NIS2 in Italia

1. Panoramica rapida di applicabilità per le PMI in Italia

NIS2 si applica alle PMI in Italia?

Sì — a seconda del settore e delle dimensioni.

• Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
• Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
• Si applica ai soggetti stabiliti in Italia e, in alcuni casi, ai fornitori digitali esteri che servono il mercato italiano.

Le PMI dovrebbero valutare la qualificazione nell'ambito del regime nazionale di cybersicurezza dell'Italia in base alla classificazione settoriale e alle soglie previste dalla legge.

2. Panoramica dell'attuazione della NIS2 in Italia

L'Italia ha completato il recepimento di NIS2 con il Decreto Legislativo n. 138/2024 (4 settembre 2024), pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 e in vigore dal 16 ottobre 2024. Il decreto sostituisce il precedente regime NIS1 con un quadro autonomo e organico in materia di cybersicurezza.

L'Italia ha esteso l'ambito di applicazione oltre il minimo previsto dalla Direttiva tramite gli Allegati III e IV nazionali, che includono soggetti aggiuntivi quali le amministrazioni centrali dello Stato, gli operatori del trasporto pubblico locale e le entità di interesse culturale. Una clausola di salvaguardia (DPCM 221/2024, in vigore dall'11 febbraio 2025) consente alle controllate di gruppo indipendenti sotto il profilo ICT di richiedere un trattamento differenziato. Il decreto adotta inoltre la terminologia più ampia di «organi di amministrazione e direttivi» per chiarire le responsabilità.

La compliance si fonda sul Quadro Nazionale per la Cybersicurezza e la Protezione dei Dati dell'ACN (aggiornamento 2025, allineato a NIST CSF 2.0). Le misure tecniche minime erano dovute entro aprile 2025 e le misure di lungo termine entro aprile 2026, mentre la piena conformità alle misure di sicurezza è richiesta entro il 1° ottobre 2026.

3. Ambito di applicazione in Italia

L'Italia supera l'ambito minimo della Direttiva tramite gli Allegati III e IV nazionali, includendo settori aggiuntivi quali l'amministrazione centrale, il trasporto pubblico locale e le entità di interesse culturale. Sono inoltre coperte le imprese collegate che soddisfano i criteri pertinenti.

4. Soglie dimensionali e applicabilità alle PMI in Italia

Si applicano le soglie di base:

• ≥50 dipendenti, e
• ≥€10 million fatturato annuo o totale di bilancio.

I soggetti che soddisfano entrambi i criteri nei settori coperti rientrano automaticamente nell'ambito di applicazione.

Le piccole e micro imprese possono essere designate se ritenute critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali.

Le autorità italiane mantengono poteri formali di designazione quando il rischio sistemico giustifica l'inclusione.

5. Quadro di classificazione dei soggetti in Italia

I soggetti sono classificati come:

• Entità essenziali — Soggette a vigilanza proattiva, comprese ispezioni e un monitoraggio strutturato della conformità.
• Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o criticità di conformità.

La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio richiedono una vigilanza rafforzata.

L'Italia adotta il modello di vigilanza a due livelli previsto dalla Direttiva all'interno del proprio quadro nazionale di sicurezza.

6. Requisiti di gestione del rischio di cybersicurezza in Italia

Il regime nazionale italiano è allineato al livello di riferimento della Direttiva per la gestione del rischio di cybersicurezza. Le entità rientranti nell'ambito di applicazione devono implementare misure tecniche e organizzative proporzionate che riguardino:

• Analisi del rischio e protezione dei sistemi
• Rilevamento e risposta agli incidenti
• Continuità operativa e gestione delle crisi
• Controlli dei rischi della catena di fornitura NIS2 in Italia
• Acquisizione e sviluppo sicuri dei sistemi ICT
• Controllo degli accessi e gestione delle identità
• Cifratura e misure di salvaguardia crittografiche
• Procedure di gestione delle vulnerabilità
• Formazione del personale sulla cybersicurezza

Le misure devono riflettere lo stato dell'arte e l'esposizione al rischio dell'organizzazione. Il Quadro Nazionale per la Cybersicurezza e la Protezione dei Dati italiano (allineato a NIST CSF 2.0) e la determina attuativa dell'ACN dell'aprile 2025 definiscono le misure di sicurezza minime, con l'Allegato 1 applicabile ai soggetti importanti e l'Allegato 2 ai soggetti essenziali. È accettata anche la ISO/IEC 27001. La piena conformità alle misure di sicurezza è richiesta entro il 1° ottobre 2026.

