Il D.Lgs. 138/2024 ha recepito la Direttiva NIS2 (2022/2555) nell'ordinamento italiano, introducendo un sistema sanzionatorio a piu livelli che distingue tra soggetti essenziali e soggetti importanti.
La differenza non e accademica: determina l'entita massima delle sanzioni e l'intensita della vigilanza da parte dell'ACN.
| Parametro | Soggetti Essenziali | Soggetti Importanti |
|---|---|---|
| Sanzione massima | 10 milioni € o 2% fatturato mondiale | 7 milioni € o 1,4% fatturato mondiale |
| Regime di vigilanza | Proattivo (ispezioni periodiche) | Reattivo (ispezioni dopo incidente/segnalazione) |
| Obbligo notifica incidenti | 24 ore (preallarme) + 72 ore (notifica completa) | 24 ore + 72 ore (identico) |
| Responsabilita dirigenti | Si, con sospensione possibile | Si, con sospensione possibile |
Nota importante: si applica sempre l'importo piu elevato tra la cifra fissa e la percentuale del fatturato. Per una grande azienda con fatturato mondiale di 1 miliardo di euro, il 2% equivale a 20 milioni, ben superiore al tetto di 10 milioni. In quel caso, si applica il 2%.
1. Sanzioni Pecuniarie (Multe)
Le multe sono calcolate in base alla gravita della violazione, alla sua durata, al numero di utenti colpiti, e alla cooperazione dell'azienda con l'ACN durante le indagini.
| Violazione | Sanzione Indicativa | Note |
|---|---|---|
| Mancata registrazione sulla piattaforma ACN | Fino a 50.000 € | Scadenza gia passata (marzo 2025) |
| Mancata notifica di incidente significativo | Fino a 2% fatturato (essenziali) | Obbligo di preallarme entro 24 ore |
| Inadeguatezza delle misure di sicurezza | Fino a 2% fatturato (essenziali) | Valutata rispetto alle best practice (ISO 27001, NIST) |
| Mancata cooperazione durante ispezione ACN | Fino a 10 milioni € | Aggravante significativa |
| Mancata formazione del personale | Da definire (regolamento attuativo) | L'art. 23 del D.Lgs. impone formazione obbligatoria |
Un aspetto che molte aziende sottovalutano: la mancata notifica di un incidente puo costare piu dell'incidente stesso. Anche se il data breach causa danni limitati, non notificarlo entro 24 ore al CSIRT Italia configura una violazione autonoma con sanzione potenzialmente milionaria.
2. Sanzioni Amministrative Non Pecuniarie
Oltre alle multe, l'ACN puo imporre misure amministrative che, per molte aziende, sono piu temibili del danno economico diretto:
- Ordine di conformita con termine perentorio — obbligo di adeguarsi entro una scadenza specifica, pena ulteriori sanzioni
- Audit obbligatorio a spese dell'azienda — l'ACN ordina una verifica indipendente delle misure di sicurezza, con costi che possono raggiungere le decine di migliaia di euro
- Pubblicazione della violazione — il nome dell'azienda e la natura della violazione vengono resi pubblici. Il danno reputazionale puo superare di gran lunga la multa.
- Sospensione temporanea dei servizi — per i soggetti essenziali, l'ACN puo ordinare la sospensione di un servizio se rappresenta un rischio imminente per la sicurezza
3. Responsabilita Personale dei Dirigenti
Questa e la novita piu significativa rispetto alla NIS1. La NIS2, recepita dal D.Lgs. 138/2024, introduce una responsabilita diretta e personale degli organi di amministrazione e direzione.
Cosa significa in pratica:
- Il CdA (o l'amministratore unico) deve approvare formalmente le misure di gestione del rischio cybersecurity
- I dirigenti devono seguire formazione specifica in materia di cybersecurity
- La supervisione dell'attuazione delle misure e responsabilita diretta del management
- In caso di violazione, l'ACN puo disporre la sospensione temporanea del dirigente dalle sue funzioni
Non basta delegare al CISO o al responsabile IT. Se il CdA non ha approvato le misure, non ha partecipato alla formazione, e non ha documentato la supervisione, i singoli membri rispondono personalmente.
