Ultimo aggiornamento: 22 aprile 2026 · Testi registrati: 7 · Ambito: Italia e Unione Europea
Informazioni su questa pagina. Questo registro raccoglie i testi legislativi e regolamentari vigenti che disciplinano la cybersicurezza NIS2 in Italia, ossia la direttiva (UE) 2022/2555 e il decreto legislativo di recepimento n. 138/2024, nonché le determinazioni e i portali ufficiali dell'Agenzia per la Cybersicurezza Nazionale (ACN). Ogni voce rimanda direttamente alla fonte primaria.
Principio editoriale: non parafrasiamo, rimandiamo. In caso di discrepanza tra la sintesi e il testo ufficiale prevale il testo ufficiale. Questa pagina viene aggiornata alla pubblicazione di ogni nuovo atto in Gazzetta Ufficiale della Repubblica Italiana o nell'Amtsblatt dell'Unione Europea.
Direttiva fondante (Unione Europea)
La direttiva NIS2 è il quadro europeo armonizzato di cybersicurezza che sostituisce la direttiva NIS1 del 2016 (2016/1148) e ne rafforza in modo significativo gli obblighi.
| Riferimento ufficiale | Data | Oggetto | Fonte primaria |
|---|---|---|---|
| Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio | 14 dicembre 2022 | Direttiva relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, che abroga la direttiva 2016/1148 (NIS1). Definisce le categorie di soggetti essenziali e importanti, dieci ambiti di misure tecniche e organizzative, obblighi di notifica degli incidenti significativi, sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. | EUR-Lex — Direttiva (UE) 2022/2555 |
Recepimento italiano
L'Italia ha recepito la direttiva NIS2 con il decreto legislativo n. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il decreto ha abrogato il precedente D.Lgs. 65/2018 che recepiva la direttiva NIS1.
| Riferimento ufficiale | Data | Oggetto | Fonte primaria |
|---|---|---|---|
| Decreto Legislativo 4 settembre 2024, n. 138 | Emanato il 4 settembre 2024 — pubblicato in Gazzetta Ufficiale Serie Generale n. 230 del 1° ottobre 2024 — in vigore dal 16 ottobre 2024 | Attuazione della direttiva (UE) 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione. Abroga il D.Lgs. n. 65/2018 (recepimento NIS1). Definisce soggetti essenziali e importanti in Italia, obblighi in 10 ambiti di sicurezza, processo di notifica incidenti, responsabilità degli organi di amministrazione, sanzioni. | Gazzetta Ufficiale — D.Lgs. 138/2024 |
Autorità nazionale competente — Agenzia per la Cybersicurezza Nazionale (ACN)
L'ACN è l'Autorità nazionale competente NIS ai sensi dell'articolo 8, paragrafo 1, della direttiva (UE) 2022/2555. Gestisce la piattaforma di registrazione dei soggetti e pubblica determinazioni, linee guida e FAQ.
| Fonte | Natura | Oggetto | Link |
|---|---|---|---|
| ACN — La normativa NIS | Portale ufficiale | Pagina principale dell'Agenzia per la Cybersicurezza Nazionale sulla normativa NIS: riferimenti al decreto, ai regolamenti di attuazione e alle determinazioni dell'Agenzia. | ACN — La normativa NIS |
| ACN — Determinazione piattaforma NIS 2024 | Determinazione del Direttore generale | Determinazione del Direttore generale dell'ACN relativa alla piattaforma digitale di registrazione dei soggetti NIS (2024, protocollo 38565). | ACN — Determinazione 2024 (PDF) |
| ACN — Determinazione piattaforma NIS 2025 | Determinazione del Direttore generale | Seconda determinazione del Direttore generale dell'ACN relativa alla piattaforma e ai processi operativi (2025, protocollo 136117). | ACN — Determinazione 2025 (PDF) |
| ACN — FAQ NIS (profili generali e ambito) | FAQ ufficiali | Domande frequenti pubblicate dall'ACN su ambito di applicazione, soggetti tenuti, registrazione e aggiornamento continuo. Risposte vincolanti sulla prassi dell'Autorità. | ACN — FAQ NIS |
| ACN — Portale NIS | Portale ufficiale | Pagina di accesso principale alla sezione NIS del sito ACN, con link alla piattaforma di registrazione, alle FAQ e ai documenti ufficiali. | ACN — Portale NIS |
Calendario di applicazione
| Data | Evento | Fondamento |
|---|---|---|
| 14 dicembre 2022 | Adozione della direttiva (UE) 2022/2555 da parte di Parlamento europeo e Consiglio | Direttiva (UE) 2022/2555 |
| 17 ottobre 2024 | Termine di recepimento per gli Stati membri (ex art. 41 della direttiva) | Art. 41 Direttiva (UE) 2022/2555 |
| 1° ottobre 2024 | Pubblicazione in Gazzetta Ufficiale italiana del D.Lgs. 138/2024 | G.U. S.G. n. 230 |
| 16 ottobre 2024 | Entrata in vigore del D.Lgs. 138/2024 — abrogazione del D.Lgs. 65/2018 | D.Lgs. 138/2024 |
| 1° dicembre 2024 | Apertura della piattaforma di registrazione ACN: tutti i soggetti pubblici e privati nel campo di applicazione devono registrarsi | Determinazione ACN 2024 |
Registro degli aggiornamenti
22 aprile 2026: pubblicazione iniziale del registro con 7 riferimenti ufficiali (1 direttiva UE, 1 decreto legislativo di recepimento, 5 fonti ACN tra portale e determinazioni), più un calendario consolidato.
Metodologia e avvertenze
Questo registro è compilato sulla base delle seguenti fonti primarie: EUR-Lex (Ufficio delle pubblicazioni dell'Unione europea), Gazzetta Ufficiale della Repubblica Italiana, Agenzia per la Cybersicurezza Nazionale (ACN). Tutte le sintesi sono strettamente fattuali; non esprimono alcuna interpretazione giuridica e non possono sostituire la consultazione del testo ufficiale o il parere di un professionista qualificato (avvocato, consulente cybersicurezza, DPO).