Con l’entrata in vigore del Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 16 ottobre 2024, anche l’Italia ha dato attuazione alla Direttiva (UE) 2022/2555 – meglio nota come NIS2 – sulla cybersicurezza delle reti e dei sistemi informativi.

L’obiettivo dichiarato è chiaro: rafforzare a livello europeo un livello comune ed elevato di sicurezza informatica per proteggere infrastrutture critiche, economia e società digitale. Ma quali sono, in concreto, gli adempimenti richiesti ai soggetti privati e quali le scadenze da rispettare?

A chi si applica la NIS2

Il decreto si rivolge a una vasta platea di operatori privati, in particolare a medie e grandi imprese (ossia realtà con almeno 50 dipendenti e un fatturato o bilancio annuo superiore a 10 milioni di euro). Ma non si limita a questi: anche imprese che non raggiungono tali soglie dimensionali possono rientrare nel perimetro, qualora operino in uno dei settori individuati negli Allegati I e II della norma, considerati “critici” o “altamente critici” (energia, trasporti, finanza, sanità, infrastrutture digitali, pubblica amministrazione, ecc.).

Due sono le categorie previste: “soggetti essenziali” (OSE) e “soggetti importanti” (OSI), distinzione che non è solo formale ma incide direttamente sul sistema sanzionatorio.

Un calendario stringente

1. Autovalutazione (da subito fino al 31 dicembre 2024)

Tutti gli operatori che ritengono di poter rientrare nel campo di applicazione devono effettuare un assessment interno per verificare la propria posizione.

2. Registrazione alla piattaforma (dal 1° gennaio al 28 febbraio 2025)

L’Autorità competente, l’Agenzia per la Cybersicurezza Nazionale (ACN), ha predisposto una piattaforma online (https://www.acn.gov.it/portale/nis) per la registrazione.

Alcune categorie dovranno farlo entro il 17 gennaio 2025.

Dal 1° gennaio al 28 febbraio di ogni anno successivo, i dati registrati dovranno essere confermati o aggiornati.

3. Elenchi ufficiali e notifiche (entro il 31 marzo 2025 e ogni anno successivo)

Entro tale data, ACN pubblicherà l’elenco dei soggetti “essenziali” e “importanti”. La comunicazione di inserimento o esclusione dall’elenco sarà notificata tra il 31 marzo e il 15 aprile.

4. Integrazione dei dati (15 aprile - 31 maggio)

Chi riceve comunicazione di inserimento o permanenza nell’elenco, dovrà trasmettere ulteriori informazioni (art. 7, commi 4 e 5, stabilisce che i soggetti NIS devono avviare il processo di aggiornamento delle informazioni a partire dal 15 aprile 2025. In particolare, è richiesto un aggiornamento tempestivo delle informazioni, che deve avvenire entro 14 giorni dalla modifica. Inoltre, i soggetti NIS devono garantire che le informazioni siano sempre aggiornate e complete, in conformità con le disposizioni stabilite.).

5. Elenco attività e servizi prestati (1° maggio – 30 giugno)

In questa finestra temporale, a partire dal 2026, i soggetti coinvolti dovranno fornire o aggiornare l’elenco delle attività e dei servizi svolti.

Nota importante per i DPO.
Per i consulenti che ricoprono il ruolo di Data Protection Officer, questa fase rappresenta una vera e propria occasione di audit annuale: un momento chiave per valutare, anche in ottica di sicurezza informatica, le attività dei propri clienti soggetti a NIS2. Un passaggio che richiama – per metodologia e peso – l’epoca del d.lgs. 196/2003, in cui l’aggiornamento del DPS (Documento Programmatico sulla Sicurezza) doveva essere menzionato in nota integrativa di bilancio. Oggi, quel passaggio si rinnova con una valenza ancora più ampia e strategica, intrecciando privacy e sicurezza.

Governance e formazione: obblighi per il vertice

La NIS2 assegna responsabilità dirette agli organi di gestione (es. CDA). Questi sono chiamati a garantire il rispetto delle disposizioni e a risponderne in caso di inadempimenti. È prevista inoltre l’obbligatorietà della formazione periodica per tutti i dipendenti e i componenti degli organi di vertice in materia di cybersicurezza.

L’adeguamento dovrà avvenire entro 18 mesi dalla comunicazione ufficiale dell’inserimento o eliminazione dall’elenco. In termini pratici, questo implica che – salvo ritardi da parte di ACN – il termine sarà il 30 settembre 2026.

Misure tecniche e di gestione del rischio

Le imprese dovranno adottare un set di misure tecniche, organizzative e operative per gestire e minimizzare i rischi per la sicurezza delle reti e dei sistemi informativi.

Le misure dovranno essere:

• adeguate e proporzionate,

• basate su una valutazione multirischio,

• estese all’intera supply chain (fornitori inclusi).

Anche gli standard ISO/IEC 27000, pur non obbligatori, costituiscono un prezioso alleato nella dimostrazione della conformità.

Incidenti e segnalazioni

Dal 31 dicembre 2025 scatterà l’obbligo di segnalare eventuali incidenti significativi. Il decreto stabilisce criteri oggettivi per valutarne la rilevanza e prevede obblighi stringenti di notifica alle autorità competenti.

Sanzioni: importi e criteri

In caso di inadempimenti, le sanzioni sono particolarmente severe.

Per violazioni gravi (Governance, gestione del rischio, incidenti, inottemperanza ad ACN):

• Fino a 10 milioni € o 2% del fatturato mondiale annuo per i soggetti essenziali.

• Fino a 7 milioni € o 1,4% del fatturato mondiale per i soggetti importanti.

