Direttiva NIS2: guida agli obblighi e sanzioni per le aziende (2026)

La NIS2 – Network and Information Security – è la direttiva europea che definisce regole comuni per garantire un livello elevato di sicurezza delle reti e dei sistemi informativi negli Stati membri. Rispetto alla precedente NIS1, NIS2 ha introdotto tre cambiamenti strutturali:

1. Inclusività: il perimetro dei soggetti obbligati si è ampliato, includendo categorie prima non coperte.
2. Concretezza degli obblighi: gestione del rischio, incident response, sicurezza della supply chain, audit e formazione sono diventati requisiti espliciti.
3. Responsabilità del management: la direzione aziendale è chiamata ad approvare misure e risorse, e risponde direttamente della conformità.

In sintesi, NIS2 ha trasformato la Cyber Security da “best practice” a compliance operativa. Per una panoramica più generale vi rimandiamo alla nostra Guida sulla Cyber Security aziendale.

La Direttiva NIS2 introduce una classificazione rigorosa basata sulla criticità del servizio offerto e sulle dimensioni dell’organizzazione. La distinzione principale separa i soggetti in due categorie, che determinano il livello di vigilanza dell’ACN (Agenzia per la Cybersicurezza Nazionale) e l’entità delle sanzioni:

1. Soggetti Essenziali: entità operanti in settori ad alta criticità (es. Energia, Sanità, Infrastrutture digitali)
2. Soggetti Importanti: organizzazioni in settori altrettanto rilevanti ma soggetti a una vigilanza ex-post (es. Logistica, Alimentare, Gestione rifiuti)

I criteri di applicabilità: sei nel perimetro NIS2?

Per capire se la tua azienda è soggetta agli obblighi del D.Lgs. 138/2024, devi incrociare il settore operativo con i requisiti dimensionali:

• Medie Imprese: organizzazioni con oltre 50 dipendenti o un fatturato/bilancio annuo superiore a 10 milioni di euro
• Grandi Imprese: realtà con oltre 250 dipendenti o un fatturato superiore a 50 milioni di euro
• Eccezioni Critiche: indipendentemente dalle dimensioni, sono obbligati i fornitori di reti di comunicazione pubblica, servizi fiduciari, registri di nomi di dominio (DNS) e le PA

Settori coinvolti dalla normativa

La NIS2 si applica a soggetti pubblici e privati che operano in ambiti strategici come

• Trasporti
• Finanza
• Servizi ICT gestiti
• Supply Chain alimentare
• Manifattura di prodotti critici
• Logistica

Se la tua azienda rientra in questi settori e rispetta i parametri dimensionali, l’adeguamento è obbligatorio.

Una volta chiarito il perimetro, il punto è capire cosa richiede la NIS2.
I requisiti NIS2 ruotano attorno a tre pilastri: gestione del rischio, capacità di risposta agli incidenti e governance.
In concreto, la NIS2 ha richiesto alle aziende di:

• implementare una gestione del rischio cyber continua e documentata
• adottare misure tecniche proporzionate (patching, access control, logging, protezione endpoint, segmentazione rete, backup verificati)
• strutturare piani di incident response e continuità operativa
• introdurre programmi di formazione e cybersecurity awareness
• effettuare audit periodici
• formalizzare ruoli e responsabilità con supervisione diretta del vertice.

In questo quadro, la compliance non è più un adempimento “una tantum”, ma un processo di miglioramento misurabile. In questo modo la direttiva NIS2 si innesta nei modelli di Information Security e Security Governance: obbliga le aziende a formalizzare ruoli, responsabilità e controlli, e a dimostrare nel tempo che le misure adottate sono proporzionate al rischio reale.
Una delle novità più rilevanti è stata la supply chain security.

Quando si parla di cosa richiede la NIS2 in tema di supply chain, significa che le aziende devono valutare il rischio dei fornitori critici, inserire requisiti di sicurezza nei contratti e assicurare il rispetto di tali requisiti attraverso un adeguato monitoraggio periodico.

Questo passaggio ha reso la supply chain parte integrante del perimetro cyber: la sicurezza non si ferma ai confini dell’infrastruttura interna.

In Italia la compliance è partita da un obbligo pratico: la registrazione alla NIS2 sul portale ACN.

La finestra iniziale di registrazione, avviata il 1° dicembre 2024, si è chiusa il 28 febbraio 2025. Da lì in avanti, la registrazione è diventata una attività annuale, con aggiornamento entro la stessa data per i soggetti rientranti nel perimetro.
La registrazione non è stata solo un adempimento formale: ha permesso all’autorità di censire le entità nei settori vigilati e di attivare le successive fasi di verifica e controllo.

NIS2 ha introdotto sanzioni legate alla gravità della violazione e alla dimensione del soggetto, con soglie potenzialmente rilevanti per gli operatori essenziali.
Ma il punto più forte è un altro: la responsabilità del vertice aziendale.
La direzione deve approvare le politiche di sicurezza, assicurare risorse adeguate e verificare che le misure siano implementate e aggiornate.

Come si vede la cyber security è diventata governance aziendale a tutti gli effetti.

Per chi rientra nel perimetro, la strada più sensata resta evitare due estremi: improvvisare controlli senza priorità, oppure trattare la NIS2 come un progetto isolato.

Un percorso lineare è:

• Verificare applicabilità e ruolo nella filiera
• Allineare la registrazione ACN (se già fatta, aggiornamento annuale)
• Eseguire un Cyber Risk Assessment strutturato: è la base per dimostrare che le misure adottate sono proporzionate al rischio reale. Ne parliamo meglio nel nostro articolo sul Risk Assessment per aziende.
• Implementare controlli minimi e incident response
• Gestire il rischio della supply chain con requisiti, audit e monitoraggio
• Misurare e aggiornare con audit regolari e formazione continua

Questo approccio rende la compliance sostenibile perché nasce dal rischio e dalla continuità operativa, non da una semplice checklist.