Domande frequenti su NIS2 in Italia (FAQ 2026)

NIS2 è la direttiva del Parlamento Europeo e del Consiglio UE 2022/2555 sulla sicurezza delle reti e dei sistemi informativi — il secondo livello dei requisiti europei di cybersicurezza, adottato nel dicembre 2022. La direttiva non si applica direttamente alle aziende — doveva essere recepita nel diritto nazionale.

Il D.Lgs. 138/2024 è il decreto legislativo italiano che implementa NIS2 nell'ordinamento giuridico nazionale. È entrato in vigore il 16 ottobre 2024, con piena applicabilità operativa a partire dal 28 febbraio 2026. È il decreto che vincola le aziende italiane — non direttamente la direttiva.

Differenza pratica: il D.Lgs. 138/2024 può contenere disposizioni più stringenti rispetto al minimo NIS2. Per le interpretazioni nazionali, fare riferimento all'autorità competente italiana: ACN (Agenzia per la Cybersicurezza Nazionale).

Il D.Lgs. 138/2024 che recepisce NIS2 è entrato in vigore il 16 ottobre 2024. Il termine per la registrazione dei soggetti è il 28 febbraio 2026. I requisiti tecnici completi diventano obbligatori a partire dalla medesima data per i soggetti registrati.

Le stime indicano circa 20.000 soggetti italiani che devono conformarsi alla NIS2 — un numero significativamente superiore rispetto a quelli inclusi nella precedente direttiva NIS1. L'aumento è dovuto all'ampliamento della definizione di "settori critici" e all'abbassamento delle soglie dimensionali per le aziende soggette alla normativa.

Soggetti essenziali (Essential Entities): grandi aziende (250+ dipendenti o fatturato >50 mln EUR) nei settori dell'Allegato I (energia, trasporti, banche, sanità, acqua, infrastrutture digitali, pubblica amministrazione, settore spaziale). Sono soggetti a controlli attivi — l'autorità di supervisione conduce audit di propria iniziativa. Sanzioni: fino a 10 mln EUR o il 2% del fatturato.

Soggetti importanti (Important Entities): medie aziende dell'Allegato I o aziende di qualsiasi dimensione dell'Allegato II (servizi postali, manifattura, chimica, alimentare, servizi digitali). Sono soggetti a controlli reattivi — audit solo in seguito a un incidente o a una segnalazione. Sanzioni: fino a 7 mln EUR o l'1,4% del fatturato.

I requisiti tecnici sono simili per entrambe le categorie — ciò che cambia è l'intensità della supervisione e l'entità delle sanzioni.

Sì, in linea generale. Le microimprese (meno di 10 dipendenti e fatturato annuo inferiore a 2 mln EUR) e le piccole imprese (meno di 50 dipendenti e fatturato inferiore a 10 mln EUR) sono escluse dall'ambito di applicazione della NIS2.

Eccezioni importanti: le piccole aziende possono essere soggette alla NIS2 se: sono l'unico fornitore di un servizio critico in Italia; forniscono servizi fiduciari (firme elettroniche qualificate); gestiscono registri di nomi a dominio; forniscono servizi DNS; oppure l'autorità di regolazione le ritiene essenziali per l'impatto sulla sicurezza nazionale.

Il termine per la registrazione è il 28 febbraio 2026. Entro tale data ogni soggetto rientrante nella NIS2 deve:

1. Valutare se soddisfa i criteri di soggetto essenziale o importante
2. Registrarsi sulla piattaforma digitale dell'ACN (Agenzia per la Cybersicurezza Nazionale)
3. Designare un responsabile della cybersicurezza

La mancata registrazione entro il 28 febbraio 2026 può comportare sanzioni amministrative.

La piena conformità tecnica (misure di gestione del rischio implementate, procedure, ISMS) è richiesta a partire dal 28 febbraio 2026, contestualmente alla registrazione. L'ACN può definire scadenze graduali per specifici adempimenti tecnici — verificare le indicazioni aggiornate sul sito ufficiale dell'ACN.

