⚖️ Direttiva UE 2022/2555 · D.Lgs. 138/2024

NIS2: la tua azienda è in regola?

La direttiva europea sulla sicurezza informatica è legge. Se la tua azienda rientra nel perimetro, adeguarsi non è una scelta: è un obbligo, con sanzioni concrete per chi non lo rispetta.

Cos'è
Una normativa che riguarda migliaia di imprese italiane

La NIS2 è la normativa europea che alza il livello minimo di sicurezza informatica per le organizzazioni che operano in settori critici o importanti per l'economia e la società. In Italia è stata recepita con il D.Lgs. 138/2024 ed è pienamente in vigore.

Il punto centrale è semplice: se la tua azienda rientra nel perimetro, devi registrarti presso l'Agenzia per la Cybersicurezza Nazionale (ACN) e adottare misure tecniche e organizzative precise. Non si tratta di un adempimento formale, ma di un obbligo presidiato da un regime sanzionatorio.

Non è "mi adeguo tanto per fare"

Le aziende soggette devono attivare misure concrete di sicurezza informatica perché è un preciso obbligo di legge. La mancata conformità espone a sanzioni economiche e a responsabilità dirette per gli organi di gestione.

Chi è coinvolto
Soggetti essenziali, importanti e catena di fornitura
🔴

Soggetti essenziali

Settori ad alta criticità: energia, trasporti, sanità, acqua, infrastrutture digitali, PA, spazio. Soglie dimensionali maggiori.

🟠

Soggetti importanti

Settori critici: poste, rifiuti, chimica, alimentare, fabbricazione, servizi digitali. Soglie dimensionali intermedie.

🔗

Catena di fornitura

Anche piccole imprese possono rientrare se forniscono servizi rilevanti a soggetti NIS o fanno parte di gruppi più grandi.

Attenzione: i codici ATECO sono solo indicativi. L'appartenenza al perimetro si determina sulle attività effettivamente svolte, tramite l'autovalutazione ufficiale sulla piattaforma ACN.

Gli obblighi
Le misure richieste dall'articolo 21

I soggetti NIS2 devono adottare misure tecniche, operative e organizzative proporzionate al rischio. Sono il contenuto minimo di conformità richiesto dalla legge:

Analisi e gestione del rischio
Gestione degli incidenti
Continuità operativa e backup
Sicurezza della supply chain
Sicurezza nello sviluppo dei sistemi
Valutazione dell'efficacia delle misure
Igiene informatica e formazione
Crittografia
Controllo degli accessi e MFA
Sicurezza delle risorse umane
Le sanzioni
Perché non si può rimandare
Soggetti essenziali Fino a 10 mln € o 2% del fatturato globale
Soggetti importanti Fino a 7 mln € o 1,4% del fatturato globale
Mancata registrazione / comunicazione Fino allo 0,1% del fatturato globale

Oltre alle sanzioni economiche, sono previste misure accessorie che possono arrivare fino alla sospensione temporanea dei responsabili dalle funzioni dirigenziali.

Scopri se la tua azienda è soggetta alla NIS2

Fai la verifica gratuita in pochi minuti, senza registrazione. Scarica la guida completa o parla con un nostro esperto per un percorso di conformità su misura.