Torna alle notizie
NIS2D.Lgs. 138/2024ComplianceCybersecurityPillar

NIS2: la guida completa al D.Lgs. 138/2024 (Art. 20, 21, 25 e 38)

F

Fabio Vantaggiato

Autore

22 aprile 2026

La Direttiva (UE) 2022/2555 — la NIS2 — è entrata in vigore in Italia con il D.Lgs. 4 settembre 2024, n. 138. È il più ampio intervento di sempre sulla cybersicurezza delle organizzazioni italiane: amplia il perimetro a decine di migliaia di soggetti, sposta la responsabilità sull'organo di gestione, fissa misure tecniche minime, scandisce la notifica degli incidenti su tre tempi e introduce un regime sanzionatorio fino a 10 milioni di euro o al 2% del fatturato annuo mondiale. Questa guida mette in fila ciò che serve sapere per orientarsi.

Perimetro NIS2: chi è soggetto essenziale e chi è soggetto importante

Il primo passo per qualunque organizzazione è capire se rientra in perimetro. Il D.Lgs. 138/2024 individua due categorie di soggetti, sulla base di due criteri combinati: il settore di attività (Allegati I e II) e la dimensione dell'organizzazione (numero di dipendenti, fatturato, totale di bilancio).

L'Allegato I elenca i settori ad alta criticità: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile e di scarico, infrastrutture digitali, gestione dei servizi TIC B2B, pubblica amministrazione e spazio. L'Allegato II elenca gli altri settori critici: servizi postali, gestione dei rifiuti, prodotti chimici, alimenti, manifatturiero (dispositivi medici, computer ed elettronica, macchinari, autoveicoli e altri mezzi di trasporto), fornitori di servizi digitali e ricerca scientifica.

Le grandi imprese (oltre 250 dipendenti, oltre 50 milioni di fatturato e oltre 43 milioni di totale di bilancio) dei settori dell'Allegato I sono qualificate come soggetti essenziali. Le medie imprese dei settori dell'Allegato I e le organizzazioni medie e grandi dei settori dell'Allegato II sono qualificate come soggetti importanti. La distinzione non è formale: cambia il regime di vigilanza (preventiva per gli essenziali, ex post per gli importanti) e l'entità delle sanzioni.

Esistono comunque eccezioni che possono includere nel perimetro anche organizzazioni più piccole — ad esempio fornitori unici di un servizio essenziale o soggetti il cui malfunzionamento avrebbe impatto significativo. La gap analysis NIS2 inizia sempre da una lettura puntuale di Allegati e dimensione, integrata con le indicazioni operative pubblicate da ACN.

Art. 20: governance, formazione e responsabilità del Management

L'Art. 20 è il cuore politico della NIS2. Sposta la cybersicurezza dal reparto IT al tavolo dell'organo di gestione. CdA, Amministratori Delegati e dirigenti devono approvare le misure di gestione del rischio, supervisionarne l'attuazione e rispondono personalmente delle violazioni. La responsabilità è individuale, accompagna il ruolo e non si estingue alla cessazione del mandato per i fatti avvenuti durante.

Il secondo comma dell'Art. 20 introduce un obbligo di formazione periodica, sia per il Management sia per il personale operativo. La formazione deve essere proporzionata al ruolo e all'esposizione al rischio, deve essere documentata e deve essere verificabile in caso di ispezione. Non basta "aver organizzato un corso": serve un percorso strutturato, con tracciabilità delle ore erogate, evidenza del superamento delle verifiche e certificato nominale di partecipazione.

Per approfondire il taglio operativo dell'Art. 20 abbiamo dedicato un articolo specifico: Formazione NIS2: perché l'Art. 20 cambia le regole (e la responsabilità).

Art. 21: le misure tecniche e organizzative minime

L'Art. 21 è la "lista della spesa" tecnica della NIS2: elenca le misure minime che le organizzazioni devono adottare per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete. Sono misure non opzionali, ma proporzionate al rischio.

Le aree principali coperte dall'Art. 21 sono:

  • Politiche di analisi del rischio e di sicurezza dei sistemi informatici;
  • Gestione degli incidenti (rilevamento, classificazione, risposta);
  • Continuità operativa: backup, disaster recovery, gestione delle crisi;
  • Sicurezza della catena di approvvigionamento (fornitori e supply chain);
  • Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi, comprese politiche di gestione e divulgazione delle vulnerabilità;
  • Strategie e procedure per valutare l'efficacia delle misure;
  • Igiene informatica di base e formazione in cybersicurezza;
  • Politiche relative all'uso della crittografia e, se opportuno, della cifratura;
  • Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset;
  • Autenticazione a più fattori, comunicazioni vocali, video e di testo protette e — se necessario — comunicazioni di emergenza protette.

