NIS2 e Cybersicurezza

Sanzioni NIS2: Multe, Responsabilita e Come Evitarle

Pubblicato il 2026-03-27 5 min di lettura Di Redazione NIS2 Italia

Quando l'Unione Europea ha progettato il regime sanzionatorio della Direttiva NIS2, ha preso a modello il GDPR — e chi ha vissuto le prime sanzioni del Garante Privacy sa cosa questo significhi. Le multe NIS2 sono pensate per essere realmente dissuasive, calibrate sul fatturato aziendale, e accompagnate da una novita assoluta: la possibilita di sospendere i dirigenti dalle loro funzioni.

Il messaggio del legislatore e chiaro: la cybersicurezza non e piu un'opzione, ma un obbligo di legge con conseguenze concrete per chi lo ignora. Vediamo nel dettaglio cosa prevede il D.Lgs. 138/2024 in materia di sanzioni e come strutturare un percorso di compliance che protegga l'azienda e i suoi vertici.

Il quadro sanzionatorio NIS2 in Italia

Il decreto di recepimento italiano prevede un sistema di sanzioni articolato su piu livelli, che tiene conto della natura del soggetto (essenziale o importante), della gravita della violazione e del grado di cooperazione con l'autorita.

Tipo di violazioneSoggetti EssenzialiSoggetti Importanti
Mancata adozione misure di sicurezza (art. 24)Fino a 10M EUR o 2% fatturato mondialeFino a 7M EUR o 1,4% fatturato mondiale
Mancata notifica incidente al CSIRTFino a 10M EUR o 2% fatturato mondialeFino a 7M EUR o 1,4% fatturato mondiale
Mancata registrazione piattaforma ACNFino a 10M EUR o 2% fatturato mondialeFino a 7M EUR o 1,4% fatturato mondiale
Violazione obblighi di governanceSospensione dirigenti + sanzione pecuniariaSanzione pecuniaria
Mancata cooperazione con ACNAggravante sulla sanzione baseAggravante sulla sanzione base
Omessa formazione dirigentiSanzione proporzionataSanzione proporzionata
Nota importante Le sanzioni si applicano per ciascuna violazione accertata. Un'azienda che non ha implementato le misure di sicurezza E non ha provveduto alla registrazione ACN E non ha formato i dirigenti potrebbe ricevere sanzioni cumulative.

Responsabilita personale dei dirigenti

La novita piu dirompente della NIS2 e la responsabilita personale degli organi di amministrazione e direzione. L'articolo 23 del D.Lgs. 138/2024 stabilisce che i dirigenti che non adempiono ai loro obblighi di supervisione possono subire:

  • Sospensione temporanea dalle funzioni — L'ACN puo disporre l'inibizione temporanea di un dirigente dall'esercizio delle funzioni direttive
  • Responsabilita civile — I dirigenti possono essere chiamati a risarcire i danni causati dalla mancata adozione delle misure di sicurezza
  • Pubblicazione del provvedimento — La sanzione puo essere resa pubblica, con evidente danno reputazionale personale

Questo significa che un amministratore delegato o un membro del CdA non puo piu trincerarsi dietro l'ignoranza tecnica. La legge richiede che i dirigenti siano formati, informati e attivamente coinvolti nelle decisioni sulla cybersicurezza. Delegare tutto al responsabile IT senza supervisionare non e piu sufficiente.

Come vengono calcolate le sanzioni

L'ACN applica le sanzioni tenendo conto di diversi fattori, seguendo un approccio simile a quello del GDPR:

  1. Gravita della violazione — Quante misure obbligatorie sono state omesse? L'omissione era totale o parziale?
  2. Durata — Da quanto tempo la violazione era in essere? L'azienda era stata gia avvertita?
  3. Precedenti — L'azienda ha gia ricevuto sanzioni o ammonimenti dall'ACN?
  4. Danno causato — La violazione ha contribuito a un incidente? Quali sono stati gli impatti su terzi?
  5. Cooperazione — L'azienda ha collaborato con l'ACN durante l'ispezione? Ha cercato di rimediare?
  6. Proporzionalita — La sanzione e proporzionata alla dimensione e alla capacita economica dell'azienda

Confronto con le sanzioni GDPR: cosa possiamo aspettarci

Per farci un'idea di come l'Italia potrebbe applicare le sanzioni NIS2, e utile guardare ai precedenti GDPR. Il Garante Privacy italiano ha irrogato sanzioni significative:

CasoSanzioneAnno
TIM (Telecom Italia)27,8 milioni EUR2020
Enel Energia26,5 milioni EUR2021
Clearview AI20 milioni EUR2022
Douglas Italia1,4 milioni EUR2024
ASL Napoli (data breach)75.000 EUR2023

Se l'ACN seguira un approccio altrettanto rigoroso — e tutto lascia pensare che lo fara — le prime sanzioni NIS2 saranno probabilmente esemplari per dare un segnale forte al mercato. Le aziende che si adeguano in ritardo pagheranno un prezzo molto piu alto di quelle che investono ora nella compliance.

Poteri ispettivi dell'ACN

L'ACN dispone di poteri ispettivi ampi per verificare la compliance NIS2. Per i soggetti essenziali, la supervisione e ex ante — l'ACN puo effettuare controlli anche in assenza di incidenti. Per i soggetti importanti, la supervisione e ex post — le verifiche scattano tipicamente dopo un incidente o una segnalazione.