La classificazione determina l'intensita delle sanzioni e della vigilanza. Ecco i criteri principali:
Soggetti Essenziali
- Aziende nei settori ad alta criticita: energia, trasporti, bancario, sanitario, infrastrutture digitali, acqua potabile, gestione acque reflue, amministrazione pubblica, spazio
- Grandi imprese (250+ dipendenti o fatturato > 50M€) in qualsiasi settore coperto
- Fornitori di servizi DNS, registri TLD, servizi cloud, data center, CDN
- Fornitori di servizi di comunicazione elettronica pubblica
Soggetti Importanti
- Aziende nei settori altri settori critici: servizi postali, gestione rifiuti, fabbricazione prodotti chimici, produzione alimentare, fabbricazione dispositivi medici, ricerca
- Medie imprese (50-249 dipendenti o fatturato 10-50M€) nei settori coperti
- Marketplace online, motori di ricerca, piattaforme social
Attenzione: anche aziende piu piccole possono rientrare se identificate come critiche dall'ACN. La dimensione non e l'unico criterio.
| Normativa | Sanzione Massima | Autorita Competente | Responsabilita Personale |
|---|---|---|---|
| NIS2 (D.Lgs. 138/2024) | 10M€ o 2% fatturato mondiale | ACN | Si (sospensione dirigenti) |
| GDPR (Reg. 2016/679) | 20M€ o 4% fatturato mondiale | Garante Privacy | Limitata (responsabile trattamento) |
| DORA (Reg. 2022/2554) | Variabile per Stato membro | Autorita finanziarie | Si (per enti finanziari) |
La domanda che tutti si pongono: le sanzioni NIS2 e GDPR possono cumularsi?
Si. Un data breach puo violare simultaneamente:
- La NIS2 (mancata protezione dei sistemi + mancata notifica al CSIRT)
- Il GDPR (mancata protezione dei dati personali + mancata notifica al Garante)
L'azienda potrebbe ricevere sanzioni da entrambe le autorita. Il D.Lgs. 138/2024 prevede un coordinamento tra ACN e Garante Privacy per evitare duplicazioni sproporzionate, ma la possibilita di doppia sanzione esiste ed e concreta. In teoria, un singolo incidente potrebbe costare fino al 6% del fatturato mondiale (2% NIS2 + 4% GDPR).
L'Agenzia per la Cybersicurezza Nazionale dispone di poteri ispettivi ampi:
Per i Soggetti Essenziali (Vigilanza Proattiva)
- Ispezioni periodiche programmate (anche senza incidente)
- Audit di sicurezza regolari
- Richiesta di documentazione tecnica e organizzativa
- Scansioni di vulnerabilita sui sistemi esposti
- Verifica della catena di fornitura (terze parti critiche)
Per i Soggetti Importanti (Vigilanza Reattiva)
- Ispezioni attivate da incidente, segnalazione, o elemento di rischio
- Richiesta di auto-valutazione documentata
- Audit mirato su specifiche aree di rischio
In entrambi i casi, l'ACN puo richiedere accesso a:
- Documentazione delle misure di sicurezza adottate
- Registro degli incidenti e delle notifiche effettuate
- Evidenze della formazione del personale e dei dirigenti
- Contratti con fornitori e valutazione della supply chain
- Verbali delle riunioni del CdA in cui sono state approvate le misure di sicurezza
1. Completare la Registrazione ACN (se non ancora fatto)
La scadenza per la registrazione sulla piattaforma ACN e gia passata (marzo 2025). Se la vostra azienda non si e ancora registrata, fatelo immediatamente. La mancata registrazione e la violazione piu facile da accertare e sanzionare.
2. Implementare un Framework di Gestione del Rischio
L'articolo 24 del D.Lgs. 138/2024 richiede misure di gestione del rischio "proporzionate" e basate su un approccio multirischio. In pratica, significa adottare un framework riconosciuto:
- ISO 27001 — lo standard internazionale per i sistemi di gestione della sicurezza delle informazioni. La certificazione non e obbligatoria ma rappresenta la prova piu forte di compliance.
