📍 Italia · D.Lgs. 138/2024 · Direttiva NIS2 (UE) 2022/2555 🇬🇧 English Version
1

Cos'è la Direttiva NIS2

La Direttiva NIS2 (UE) 2022/2555 è la nuova normativa europea sulla cybersecurity. Obiettivo: proteggere le infrastrutture critiche e i servizi essenziali in tutta l'Unione Europea.

Sostituisce la vecchia Direttiva NIS (2016/1148) ampliando drasticamente il perimetro di applicazione: più settori, più entità, obblighi più stringenti e sanzioni più severe.

  • 27 Stati membri UE devono trasporla
  • 2 categorie di entità: Essenziali e Importanti
  • 10 domini di sicurezza da implementare
  • Notifica incidenti entro 24 ore
2

A chi si applica

NIS2 si applica alle Organizzazioni di Medie e Grandi Dimensioni che operano in settori definiti "critici" o "importanti".

CriterioEntità EssenzialiEntità Importanti
Dipendenti≥ 250≥ 50
Fatturato≥ €50M≥ €10M

In Italia, il D.Lgs. 138/2024 ha stabilito che anche le PMI (50-249 dipendenti) dei settori essenziali rientrano nel perimetro.

3

Criteri di inclusione

L'ACN (Agenzia per la Cybersicurezza Nazionale) gestisce il registro delle entità NIS2 in Italia. L'inclusione avviene in base a:

  1. Criteri di dimensione — numero dipendenti e fatturato
  2. Criterio di rilevanza — impatto su sicurezza nazionale o servizio essenziale
  3. Criterio di interconnessione — dipendenza da altre entità critiche
  4. Designazione diretta — da parte dell'ACN per specifiche esigenze
4

Differenze NIS1 vs NIS2

AspectNIS1 (2016)NIS2 (2022)
Settori718
Tipologie entitàOES + DSPEE + EI
DimensioneGrandi soloMedie + Grandi
GovernanceVolontariaObbligatoria
Sanzioni maxVariabili€10M o 2%
Supply chainNo
5

Obblighi principali

Le entità devono implementare misure di sicurezza nei seguenti 10 domini:

  1. Politiche di sicurezza e gestione del rischio
  2. Gestione degli incidenti
  3. Continuità operativa e disaster recovery
  4. Sicurezza della supply chain
  5. Sicurezza in acquisizione e sviluppo
  6. Igiene informatica e formazione
  7. Crittografia
  8. Sicurezza delle risorse umane
  9. Controllo accessi e autorizzazioni
  10. Gestione degli asset e sicurezza fisica
6

Sanzioni

Tipo entitàSanzione massima
Entità Essenziali€10 milioni o il 2% del fatturato globale
Entità Importanti€7 milioni o l'1,4% del fatturato globale

In Italia, il D.Lgs. 138/2024 ha recepito queste sanzioni nel sistema penale italiano.

7

Timeline

Gennaio 2023
Entrata in vigore Direttiva NIS2 (UE) 2022/2555
Ottobre 2024
Scadenza trasposizione negli stati membri
Gennaio 2025
Entrata in vigore D.Lgs. 138/2024 in Italia
Aprile 2025
Scadenza registrazione entità presso ACN
📚

Riferimenti Legali

  • D.Lgs. 138/2024 — Decreto legislativo attuativo della Direttiva NIS2 in Italia
  • Direttiva (UE) 2022/2555 — NIS2 Directive del Parlamento Europeo e del Consiglio
  • Regolamento (UE) 2024/2690 — Implementing Regulation per la registrazione delle entità
  • ACN — Agenzia per la Cybersicurezza Nazionale (www.acn.gov.it)
  • CNIT — Centro Nazionale per l'Informatica nella Pubblica Amministrazione
🔗 D.Lgs. 138/2024 su Normattiva
🔗 Direttiva NIS2 (UE) 2022/2555 su EUR-Lex