I poteri includono: ispezioni in loco, audit di sicurezza, richiesta di documentazione e prove di conformita, scansioni di sicurezza mirate, richiesta di informazioni specifiche entro termini stringenti. Rifiutarsi di cooperare o ostacolare un'ispezione costituisce un'aggravante.

Come evitare le sanzioni: un percorso concreto

La buona notizia e che le sanzioni NIS2 sono evitabili al 100% con un percorso di adeguamento serio e documentato. L'ACN non sanziona chi si sta adeguando in buona fede, ma chi non ha fatto nulla o chi ha cercato di aggirare la normativa.

  1. Registrati subito sulla piattaforma ACN — Se non l'hai ancora fatto, e la prima cosa da fare. La mancata registrazione e la violazione piu facile da contestare.
  2. Nomina un responsabile cybersicurezza — Un CISO interno o esterno che coordini il percorso. Per le PMI, consulta un commercialista online per la corretta configurazione contrattuale.
  3. Fai una gap analysis documentata — Dimostra che hai valutato la situazione e identificato le lacune. Anche se non sei ancora conforme, avere un piano e gia un elemento attenuante.
  4. Implementa le misure prioritarie — MFA, backup, gestione patch, piano incident response. Queste quattro misure coprono la maggior parte dei rischi. Approfondisci nella guida sulla sicurezza informatica per aziende.
  5. Forma i dirigenti — Organizza sessioni formative per il CdA. Anche un workshop di mezza giornata e sufficiente per soddisfare l'obbligo iniziale.
  6. Documenta tutto — Ogni azione, ogni decisione, ogni investimento. In caso di ispezione, la documentazione e la tua migliore difesa.
  7. Pianifica il percorso completo — Definisci milestone, budget e responsabilita per raggiungere la compliance entro ottobre 2026.
Circostanze attenuanti L'ACN tiene conto delle azioni correttive intraprese spontaneamente dall'azienda. Un percorso di adeguamento documentato, anche se non ancora completato, e un forte elemento attenuante in caso di ispezione.

L'assicurazione cyber: una rete di sicurezza aggiuntiva

Sempre piu aziende italiane stanno sottoscrivendo polizze di cyber insurance per coprire i rischi residui. Attenzione pero: le polizze generalmente non coprono le sanzioni amministrative (come le multe NIS2), ma possono coprire i costi di gestione dell'incidente, la responsabilita verso terzi e il fermo operativo.

Curiosamente, molti assicuratori stanno usando la compliance NIS2 come criterio per la sottoscrizione: le aziende conformi ottengono premi piu bassi. Un motivo in piu per adeguarsi rapidamente.

Cosa fare se ricevi un'ispezione ACN

Se l'ACN avvia un procedimento ispettivo nei confronti della tua azienda, ecco le regole d'oro:

  • Coopera pienamente — La cooperazione e un fattore attenuante, l'ostruzione un aggravante
  • Coinvolgi subito un legale specializzato — Preferibilmente con esperienza in cybersecurity law
  • Prepara la documentazione — Risk assessment, misure implementate, piano di miglioramento, verbali CdA
  • Non mentire e non nascondere — Meglio ammettere una lacuna che essere scoperti a nasconderla
  • Dimostra il percorso — Se non sei ancora conforme, mostra che hai un piano credibile con tempistiche realistiche

Domande Frequenti

Le sanzioni NIS2 possono essere cumulate con quelle GDPR?
Si, e questo e uno scenario concreto. Un data breach puo violare simultaneamente la NIS2 (mancata protezione dei sistemi e mancata notifica al CSIRT) e il GDPR (mancata protezione dei dati personali e mancata notifica al Garante). In questo caso, l'azienda potrebbe ricevere sanzioni da entrambe le autorita. Tuttavia, il D.Lgs. 138/2024 prevede un coordinamento tra ACN e Garante per evitare duplicazioni sproporzionate.
Un dirigente puo essere sanzionato personalmente anche se l'azienda e in regola?
La responsabilita personale dei dirigenti scatta quando gli obblighi di governance non sono stati rispettati: mancata approvazione delle misure di sicurezza, mancata supervisione, mancata formazione. Se l'azienda e sostanzialmente conforme e il dirigente ha adempiuto ai suoi obblighi di supervisione, la responsabilita personale non dovrebbe scattare. La chiave e documentare il coinvolgimento attivo del CdA.
Esiste un periodo di grazia prima che le sanzioni diventino effettive?
Il D.Lgs. 138/2024 e entrato in vigore il 16 ottobre 2024, ma il regime sanzionatorio pieno si applica progressivamente. Le prime sanzioni per mancata registrazione potevano scattare dal marzo 2025. L'obbligo di notifica incidenti e operativo da ottobre 2025. La compliance completa e richiesta entro ottobre 2026. L'ACN ha dichiarato che nei primi mesi adottera un approccio di accompagnamento, ma dalla seconda meta del 2026 le sanzioni saranno a pieno regime.

Articoli Correlati

ACN: Ruolo e Funzioni dell'Autorita Nazionale per la Cybersicurezza
3 min di lettura
Audit di Cybersecurity: Come Valutare la Sicurezza della Tua Azienda
2 min di lettura
Backup e Disaster Recovery: Strategie per la Continuita Aziendale
3 min di lettura