- NIST Cybersecurity Framework 2.0 — alternativa flessibile, particolarmente adatta alle PMI. La struttura Identify-Protect-Detect-Respond-Recover si allinea perfettamente ai requisiti NIS2.
- Framework Nazionale ACN — pubblicato dall'ACN stessa, e il riferimento piu diretto per la compliance italiana.
3. Strutturare la Notifica degli Incidenti
Il processo di notifica NIS2 e rigoroso e i tempi sono stretti:
- Entro 24 ore: preallarme al CSIRT Italia (segnalazione iniziale dell'incidente)
- Entro 72 ore: notifica completa con valutazione della gravita, impatto, e misure adottate
- Entro 1 mese: relazione finale dettagliata con analisi delle cause e lezioni apprese
Per rispettare questi tempi, serve un piano di risposta agli incidenti documentato, testato, e conosciuto da tutto il personale coinvolto. Le aziende che scoprono di non avere un piano nel momento in cui subiscono un attacco non riusciranno mai a notificare entro 24 ore.
4. Coinvolgere Formalmente il CdA
Per proteggersi dalla responsabilita personale, i dirigenti devono:
- Approvare formalmente (con delibera) le misure di gestione del rischio
- Documentare la partecipazione a sessioni di formazione cybersecurity
- Richiedere e verbalizzare report periodici sullo stato della sicurezza
- Allocare budget specifico per la cybersecurity (dimostrabile)
5. Gestire la Supply Chain
La NIS2 estende la responsabilita alla catena di fornitura. Le aziende devono:
- Valutare la postura di sicurezza dei fornitori critici
- Includere clausole di cybersecurity nei contratti
- Monitorare continuamente i rischi della supply chain
- Avere piani di contingenza per il fallimento di un fornitore chiave
6. Investire nella Formazione
L'articolo 23 del D.Lgs. impone formazione obbligatoria sia per i dirigenti che per il personale. La formazione deve essere:
- Periodica (almeno annuale)
- Documentata (registro presenze, contenuti, test di verifica)
- Specifica per ruolo (i dirigenti hanno obblighi diversi dai tecnici)
- Aggiornata in base alle minacce emergenti
| Data | Obbligo | Stato |
|---|---|---|
| 16 ottobre 2024 | Entrata in vigore del D.Lgs. 138/2024 | Completato |
| Marzo 2025 | Scadenza registrazione piattaforma ACN | Completato (sanzioni per ritardatari) |
| Ottobre 2025 | Obbligo notifica incidenti operativo | In vigore |
| Aprile 2026 | Lista soggetti essenziali/importanti pubblicata dall'ACN | In corso |
| Ottobre 2026 | Compliance completa richiesta (misure tecniche e organizzative) | Scadenza imminente |
| 2027+ | Regime sanzionatorio a pieno regime, ispezioni sistematiche | In preparazione |
Il messaggio e chiaro: chi non ha ancora iniziato il percorso di compliance ha circa 6 mesi per mettersi in regola prima che le sanzioni entrino a pieno regime.
Rispondi a queste domande per valutare rapidamente la tua postura di compliance NIS2:
- La tua azienda e registrata sulla piattaforma ACN? (obbligo gia scaduto)
- Il CdA ha approvato formalmente le misure di cybersecurity? (verbale necessario)
- Esiste un piano di risposta agli incidenti testato? (simulazione documentata)
- I dirigenti hanno completato la formazione cybersecurity? (attestati richiesti)
- I fornitori critici sono stati valutati sulla sicurezza? (documentazione contrattuale)
- Esiste un processo di notifica incidenti che rispetta le 24/72 ore? (procedura scritta)
- Le misure di sicurezza sono proporzionate al rischio? (risk assessment formale)
- La formazione del personale e periodica e documentata? (registro aggiornato)
Se hai risposto 'no' a piu di due domande, la tua azienda e esposta a rischio sanzionatorio significativo. La buona notizia: la maggior parte di queste lacune puo essere colmata in 3-6 mesi con un approccio strutturato.