La normativa richiede la designazione di una persona o di un team responsabile della gestione della cybersicurezza. Non è necessariamente richiesto un CISO a tempo pieno — può trattarsi di:

• Un dipendente IT interno con responsabilità ampliate
• Un consulente esterno o un fornitore di servizi gestiti (MSSP)
• L'amministratore delegato o un dirigente nel caso di piccoli soggetti importanti

L'elemento fondamentale è la designazione formale di tale ruolo nella documentazione aziendale e il suo effettivo esercizio.

La NIS2 prevede una notifica degli incidenti di cybersicurezza articolata in tre fasi:

• 24 ore dal rilevamento: pre-notifica all'ACN
• 72 ore dal rilevamento: notifica completa dell'incidente con valutazione dell'impatto
• 1 mese dal rilevamento: relazione finale dettagliata con analisi delle cause e delle misure adottate

La notifica riguarda solo gli incidenti significativi che hanno un impatto rilevante sulla continuità dei servizi — non ogni singolo alert di sicurezza.

L'articolo 21 della direttiva NIS2 (recepito dal D.Lgs. 138/2024) richiede almeno:

1. Politiche di analisi del rischio e sicurezza dei sistemi informativi
2. Procedure di gestione degli incidenti di sicurezza (rilevamento, notifica, risposta)
3. Gestione della continuità operativa (backup, disaster recovery, gestione delle crisi)
4. Sicurezza della catena di approvvigionamento (valutazione di fornitori e partner)
5. Sicurezza nell'acquisizione, nello sviluppo e nella manutenzione di reti e sistemi
6. Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio
7. Pratiche di base di igiene informatica e formazione
8. Politiche e procedure in materia di crittografia e cifratura
9. Sicurezza delle risorse umane, controllo degli accessi, gestione degli asset
10. Uso dell'autenticazione a più fattori (MFA) o SSO

Gli strumenti ISMS coprono tutti questi requisiti — confronta gli strumenti →

Non esonera completamente, ma facilita significativamente il rispetto dei requisiti. ISO 27001 e NIS2/D.Lgs. 138/2024 hanno un ambito sovrapposto — si stima che un'azienda certificata ISO 27001 soddisfi circa l'80-85% dei requisiti tecnici della NIS2.

Il restante 15-20% comprende elementi specifici della NIS2: procedure di notifica degli incidenti alle autorità pubbliche, valutazione della sicurezza della catena di approvvigionamento secondo i criteri NIS2, registrazione nel registro dei soggetti presso l'ACN. Tuttavia, il possesso della certificazione ISO 27001 può attenuare le sanzioni ed è valutato positivamente dalle autorità di vigilanza.

No, non esiste alcun obbligo legale di acquistare un software specifico. La NIS2 richiede il rispetto di requisiti tecnici e procedurali — non prescrive come l'azienda debba gestire tale processo.

In pratica, le grandi aziende (soggetti essenziali) avranno bisogno di uno strumento GRC per gestire documentazione, prove e monitoraggio — la gestione manuale è irrealistica con 50+ controlli. I piccoli soggetti importanti possono iniziare con il piano gratuito di Reglyze o Microsoft Purview. Confronta le opzioni →

ISMS (Information Security Management System) è un sistema di gestione della sicurezza delle informazioni — un insieme di politiche, procedure, processi e controlli per la gestione del rischio di cybersicurezza. Lo standard che definisce l'ISMS è ISO/IEC 27001.

La NIS2/D.Lgs. 138/2024 non richiede la certificazione ISO 27001, ma impone l'implementazione degli elementi di un ISMS (politiche di sicurezza, gestione del rischio, procedure per gli incidenti). Strumenti come Reglyze, Secfix o ISMS.online automatizzano la costruzione e il mantenimento di un ISMS specificamente orientato alla NIS2.

I costi di implementazione variano notevolmente in base all'approccio e alle dimensioni dell'azienda:

• Piccole aziende (soggetto importante, 50-100 dipendenti): €2.000–15.000 una tantum + €500–2.000/anno per strumenti e manutenzione
• Medie aziende (100-250 dipendenti): €10.000–50.000 per l'implementazione + €3.000–8.000/anno
• Grandi aziende (soggetto essenziale): €50.000–250.000+ per l'implementazione + €15.000–50.000/anno

Il costo di un audit ISO 27001 (facoltativo ma utile) rappresenta un ulteriore investimento di €8.000–25.000 a seconda della società di revisione.

