Domande frequenti su NIS2 in Italia (FAQ 2026)

NIS2 è la direttiva del Parlamento Europeo e del Consiglio UE 2022/2555 sulla sicurezza delle reti e dell'informazione — il secondo livello dei requisiti europei in materia di cybersicurezza, adottata nel dicembre 2022. La direttiva non si applica direttamente alle aziende — doveva essere recepita nel diritto nazionale.

Il D.Lgs. 138/2024 è il decreto legislativo italiano che recepisce NIS2 nell'ordinamento giuridico nazionale. È entrato in vigore il 16 ottobre 2024. Sono le norme italiane a vincolare le aziende italiane — non direttamente la direttiva.

Differenza pratica: il decreto italiano può contenere disposizioni più severe rispetto al minimo NIS2 (la legge italiana può imporre obblighi aggiuntivi). Consulta l'Agenzia per la Cybersicurezza Nazionale (ACN) per le interpretazioni nazionali.

Il D.Lgs. 138/2024 che recepisce NIS2 è entrato in vigore il 16 ottobre 2024. Il termine per la registrazione sulla piattaforma ACN è il 28 febbraio 2026. I requisiti tecnici completi entreranno in vigore a partire dal 1° gennaio 2026 per i soggetti già identificati, con piena operatività entro il 2027.

Le stime parlano di circa 20.000 soggetti italiani che dovranno conformarsi alla NIS2 — un numero circa 10 volte superiore rispetto a quelli coperti dalla precedente direttiva NIS1. L'aumento è dovuto all'ampliamento della definizione di "settori critici" e all'abbassamento della soglia dimensionale delle aziende soggette alla normativa.

Soggetti essenziali (Essential Entities): grandi aziende (250+ dipendenti o fatturato >50 mln EUR) nei settori dell'Allegato I (energia, trasporti, banche, sanità, acqua, infrastrutture digitali, pubblica amministrazione, settore spaziale). Sono soggetti a controlli attivi — l'autorità di vigilanza conduce audit di propria iniziativa. Sanzioni: fino a 10 mln EUR o 2% del fatturato.

Soggetti importanti (Important Entities): medie aziende dell'Allegato I o aziende di qualsiasi dimensione dell'Allegato II (servizi postali, produzione, chimica, alimentare, servizi digitali). Sono soggetti a controlli reattivi — l'audit avviene solo a seguito di un incidente o di una segnalazione. Sanzioni: fino a 7 mln EUR o 1,4% del fatturato.

I requisiti tecnici sono simili per entrambi — ciò che differisce è l'intensità della vigilanza e l'entità delle sanzioni.

Sì, in linea generale. Le microimprese (meno di 10 dipendenti e fatturato annuo inferiore a 2 mln EUR) e le piccole imprese (meno di 50 dipendenti e fatturato inferiore a 10 mln EUR) sono escluse dall'ambito di applicazione della NIS2.

Eccezioni importanti: le piccole imprese possono essere soggette alla NIS2 se: sono l'unico fornitore di un servizio critico in Italia; forniscono servizi fiduciari (firme elettroniche qualificate); gestiscono registri di nomi di dominio; forniscono servizi DNS; oppure l'autorità di regolamentazione le considera critiche in ragione del loro impatto sulla sicurezza.

Il termine per la registrazione sulla piattaforma ACN scade il 28 febbraio 2026. Entro tale data ogni soggetto rientrante nell'ambito NIS2 deve:

1. Valutare se soddisfa i criteri di soggetto essenziale o importante
2. Registrarsi sul portale dell'Agenzia per la Cybersicurezza Nazionale (ACN)
3. Designare un responsabile per la cybersicurezza

La mancata registrazione entro il 28 febbraio 2026 può comportare sanzioni amministrative.

La piena conformità tecnica (misure di gestione del rischio implementate, procedure, ISMS) è richiesta a partire dal 1° gennaio 2026 per i soggetti già identificati da ACN, con completamento previsto entro il 2027 per tutti i soggetti. L'audit esterno di cybersicurezza per i soggetti essenziali è previsto entro il 2028.

