NIS2 in Italia: guida completa alla Direttiva (UE) 2022/2555

Cos'è la Direttiva NIS2?

La Direttiva (UE) 2022/2555, nota come NIS2, rappresenta il pilastro normativo europeo per la sicurezza delle reti e dei sistemi informativi. Recepita in Italia con il D.Lgs. 138/2024, amplia significativamente il perimetro dei soggetti obbligati rispetto alla precedente NIS1.

Chi è soggetto alla NIS2 in Italia?

La direttiva distingue tra soggetti essenziali e soggetti importanti, coprendo 18 settori:

• Settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione servizi ICT B2B, pubblica amministrazione, spazio
• Altri settori critici: servizi postali, gestione rifiuti, fabbricazione e distribuzione sostanze chimiche, produzione e distribuzione alimentare, fabbricazione dispositivi medici, macchinari, autoveicoli, fornitori digitali, ricerca

I 47 controlli ACN

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha definito 47 controlli organizzati in domini chiave:

• Governance e organizzazione della sicurezza
• Gestione del rischio
• Gestione degli incidenti (notifica entro 24h e report entro 72h)
• Continuità operativa
• Sicurezza della supply chain
• Formazione e awareness

Le scadenze principali

Il calendario NIS2 prevede tappe precise:

• Registrazione su portale ACN: obbligo già attivo per i soggetti identificati
• Implementazione misure di sicurezza: entro 18 mesi dalla notifica
• Audit e verifiche: a partire dal 2026

Sanzioni previste

Le sanzioni per inadempienza sono significative: fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, e fino a 7 milioni o l'1,4% del fatturato per i soggetti importanti.

Come prepararsi con GAPOFF

GAPOFF offre uno scoping wizard per determinare se la tua azienda è soggetta, i 47 controlli ACN precaricati con gap analysis automatica, gestione incidenti con timeline 24h/72h e report pronti per ACN/CSIRT.

Prova GAPOFF gratis per 14 giorni