No — la NIS2 non impone l'uso di software di fornitori italiani. È possibile utilizzare strumenti di qualsiasi paese UE o extra-UE, a condizione che i dati siano trattati in conformità al GDPR.

Tuttavia, vale la pena considerare: la localizzazione dei dati (UE vs. extra-UE), il supporto tecnico in lingua italiana, la conoscenza della normativa italiana da parte del fornitore. Vedi il confronto degli strumenti →

Per le piccole aziende (soggetto importante, 50-100 dipendenti) raccomandiamo di iniziare da:

1. Reglyze (piano gratuito) — esegui l'autovalutazione e la gap analysis. Genera politiche di sicurezza tramite AI. Punto di partenza ideale, a costo zero.
2. Microsoft Purview (se hai M365 E3+) — template NIS2 già disponibile nello strumento che stai già pagando. Integra Reglyze con il monitoraggio di Purview.
3. Dopo la gap analysis: decidi se hai bisogno di uno strumento a pagamento (ISMS.online da £375/mese) sulla base delle carenze specifiche rilevate.

Usa il calcolatore NIS2 → per verificare prima a quale categoria appartiene la tua azienda.

Strumenti con sede e trattamento dei dati in UE:

• Reglyze — sede UE ✓
• ComplyCloud — Danimarca ✓
• Secfix — Germania ✓ (dati in UE)
• ISMS Copilot — Germania ✓

Gli strumenti con sede negli USA (Vanta, Drata, Sprinto) e nel Regno Unito (ISMS.online) possono trattare dati al di fuori dell'UE — verifica il loro DPA (Data Processing Agreement) e le SCCs prima dell'acquisto. Microsoft Purview tratta i dati nelle aree geografiche Azure — è possibile configurare l'EU Data Boundary.

Soggetti essenziali:

• Fino a 10.000.000 EUR o il 2% del fatturato mondiale annuo totale (l'importo più elevato)
• Divieto per le persone responsabili della violazione di ricoprire funzioni dirigenziali

Soggetti importanti:

• Fino a 7.000.000 EUR o l'1,4% del fatturato mondiale annuo totale (l'importo più elevato)

L'ACN può irrogare sanzioni per: mancata registrazione, assenza di ISMS, mancata notifica degli incidenti, mancato rispetto dei requisiti tecnici. Le prime sanzioni sono attese a partire dal 28 febbraio 2026.

La supervisione sulla NIS2 in Italia è affidata principalmente all'ACN (Agenzia per la Cybersicurezza Nazionale), che coordina l'attuazione della normativa e gestisce il registro dei soggetti. A seconda del settore, possono essere coinvolte anche altre autorità:

• ACN — autorità nazionale competente NIS2, coordinamento generale
• ARERA — settore energetico
• AGCOM — infrastrutture digitali e telecomunicazioni
• Banca d'Italia / CONSOB / IVASS — settore bancario e finanziario
• Ministero della Salute — settore sanitario
• MIT e ENAC — settore dei trasporti

I soggetti essenziali sono soggetti ad audit attivi su iniziativa dell'autorità. I soggetti importanti sono soggetti a controlli reattivi (in seguito a un incidente o a una segnalazione).

Sì. La NIS2 (art. 20) e il D.Lgs. 138/2024 impongono al management (amministratore delegato, consiglio di amministrazione, organo di controllo) l'obbligo di approvare e supervisionare le misure di gestione del rischio di cybersicurezza. In caso di incidenti gravi derivanti da negligenza, le autorità possono:

• Emettere una dichiarazione pub

  Hai altre domande?

  Non hai trovato la risposta? Consulta le nostre recensioni dettagliate degli strumenti o utilizza il calcolatore NIS2.

  Avvia il calcolatore NIS2 →

  Oltre 2 400 aziende italiane hanno verificato lo stato NIS2 su questa pagina

  Non sai se la tua azienda è soggetta alla NIS2? Il quiz gratuito richiede 2 minuti.

  Fai il quiz → ×
  ×

  Scarica la guida gratuita NIS2

  Scopri esattamente cosa devi fare entro il 28 febbraio 2026. Guida passo dopo passo per le aziende italiane.

  Invia la guida

  Senza spam. Cancellati in qualsiasi momento.