Quadro normativo NIS2 e d.lgs. 138/2024

La guida completa alla Direttiva (UE) 2022/2555 e alla sua attuazione in Italia

Introduzione alla normativa NIS2

La Direttiva (UE) 2022/2555, nota come NIS2, ha ridefinito il quadro europeo della cybersicurezza, stabilendo obblighi più stringenti per gli operatori pubblici e privati che erogano servizi essenziali o critici per il funzionamento della società e dell’economia.

L’obiettivo della normativa è elevare il livello comune di sicurezza delle reti e dei sistemi informativi, riducendo la frammentazione e rafforzando la resilienza degli Stati membri.

In Italia la NIS2 è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, che attribuisce all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di autorità competente, coordinamento operativo e supervisione.

A chi si applica la NIS2

Il d.lgs. 138/2024 distingue due categorie di soggetti:

• soggetti essenziali: enti pubblici e operatori privati in settori critici (energia, trasporti, sanitario, finanza, infrastrutture digitali, PA, ecc.);
• soggetti importanti: operatori economici dei settori individuati dalla direttiva, con rilevanza significativa per continuità dei servizi.

La designazione e la registrazione dei soggetti NIS avvengono tramite piattaforma ACN.

Il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN)

ACN è l’autorità competente per:

• identificazione dei soggetti essenziali e importanti;
• determinazioni attuative della NIS2;
• supervisione e monitoraggio;
• gestione della piattaforma NIS;
• definizione delle misure minime e avanzate di sicurezza;
• conduzione di ispezioni e audit;
• coordinamento con lo CSIRT Italia.

Obblighi minimi di sicurezza (misure di base)

Le misure minime costituiscono il livello obbligatorio per tutti i soggetti designati. Riguardano:

• gestione del rischio e politiche di sicurezza;
• controllo degli accessi e autenticazione;
• gestione delle vulnerabilità;
• logging e monitoraggio;
• continuità operativa;
• risposta agli incidenti;
• protezione della supply chain;
• formazione e sensibilizzazione del personale.

Le misure specifiche e i livelli di applicazione sono oggetto delle determinazioni ACN, aggiornate periodicamente.

Obblighi a lungo termine (misure avanzate e governance)

Oltre alle misure di base, il quadro NIS2 prevede:

• gestione avanzata del rischio cyber;
• modelli di governance e supervisione;
• test periodici di resilienza;
• revisione delle procedure;
• aggiornamenti continui in funzione del rischio;
• documentazione strutturata delle attività.

Per i soggetti essenziali, il livello di supervisione è più elevato.

Responsabilità degli Organi Direttivi

La NIS2 attribuisce agli Organi Direttivi:

• la responsabilità ultima della conformità;
• l’obbligo di supervisionare l’attuazione delle misure;
• l’obbligo di essere adeguatamente formati;
• la responsabilità personale in caso di violazioni;
• la possibilità di incorrere in misure interdittive in caso di gravi inadempienze.

Il tema della responsabilità è uno degli elementi distintivi della nuova disciplina.

Obblighi di notifica degli incidenti significativi

I soggetti NIS devono notificare incidenti significativi allo CSIRT Italia, secondo tre livelli:

• preallarme;
• notifica iniziale;
• relazione finale.

Le definizioni operative e le soglie di rilevanza sono stabilite dagli atti ACN.

Obblighi tramite piattaforma ACN

Il d.lgs. 138/2024 e la Determina ACN n. 333017/2025 prevedono:

• registrazione annuale (1 gennaio – 28 febbraio);
• aggiornamento annuale (15 aprile – 31 maggio);
• aggiornamento continuo entro 14 giorni;
• designazione Referente CSIRT.

Per i soggetti inseriti nell’elenco NIS per la prima volta nel 2026 (Determina ACN 127434/2026):

• obbligo di notifica degli incidenti significativi a partire dal 1° gennaio 2027
• designazione del referente CSIRT entro fine 2026
• adozione delle misure di sicurezza di base entro luglio 2027

Risorse e documenti ufficiali

Mettiamo a disposizione i documenti di riferimento:

• Testo NIS2 (Direttiva UE 2022/2555)
• D.lgs. 138/2024
• Determinazioni ACN aggiornate e relativi allegati:
  Determina 127434/2026
  Determina 127437/2026
  Determinazione ACN 333017_2025
  Determinazione ACN 379907_2025
  Allegato 1
  Allegato 2
  Allegato 3
  Allegato 4
• Linee Guida ACN:
  Linee guida NIS specifiche di base – Guida alla lettura
  Linee guida NIS specifiche di base – Gestione incidenti informatici
• Link alla piattaforma NIS per la registrazione:
  https://www.acn.gov.it/portale/nis/registrazione
• FAQ ACN:
  https://www.acn.gov.it/portale/faq/nis

Vuoi approfondire gli obblighi NIS2 o verificare se la tua organizzazione è soggetta alla normativa?

Contattaci per un confronto

info@isimply.it

Tel 0125 1899500