La normativa richiede la designazione di una persona o di un team responsabile della gestione della cybersicurezza. Non è necessariamente richiesto un CISO a tempo pieno — può trattarsi di:

• Un dipendente IT interno con responsabilità ampliate
• Un consulente esterno o una società di servizi (MSSP)
• L'amministratore delegato o un dirigente nel caso di piccoli soggetti importanti

L'elemento fondamentale è la designazione formale di tale ruolo nella documentazione e il suo effettivo svolgimento.

La NIS2 prevede una segnalazione degli incidenti di cybersicurezza in tre fasi:

• 24 ore dal rilevamento: preallarme all'ACN o all'autorità di settore competente
• 72 ore dal rilevamento: notifica completa dell'incidente con valutazione del suo impatto
• 1 mese dal rilevamento: relazione finale dettagliata con analisi delle cause e delle azioni intraprese

La segnalazione riguarda solo gli incidenti gravi con impatto significativo sulla continuità dei servizi — non ogni singolo alert di sicurezza.

L'articolo 21 della direttiva NIS2 (recepito dal decreto italiano) richiede almeno:

1. Politiche di analisi del rischio e sicurezza dei sistemi informativi
2. Procedure per la gestione degli incidenti di sicurezza (rilevamento, segnalazione, risposta)
3. Gestione della continuità operativa (backup, disaster recovery, gestione delle crisi)
4. Sicurezza della catena di approvvigionamento (valutazione di fornitori e partner)
5. Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi
6. Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio
7. Pratiche di igiene informatica di base e formazione
8. Politiche e procedure in materia di crittografia e cifratura
9. Sicurezza delle risorse umane, controllo degli accessi, gestione degli asset
10. Utilizzo dell'autenticazione a più fattori (MFA) o SSO

Gli strumenti ISMS coprono tutti questi requisiti — confronta gli strumenti →

Non esonera completamente, ma facilita notevolmente il soddisfacimento dei requisiti. ISO 27001 e NIS2 hanno un ambito di applicazione sovrapposto — si stima che un'azienda certificata ISO 27001 soddisfi circa l'80-85% dei requisiti tecnici NIS2.

Il restante 15-20% comprende elementi specifici NIS2: procedure di segnalazione degli incidenti alle autorità pubbliche, valutazione della sicurezza della catena di approvvigionamento secondo i criteri NIS2, registrazione presso ACN. Il possesso della certificazione ISO 27001 può tuttavia attenuare le sanzioni ed è valutato positivamente dalle autorità di vigilanza.

No, non esiste un obbligo legale di acquistare un software specifico. La NIS2 richiede il soddisfacimento di requisiti tecnici e procedurali — non stabilisce come l'azienda debba gestire tale processo.

In pratica, le grandi aziende (soggetti essenziali) avranno bisogno di uno strumento GRC per gestire documentazione, prove e monitoraggio — la gestione manuale non è realistica con 50+ controlli. I piccoli soggetti importanti possono partire dal piano gratuito di Reglyze o da Microsoft Purview. Confronta le opzioni →

ISMS (Information Security Management System) è un sistema di gestione della sicurezza delle informazioni — un insieme di politiche, procedure, processi e controlli per la gestione del rischio di cybersicurezza. Lo standard che definisce l'ISMS è ISO/IEC 27001.

NIS2 non richiede la certificazione ISO 27001, ma richiede l'implementazione degli elementi ISMS (politiche di sicurezza, gestione del rischio, procedure per gli incidenti). Strumenti come Reglyze, Secfix o ISMS.online automatizzano la costruzione e il mantenimento di un ISMS specificamente orientato alla NIS2.

I costi di implementazione variano considerevolmente in base all'approccio e alle dimensioni dell'azienda:

• Piccole aziende (soggetto importante, 50-100 dipendenti): €2.000–15.000 una tantum + €500–2.000/anno per strumenti e manutenzione
• Medie aziende (100-250 dipendenti): €10.000–50.000 per l'implementazione + €3.000–8.000/anno
• Grandi aziende (soggetto essenziale): €50.000–250.000+ per l'implementazione + €15.000–50.000/anno

Il costo di un audit ISO 27001 (facoltativo ma utile) rappresenta un costo aggiuntivo di €8.000–25.000 a seconda della società di revisione.