La supervisione della catena di fornitura comprende la due diligence dei fornitori e clausole contrattuali in materia di cybersicurezza. I soggetti devono identificare annualmente i propri fornitori NIS rilevanti attraverso la piattaforma dell'ACN.

7. Responsabilità del management e governance in Italia

Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cybersicurezza e supervisionarne l'attuazione.

Nel quadro normativo italiano:

• Gli organi di gestione sono responsabili della vigilanza sulla conformità.
• La direzione apicale deve garantire adeguate competenze in materia di cybersicurezza.
• Le sanzioni amministrative possono essere applicate in caso di carenze di governance.
• La sospensione temporanea delle funzioni gestionali può essere prevista nell'ambito di meccanismi di applicazione allineati alla Direttiva.

Le aspettative italiane sulla responsabilità del management ai sensi della NIS2 elevano la governance della cybersicurezza a responsabilità a livello esecutivo.

8. Obblighi di notifica degli incidenti in Italia

9. Autorità di vigilanza e modello di applicazione in Italia

Autorità principale: Agenzia per la cybersicurezza nazionale (ACN).

L'Italia adotta un modello di vigilanza centralizzato, coordinato dall'ACN, con il coinvolgimento delle autorità settoriali ove necessario.

I poteri di vigilanza includono:

• Richieste di informazioni e documentazione
• Audit di sicurezza
• Ispezioni in loco
• Istruzioni vincolanti in materia di conformità
• Partecipazione ai meccanismi di coordinamento dell'UE in materia di cybersicurezza

La struttura di applicazione è allineata ai requisiti di cooperazione previsti a livello di Direttiva.

10. Sanzioni e ammende NIS2 in Italia

L'Italia applica sanzioni amministrative allineate alla Direttiva.

L'applicazione delle sanzioni NIS2 in Italia può includere anche:

• Ordini vincolanti di misure correttive
• Identificazione pubblica delle entità non conformi
• Sospensione di autorizzazioni o certificazioni
• Poteri di sospensione dei dirigenti

La responsabilità penale si applica solo ove espressamente prevista dalla legislazione italiana.

11. NIS2: sicurezza della catena di fornitura e dei fornitori in Italia

Le entità devono gestire l'esposizione al rischio di cybersicurezza derivante da terze parti attraverso:

• Valutazioni del rischio dei fornitori
• Clausole contrattuali di sicurezza a cascata
• Monitoraggio continuo dei fornitori ICT
• Analisi del rischio di concentrazione
• Mitigazione della propagazione degli incidenti

L'approccio dell'Italia è allineato alle aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

12. Obblighi di registrazione e di autoidentificazione in Italia

Le entità rientranti nell'ambito di applicazione devono:

• Registrarsi presso l'ACN tramite il portale digitale dedicato durante la finestra annuale di registrazione (1° gennaio – 28 febbraio). La prima finestra di registrazione (1° dicembre 2024 – 28 febbraio 2025) e la scadenza anticipata per i fornitori di infrastrutture digitali (17 gennaio 2025) sono già scadute.
• Fornire i dati di identificazione del soggetto
• Comunicare la classificazione settoriale
• Mantenere aggiornati i contatti per le notifiche

L'ACN pubblica entro il 31 marzo di ogni anno l'elenco dei soggetti inclusi nell'ambito di applicazione e li notifica entro il 15 aprile. La finestra annuale di aggiornamento va dal 15 aprile al 31 maggio (estesa al 31 luglio per il primo anno, 2025). Dal 2026 i soggetti dovranno inoltre comunicare le proprie attività/servizi e i fornitori NIS rilevanti tra il 1° maggio e il 30 giugno.

