Direttiva NIS2

Direttiva (UE) 2022/2555 - Recepita in Italia con D.Lgs. 4 settembre 2024, n. 138

La Direttiva NIS2 stabilisce misure per un livello comune elevato di cybersicurezza nell'Unione Europea. Amplia il perimetro dei soggetti obbligati, introduce requisiti stringenti di gestione del rischio e obblighi di notifica incidenti, con sanzioni significative per le inadempienze.

D.Lgs. 138/2024 (GU)Piattaforma ACN

Scadenze e Timeline

14 Dicembre 2022

Pubblicazione Direttiva NIS2

La Direttiva (UE) 2022/2555 viene pubblicata nella Gazzetta Ufficiale dell'Unione Europea. Sostituisce la precedente Direttiva NIS (UE 2016/1148).

16 Gennaio 2023

Entrata in vigore

La Direttiva NIS2 entra ufficialmente in vigore. Gli Stati membri hanno 21 mesi per il recepimento nel diritto nazionale.

1 Ottobre 2024

Recepimento italiano (D.Lgs. 138/2024)

L'Italia recepisce la NIS2 con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1 ottobre 2024.

17 Ottobre 2024

Scadenza recepimento UE

Termine ultimo per tutti gli Stati membri per recepire la Direttiva NIS2 nel diritto nazionale.

1 Gennaio - 28 Febbraio 2025

Registrazione sulla piattaforma ACN

I soggetti che rientrano nel perimetro NIS2 devono registrarsi sulla piattaforma digitale dell'ACN (Agenzia per la Cybersicurezza Nazionale).

Aprile 2025

ACN redige elenco soggetti NIS

L'ACN completa l'elenco dei soggetti essenziali e importanti, notificando l'inserimento o meno nell'elenco.

Entro Gennaio 2026In corso

Adempimenti obblighi di base

I soggetti NIS devono adempiere agli obblighi di notifica degli incidenti (art. 25 D.Lgs. 138/2024) e aggiornare le informazioni sulla piattaforma ACN.

Entro Ottobre 2026Prossima scadenza

Piena conformita

Termine per l'implementazione completa delle misure di sicurezza (art. 24 D.Lgs. 138/2024): gestione del rischio, supply chain, incident response, business continuity.

Chi deve adeguarsi

Soggetti Essenziali (Allegato I)

Energia

Elettricita, gas, petrolio, idrogeno, teleriscaldamento

Trasporti

Aereo, ferroviario, marittimo, stradale

Settore bancario

Enti creditizi, infrastrutture mercati finanziari

Sanita

Ospedali, laboratori, ricerca, produzione farmaceutica

Acqua potabile e reflue

Fornitura e distribuzione acqua, acque reflue

Infrastrutture digitali

DNS, TLD, cloud, data center, CDN, trust services

PA Centrale

Amministrazioni centrali dello Stato (esclusa Difesa e sicurezza)

Spazio

Operatori infrastrutture terrestri a supporto servizi spaziali

Soggetti Importanti (Allegato II)

Servizi postali e corrieri

Fornitori servizi postali e di corriere

Gestione rifiuti

Raccolta, trattamento, smaltimento rifiuti

Fabbricazione

Prodotti chimici, dispositivi medici, elettronica, macchinari, autoveicoli

Produzione alimentare

Produzione, trasformazione, distribuzione alimenti

Fornitori servizi digitali

Marketplace online, motori di ricerca, social network

Ricerca

Organizzazioni di ricerca

PA Locale

Comuni, Province, Citta metropolitane, Regioni (sopra soglie dimensionali)

Obblighi Principali

Governance e gestione del rischio

Gli organi di gestione devono approvare le misure di sicurezza e seguire formazione specifica. Approccio basato sul rischio per la protezione di reti e sistemi informativi.

Art. 23-24 D.Lgs. 138/2024

Misure di sicurezza

Politiche di analisi rischi, gestione incidenti, continuita operativa, sicurezza supply chain, crittografia, autenticazione multi-fattore, formazione personale.

Art. 24 D.Lgs. 138/2024

Notifica incidenti

Pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro 1 mese. Notifiche al CSIRT Italia tramite piattaforma ACN.

Art. 25 D.Lgs. 138/2024

Sicurezza della supply chain

Valutazione rischi legati ai fornitori diretti e ai prestatori di servizi. Clausole contrattuali di sicurezza e audit periodici.

Art. 24, comma 2, lett. e)

Procedura di Notifica Incidenti

24h

Pre-notifica

Entro 24 ore dalla conoscenza dell'incidente significativo. Comunicazione iniziale al CSIRT Italia con informazioni preliminari: tipo di incidente, impatto potenziale, sospetto di azione illecita.

72h

Notifica completa

Entro 72 ore dalla conoscenza dell'incidente. Aggiornamento con valutazione iniziale: gravita, impatto, indicatori di compromissione (IoC), eventuali impatti transfrontalieri.

Relazione finale

Entro 1 mese dalla notifica completa. Descrizione dettagliata dell'incidente, causa principale, misure di mitigazione adottate, impatto transfrontaliero se applicabile.

Sanzioni

Soggetti essenziali

Si applica l'importo piu elevato

Fino a 10 milioni di EUR o 2% del fatturato mondiale annuo

Soggetti importanti

Si applica l'importo piu elevato

Fino a 7 milioni di EUR o 1,4% del fatturato mondiale annuo

PA (soggetti essenziali)

Sanzioni ridotte per le pubbliche amministrazioni (art. 38 D.Lgs. 138/2024)

Fino a Da 25.000 a 125.000 EUR

Fonte: Art. 38 D.Lgs. 138/2024 e Art. 34 Direttiva (UE) 2022/2555

Domande Frequenti

Fonti e Risorse Ufficiali

D.Lgs. 138/2024

Gazzetta Ufficiale della Repubblica Italiana

Direttiva (UE) 2022/2555

EUR-Lex - Testo ufficiale

ACN - Agenzia per la Cybersicurezza Nazionale

Autorita nazionale competente NIS

CSIRT Italia

Computer Security Incident Response Team

Il tuo ente deve adeguarsi alla NIS2?

Consulta le nostre risorse sulla sicurezza PA, i percorsi formativi dedicati e gli strumenti per l'assessment della conformita.

Sicurezza PA Corso Sicurezza ICT PA