Per obblighi minori (registrazione, cooperazione, certificazioni, requisiti settoriali):

• Fino allo 0,1% del fatturato mondiale per i soggetti essenziali.

• Fino allo 0,07% per i soggetti importanti.

Sono previste aggravanti in caso di reiterazione.

GDPR e NIS2: due volti della stessa compliance

L’aggancio con il Regolamento generale sulla protezione dei dati (GDPR) è evidente. Mentre quest’ultimo tutela i dati personali, la NIS2 si concentra sulla resilienza informatica e la sicurezza dei sistemi. Tuttavia, entrambi i corpus normativi:

• impongono approcci basati sul rischio;

• attribuiscono responsabilità precise agli organi di vertice;

• prevedono audit, formazione e accountability;

• obbligano alla segnalazione degli incidenti.

Per questo motivo, l’approccio integrato tra DPO, CISO, IT e consulenti NIS2 rappresenta la nuova frontiera della compliance evoluta.

On October 16, 2024, Legislative Decree No. 138 of September 4, 2024, entered into force, officially transposing into Italian law Directive (EU) 2022/2555 – widely known as NIS2 – concerning the cybersecurity of network and information systems. The stated objective is clear: to ensure a common and high level of cybersecurity across Europe, protecting critical infrastructure, the economy, and digital society. But what are the concrete obligations imposed on private entities, and what deadlines must be met?

Scope of Application

The Decree applies to a broad range of private operators, particularly medium and large enterprises (i.e., entities with at least 50 employees and annual revenue or balance sheet total exceeding €10 million). However, the scope is not limited to these: companies that do not meet these thresholds may still fall within the regulation if they operate in one of the sectors listed in Annexes I and II, classified as “critical” or “highly critical” (e.g., energy, transport, finance, healthcare, digital infrastructure, public administration).

The regulation distinguishes between two categories: “essential entities” and “important entities.” This is not merely a formal distinction, as it directly affects the applicable sanctions regime.

A Tight Schedule

1. Self-Assessment (Ongoing until December 31, 2024)

All operators who believe they might fall under the scope of the NIS2 must conduct an internal assessment to verify their status.

2. Registration on the Platform (January 1 to February 28, 2025)

The competent authority, Italy’s National Cybersecurity Agency (ACN), has set up a dedicated online platform (https://www.acn.gov.it/portale/nis) for registration. Some entities are required to complete registration by January 17, 2025.

From January 1 to February 28 of each subsequent year, the registered data must be confirmed or updated.

3. Official Listings and Notifications (by March 31, 2025, and annually)

By this date, ACN will publish the official list of “essential” and “important” entities. Notifications of inclusion or removal from the list will be issued between March 31 and April 15.

4. Additional Information (April 15 – May 31)

Entities receiving notice of inclusion or continued presence on the list must submit further information as specified in Article 7, paragraphs 4 and 5 of the Decree.

5. Declaration of Activities and Services (May 1 – June 30)

Each year, starting in 2026, entities must provide or update a declaration of the activities and services they perform via the platform.

Important Note for DPOs
For Data Protection Officers, this period offers a valuable opportunity for structured annual review: a key moment to evaluate their clients’ security posture – including cybersecurity aspects – in light of the NIS2 framework. This echoes the logic of Italy’s former Legislative Decree 196/2003, which required an annual update of the Security Policy Document (DPS), referenced in the company’s financial statement. Today, that responsibility is renewed in a broader and more strategic context, bridging data protection and cyber resilience.

Governance and Mandatory Training

NIS2 assigns direct responsibilities to company management bodies (e.g., Boards of Directors). These bodies must ensure full compliance with the regulation and are held accountable for any breaches. Periodic cybersecurity training is also mandatory for both executives and employees.

Compliance must be achieved within 18 months of receiving official notice of inclusion or removal from the list, which – barring delays from ACN – means by September 30, 2026.

Risk Management and Technical Measures

Companies are required to implement a set of technical, operational, and organizational measures to manage and mitigate risks to network and information systems.

These measures must be:

• adequate and proportionate;

• based on a multi-risk assessment;

• extended across the entire supply chain (including suppliers).

Even though not mandatory, ISO/IEC 27000 certifications are valuable tools for demonstrating compliance.

Incident Notification Requirements

As of December 31, 2025, the obligation to notify significant incidents will be in force. The Decree sets out criteria to assess the significance of incidents and establishes strict notification deadlines to ensure maximum cooperation with authorities.

Sanctions: Thresholds and Triggers

The sanctions framework is notably stringent.

For major breaches (governance failures, risk management, incident handling, non-compliance with ACN orders):

• Up to €10 million or 2% of the global annual turnover for essential entities;

• Up to €7 million or 1.4% of global turnover for important entities.

For less severe breaches (registration failures, lack of cooperation, certification lapses, sectoral obligations):

• Up to 0.1% of global turnover for essential entities;

• Up to 0.07% for important entities.

In serious cases, administrative sanctions may be accompanied by supervisory or enforcement measures. Repeated violations can double the applicable penalty, or – if multiple provisions are violated – the highest penalty can be tripled.

GDPR and NIS2: Complementary Frameworks

The connection with the General Data Protection Regulation (GDPR) is evident. While the GDPR focuses on personal data protection, NIS2 emphasizes infrastructure security. However, the two share a common DNA:

• risk-based approaches;

• management-level accountability;

• audit and training obligations;

• mandatory incident reporting.

Hence, a coordinated strategy between DPOs, CISOs, IT security teams, and NIS2 consultants represents the new frontier of advanced compliance.