Contrariamente a quanto si crede, la NIS2 non riguarda solo le grandi imprese. Il D.Lgs. 138/2024 coinvolge anche molte PMI italiane, specialmente nei settori critici. Ecco i criteri di applicazione:
Soggetti Essenziali (vigilanza proattiva, sanzioni massime)
- Energia (produzione, trasmissione, distribuzione)
- Trasporti (aereo, ferroviario, acquatico, stradale)
- Settore bancario e infrastrutture dei mercati finanziari
- Sanitario (ospedali, laboratori, produttori di dispositivi medici critici)
- Infrastrutture digitali (DNS, cloud, data center, CDN, TLD)
- Acqua potabile e acque reflue
- Pubblica amministrazione centrale e regionale
- Spazio
Soglie dimensionali per soggetti essenziali: aziende con 250+ dipendenti o fatturato > 50M€ annuo in questi settori.
Soggetti Importanti (vigilanza reattiva, sanzioni ridotte)
- Servizi postali e di corriere
- Gestione rifiuti
- Fabbricazione di prodotti chimici
- Produzione, trasformazione e distribuzione alimentare
- Fabbricazione (dispositivi medici, computer, elettronica, macchinari, veicoli)
- Fornitori di servizi digitali (marketplace, motori di ricerca, social network)
Soglie: aziende con 50–249 dipendenti o fatturato 10–50M€ nei settori coperti. Attenzione: anche aziende più piccole possono rientrare se designate come critiche dall'ACN.
| Violazione | Soggetti Essenziali | Soggetti Importanti |
|---|---|---|
| Mancata registrazione piattaforma ACN | Fino a 50.000 € | Fino a 50.000 € |
| Mancata notifica incidente entro 24h/72h | Fino a 10M€ o 2% fatturato | Fino a 7M€ o 1,4% fatturato |
| Misure di sicurezza inadeguate | Fino a 10M€ o 2% fatturato | Fino a 7M€ o 1,4% fatturato |
| Mancata cooperazione con ACN | Fino a 10M€ o 2% fatturato | Fino a 7M€ o 1,4% fatturato |
| Sospensione temporanea servizi critici | Applicabile | Applicabile in casi gravi |
| Pubblicazione violazione (reputazionale) | Sì (ACN pubblica) | Sì (ACN pubblica) |
| Sospensione dirigente dalle funzioni | Sì | Sì |
Regola chiave: si applica sempre l'importo più elevato tra la cifra fissa e la percentuale del fatturato. Per un'azienda con 500M€ di fatturato mondiale, il 2% equivale a 10M€ — ovvero lo stesso del tetto massimo. Per un'azienda con 1 miliardo, il 2% supera il tetto: si applicherebbe il 2%.
L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità competente per l'applicazione della NIS2 in Italia. Il processo sanzionatorio segue questi passi:
- Rilevazione della violazione: Può avvenire tramite ispezione periodica (soggetti essenziali), segnalazione di terzi, o incidente notificato (o non notificato entro i termini)
- Avviso di avvio del procedimento: L'azienda riceve comunicazione formale con indicazione della violazione ipotizzata
- Termine per controdeduzioni: L'azienda ha 30 giorni per presentare memorie difensive e documentare le misure adottate
- Decisione dell'ACN: Il Direttore Generale dell'ACN adotta il provvedimento sanzionatorio con eventuale ordine di conformità
- Ricorso: Possibile ricorso al TAR Lazio entro 60 giorni dalla notifica del provvedimento
Fattori attenuanti che l'ACN considera
- Cooperazione tempestiva durante il procedimento
- Adozione di misure correttive prima della decisione
- Assenza di precedenti violazioni
- Dimensione dell'azienda e disponibilità di risorse
- Danno effettivo causato dall'incidente
La domanda che preoccupa molte PMI: NIS2 e GDPR possono applicarsi contemporaneamente?
| Normativa | Autorità | Sanzione massima | Caso tipico per PMI |
|---|---|---|---|
| NIS2 (D.Lgs. 138/2024) | ACN | 10M€ o 2% fatturato | Mancata notifica incidente entro 24h |
| GDPR (Reg. 2016/679) | Garante Privacy | 20M€ o 4% fatturato | Data breach con dati personali |
Un data breach che espone dati personali può contemporaneamente:
- Violare la NIS2 (mancata protezione sistemi + mancata notifica CSIRT)
- Violare il GDPR (mancata protezione dati + mancata notifica Garante entro 72h)
L'azienda potrebbe ricevere sanzioni da entrambe le autorità. Il D.Lgs. 138/2024 prevede un coordinamento ACN-Garante per evitare duplicazioni sproporzionate, ma la doppia sanzione resta possibile teoricamente.
- Verificare se si rientra nei soggetti obbligati — Utilizzare il tool di autodiagnosi su agenzia.digitale o consultare un consulente NIS2
- Registrarsi sulla piattaforma ACN — La scadenza originaria era marzo 2025: se non ancora fatto, farlo immediatamente per evitare la sanzione base di 50.000 €
- Eseguire un risk assessment formale — ISO 27001 o Framework ACN come riferimento. Documentare ogni rischio identificato
- Implementare le misure tecniche minime: MFA su tutti i sistemi critici, backup testato (3-2-1 rule), patch management, endpoint protection, segmentazione di rete
- Predisporre un piano di risposta agli incidenti — Con procedura scritta per rispettare i termini 24h/72h/1 mese
- Testare il piano — Almeno un esercizio tabletop annuale, documentato con verbale
- Far approvare le misure al CdA — Con delibera formale. I dirigenti devono seguire formazione specifica
- Valutare la supply chain — Clausole di sicurezza nei contratti con fornitori critici
- Formare il personale — Training annuale documentato su phishing, gestione password, segnalazione incidenti
- Monitorare le scadenze ACN — Compliance completa richiesta entro ottobre 2026