistente è un punto di partenza molto solido e riduce significativamente il gap NIS2.