Early Access — All features free while spots last. Join Now
NIS2 · Italia · D.Lgs. 138/2024

NIS2 in Italia: la tua azienda è un soggetto obbligato?

La Direttiva NIS2 è legge anche in Italia con il D.Lgs. 138/2024. Scopri se sei in ambito e quanto sei pronto con un'autovalutazione gratuita e anonima — esito indicativo in circa 5 minuti.

La norma
D.Lgs. 138/2024
In vigore dal 16 ottobre 2024
L'autorità
ACN
Agenzia per la Cybersicurezza Nazionale
Registrazione
1 gen – 28 feb
Finestra annuale sulla piattaforma ACN

Cos'è la NIS2 e come è recepita in Italia

La NIS2 (Direttiva (UE) 2022/2555) alza il livello di cybersicurezza richiesto a migliaia di organizzazioni europee. In Italia è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. L'autorità competente è l'ACN — Agenzia per la Cybersicurezza Nazionale.

Sei un soggetto «essenziale» o «importante»?

La NIS2 distingue tra soggetti essenziali e importanti, in base a:

  • Settore — Allegato I (alta criticità: energia, trasporti, sanità, acqua, infrastrutture digitali, PA…) o Allegato II (altri settori critici: poste, rifiuti, chimica, alimentare, manifatturiero, fornitori digitali…).
  • Dimensione — di norma media impresa (≥ 50 addetti o > €10M di fatturato) o grande impresa. Alcuni soggetti rientrano a prescindere dalla dimensione.
  • Entità finanziarie — seguono prima il DORA (Regolamento (UE) 2022/2554), lex specialis.

Non sei sicuro? La nostra autovalutazione gratuita ti restituisce un esito indicativo di ambito (essenziale / importante / probabilmente fuori ambito) con il ragionamento mostrato.

Cosa devi fare: registrazione e obblighi

  • Registrazione ACN — i soggetti in ambito si registrano e aggiornano i dati sulla piattaforma dell'ACN, nella finestra annuale 1° gennaio – 28 febbraio.
  • Misure di gestione del rischio — art. 21 NIS2 / art. 24 del D.Lgs. 138/2024: analisi del rischio, gestione degli incidenti, continuità operativa, sicurezza della supply chain, gestione delle vulnerabilità, igiene informatica, crittografia, controllo degli accessi, MFA.
  • Notifica degli incidenti significativi all'ACN entro le tempistiche previste.
  • Responsabilità degli organi di amministrazione e sanzioni in caso di inadempimento.

Dove SentriKat aiuta

La gestione delle vulnerabilità (art. 21(2)(e)) è uno degli obblighi su cui i team sono più scoperti. SentriKat fa exploited-first vulnerability management: traccia le vulnerabilità realmente sfruttate, prioritizza per rischio reale e genera report di conformità NIS2/DORA firmati, on-premise o in cloud UE. Multi-fonte, europeo, senza inviare i tuoi dati oltreoceano.

Scopri in 5 minuti se sei pronto per la NIS2

Gratis, anonimo, nessuna registrazione per vedere il risultato.

Inizia l'autovalutazione →

Domande frequenti

Cos'è la NIS2 e come si applica in Italia?

La NIS2 è la Direttiva (UE) 2022/2555 sulla cybersicurezza. In Italia è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. L'autorità competente è l'ACN (Agenzia per la Cybersicurezza Nazionale).

La mia azienda è obbligata?

Dipende dal settore (Allegato I — alta criticità — o Allegato II — altri settori critici) e dalla dimensione (di norma media o grande impresa). Alcuni soggetti rientrano a prescindere dalla dimensione. Le entità finanziarie seguono prima il DORA. La nostra autovalutazione gratuita ti dà un esito indicativo in 5 minuti.

Cos'è la registrazione ACN e quando si fa?

I soggetti essenziali e importanti devono registrarsi e aggiornare i propri dati sulla piattaforma dell'ACN. La finestra di registrazione annuale è dal 1° gennaio al 28 febbraio. Verifica sempre le scadenze aggiornate sul portale ACN.

Quali sono gli obblighi principali?

Misure di gestione del rischio (art. 21 NIS2 / art. 24 del D.Lgs. 138/2024), notifica degli incidenti significativi all'ACN entro le tempistiche previste, e responsabilità degli organi di amministrazione. Le sanzioni possono essere rilevanti per i soggetti essenziali.

Questo strumento è un parere legale?

No. È un'analisi indicativa dei gap, non sostituisce un parere legale. La NIS2 è attuata da norme nazionali che variano per Paese: resti responsabile della tua conformità e dovresti rivolgerti a un professionista qualificato per la tua situazione specifica.

Questo contenuto e l'autovalutazione collegata sono forniti a solo scopo informativo e offrono un'analisi indicativa. Non costituiscono, né sostituiscono, un parere legale. La NIS2 è attuata da norme nazionali che possono variare nell'interpretazione: resti responsabile della tua conformità e dovresti rivolgerti a un professionista qualificato e verificare le scadenze e gli obblighi aggiornati sul portale dell'ACN.