L'autoidentificazione è obbligatoria quando i soggetti soddisfano le soglie di legge. La clausola di salvaguardia per le controllate di gruppo indipendenti sotto il profilo ICT può inoltre essere richiesta tramite la piattaforma dell'ACN al momento della registrazione.

13. Interazione con il GDPR e altre leggi in Italia

Il Regolamento generale sulla protezione dei dati continua a trovare applicazione in parallelo.

Gli ambiti di sovrapposizione includono:

• Notifica di violazione dei dati personali entro 72 ore
• Coordinamento tra autorità di controllo
• Indagini parallele in materia di cybersicurezza e protezione dei dati
• Normativa italiana sulla cybersicurezza specifica di settore

Un incidente informatico può comportare obblighi di notifica in entrambi i regimi.

14. Applicabilità transfrontaliera

Le entità con la sede principale in Italia sono soggette alla vigilanza delle autorità italiane per i servizi transfrontalieri.

I fornitori digitali stranieri che offrono servizi in Italia possono essere soggetti a obblighi nazionali a seconda della struttura di stabilimento.

I requisiti di rappresentanza seguono gli standard della Direttiva per i fornitori non UE che operano sul mercato italiano.

15. Tempistica di attuazione in Italia

• Adozione della Direttiva: 2022
• Modifiche legislative nazionali: D.Lgs. 138/2024 (Gazzetta Ufficiale 1° ottobre 2024); DPCM 221/2024 (in vigore dall'11 febbraio 2025); determina attuativa dell'ACN dell'aprile 2025; Quadro Nazionale per la Cybersicurezza e la Protezione dei Dati (aggiornamento 2025, allineato a NIST CSF 2.0)
• Entrata in vigore: 16 ottobre 2024 (nessun periodo transitorio; conformità per fasi)
• Notifica alla Commissione: Pienamente notificata alla Commissione europea; non destinataria di alcun parere motivato pendente
• Tappe di conformità: Scadenza di registrazione 28 febbraio 2025 (scaduta); fornitori di infrastrutture digitali 17 gennaio 2025 (scaduta); notifica degli incidenti dal 1° gennaio 2026; aggiornamenti informativi annuali 15 aprile – 31 maggio; attività e fornitori 1° maggio – 30 giugno; piena conformità alle misure di sicurezza entro il 1° ottobre 2026

Il recepimento dell'Italia è stato completato il 16 ottobre 2024. Sebbene le prime scadenze di registrazione siano già passate, la prossima tappa fondamentale è la piena conformità alle misure di sicurezza definite dall'ACN entro il 1° ottobre 2026. La notifica obbligatoria degli incidenti all'ACN/CSIRT Italia è in vigore dal 1° gennaio 2026.

16. Punti chiave per le PMI in Italia

• I soggetti di medie dimensioni dei settori coperti rientrano automaticamente nell'ambito di applicazione. L'ambito italiano si estende oltre il minimo della Direttiva tramite gli Allegati III e IV nazionali; le controllate di gruppo con indipendenza ICT possono richiedere la clausola di salvaguardia attraverso la piattaforma dell'ACN.
• I piccoli soggetti possono essere designati se critici per la stabilità nazionale o economica.
• La supervisione della governance a livello di consiglio di amministrazione è obbligatoria.
• La notifica degli incidenti segue scadenze di 24h / 72h / 1 mese. La notifica obbligatoria degli incidenti all'ACN/CSIRT Italia è in vigore dal 1° gennaio 2026.
• Le sanzioni economiche possono arrivare a 10 milioni di € o al 2% del fatturato globale.
• È richiesta la gestione del rischio fornitori.
• Una pianificazione anticipata della conformità è essenziale: la piena conformità alle misure di sicurezza definite dall'ACN è richiesta entro il 1° ottobre 2026, mentre le registrazioni e gli aggiornamenti informativi annuali devono essere effettuati tra gennaio e maggio attraverso il portale dell'ACN.

FAQ: Guida NIS2 per le PMI in Italia