No — la NIS2 non richiede l'utilizzo di software di fornitori italiani. Puoi utilizzare strumenti di qualsiasi paese UE o extra-UE, a condizione che i dati siano trattati in conformità al GDPR.

Vale tuttavia la pena considerare: la localizzazione dei dati (UE vs extra-UE), il supporto tecnico in lingua italiana, la conoscenza della normativa italiana da parte del fornitore. Vedi la recensione →

Per le piccole aziende (soggetto importante, 50-100 dipendenti) consigliamo di iniziare con:

1. Reglyze (piano gratuito) — esegui l'autoidentificazione e la valutazione delle lacune. Genera politiche di sicurezza tramite AI. Punto di partenza ideale, costo zero.
2. Microsoft Purview (se hai M365 E3+) — template NIS2 già pronto nello strumento che stai già pagando. Integra Reglyze con il monitoraggio in Purview.
3. Dopo la valutazione delle lacune: decidi se hai bisogno di uno strumento a pagamento (ISMS.online da £375/mese) sulla base delle carenze specifiche riscontrate.

Usa il calcolatore NIS2 → per verificare prima quale tipo di soggetto riguarda la tua azienda.

Strumenti con sede e trattamento dei dati nell'UE:

• Reglyze — sede UE ✓
• ComplyCloud — Danimarca ✓
• Secfix — Germania ✓ (dati nell'UE)
• Sycope — Polonia ✓
• ISMS Copilot — Germania ✓

Gli strumenti statunitensi (Vanta, Drata, Sprinto) e britannici (ISMS.online) possono trattare dati al di fuori dell'UE — verifica il loro DPA (Data Processing Agreement) e le SCC prima dell'acquisto. Microsoft Purview tratta i dati nelle aree geografiche di Azure — è possibile configurare l'EU Data Boundary.

Soggetti essenziali:

• Fino a 10.000.000 EUR o il 2% del fatturato annuo mondiale totale (se superiore)
• Divieto di svolgere funzioni dirigenziali per le persone responsabili della violazione

Soggetti importanti:

• Fino a 7.000.000 EUR o l'1,4% del fatturato annuo mondiale totale (se superiore)

Le autorità di vigilanza possono irrogare sanzioni per: mancata registrazione, assenza di ISMS, mancata segnalazione di incidenti, mancato rispetto dei requisiti tecnici. Le prime sanzioni sono attese dopo la scadenza del periodo transitorio.

In Italia la vigilanza sulla NIS2 è affidata principalmente all'Agenzia per la Cybersicurezza Nazionale (ACN), con il coinvolgimento di autorità di settore per specifici ambiti:

• ACN — coordinamento generale, autorità nazionale competente NIS2
• ARERA — settore energetico
• AGCOM — infrastrutture digitali e telecomunicazioni
• Banca d'Italia / IVASS — settore bancario e finanziario
• Ministero della Salute — settore sanitario
• MIT / ENAC / ENAV — settore dei trasporti

I soggetti essenziali sono soggetti ad audit attivi su iniziativa dell'autorità. I soggetti importanti sono soggetti a controlli reattivi (a seguito di incidenti o segnalazioni).

Sì. La NIS2 (art. 20) e il decreto italiano impongono al management (amministratore delegato, consiglio di amministrazione, organo di vigilanza) l'obbligo di approvare e supervisionare le misure di gestione del rischio di cybersicurezza. In caso di incidenti gravi derivanti da negligenza, le autorità possono:

• Emettere una dichiarazione pubblica che identifichi la persona responsabile

Hai altre domande?

Non hai trovato la risposta? Consulta le nostre recensioni dettagliate degli strumenti o utilizza il calcolatore NIS2.

Avvia calcolatore NIS2 →

Più di 20 000 aziende italiane hanno verificato lo stato NIS2 su questa pagina

Non sai se la tua azienda è soggetta a NIS2? Il quiz gratuito richiede 2 minuti.

Fai il quiz → ×
×

Scarica la guida gratuita NIS2

Scopri esattamente cosa devi fare entro il 28 febbraio 2026. Guida passo dopo passo per le aziende italiane.

Invia guida

Niente spam. Puoi cancellarti in qualsiasi momento.