Per ciascuna misura serve un'evidenza documentale: una policy approvata, un processo eseguito, un log o un report. La sola adozione "sostanziale" delle misure non è sufficiente in caso di ispezione: ACN richiede di poter ricostruire la postura di sicurezza nel tempo. Per una checklist operativa rivolta ai CISO, vedi NIS2: le misure tecniche dell'Art. 21 — la checklist per il CISO.

Art. 25: la notifica degli incidenti significativi (24h / 72h / 1 mese)

L'Art. 25 disciplina la procedura di notifica all'ACN per gli incidenti qualificati come "significativi". La procedura è scandita su tre finestre temporali, tutte calcolate dal momento in cui l'organizzazione ha avuto conoscenza dell'incidente:

  • Pre-allerta entro 24 ore: comunicazione iniziale ad ACN che indica almeno l'eventuale natura malevola dell'evento e l'eventuale impatto transfrontaliero;
  • Notifica completa entro 72 ore: aggiornamento con valutazione iniziale dell'incidente, gravità, impatto e indicatori di compromissione (se disponibili), oltre alle misure di mitigazione adottate o pianificate;
  • Relazione finale entro un mese: descrizione dettagliata, analisi delle cause profonde, misure adottate, eventuali misure di mitigazione in corso e impatto transfrontaliero.

Il punto delicato è il dies a quo: l'orologio parte dal momento della conoscenza, non da quello dell'evento oggettivo. Questo significa che la qualità del SIEM, dell'EDR e del processo di escalation interna è parte integrante della compliance: un alert non escalato è un'occasione di compliance persa. Per il dettaglio operativo della procedura abbiamo un approfondimento dedicato: Notifica incidenti NIS2: la procedura 24h / 72h / 1 mese verso ACN.

Art. 38: il regime sanzionatorio

L'Art. 38 definisce il regime delle sanzioni amministrative pecuniarie. La distinzione tra soggetti essenziali e importanti riemerge qui in modo netto:

  • Soggetti essenziali: sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell'esercizio precedente, applicando la misura più alta delle due;
  • Soggetti importanti: sanzioni fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale, sempre applicando la misura più alta.

Oltre alle sanzioni pecuniarie, l'Art. 38 prevede misure interdittive e, nei casi più gravi, la responsabilità personale del Management per la mancata supervisione delle misure di sicurezza, fino alla sospensione temporanea dall'incarico. Per un'analisi dettagliata delle fattispecie sanzionatorie, delle attenuanti e delle aggravanti, vedi Sanzioni NIS2: cosa rischia il management ai sensi dell'Art. 38.

Tempistiche di adeguamento e ruolo di ACN

Il D.Lgs. 138/2024 è in vigore dal 16 ottobre 2024. Le scadenze operative — registrazione presso ACN, adozione delle misure dell'Art. 21, attivazione del piano formativo Art. 20 — sono state articolate da ACN in più fasi, con cadenza pluriennale. La tempistica di riferimento si articola tipicamente in:

  • Registrazione e censimento iniziale dei soggetti in perimetro;
  • Adozione progressiva delle misure di base entro i mesi successivi alla registrazione;
  • Adeguamento completo alle misure dell'Art. 21 nei termini fissati dalle Determinazioni ACN.

L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità competente: gestisce la registrazione, riceve le notifiche di incidente, pubblica linee guida operative, conduce ispezioni e ha potere sanzionatorio. Le Determinazioni ACN sono il riferimento operativo continuativo per chi è in perimetro: vanno monitorate insieme alle pubblicazioni della Commissione europea sui regolamenti di esecuzione.

FAQ NIS2

La mia azienda ha meno di 50 dipendenti: sono in perimetro NIS2?

In generale no: il D.Lgs. 138/2024 esclude le piccole e micro imprese. Esistono però eccezioni — fornitori unici di un servizio essenziale, soggetti il cui malfunzionamento avrebbe impatto significativo, alcune categorie esplicitamente incluse a prescindere dalla dimensione (ad esempio i fornitori di reti pubbliche di comunicazione e i prestatori di servizi fiduciari). La verifica va fatta caso per caso a partire da Allegati I/II e dalle Determinazioni ACN.

Chi è responsabile in concreto delle violazioni della NIS2?

L'organo di gestione, ai sensi dell'Art. 20. La responsabilità è individuale e non delegabile per la decisione e la supervisione delle misure; può essere delegata l'esecuzione. In caso di violazione, oltre alla sanzione pecuniaria sull'organizzazione (Art. 38), sono possibili misure interdittive sui singoli amministratori per le condotte più gravi.

Cosa rischia chi non notifica un incidente significativo nei tempi previsti?

L'omessa o tardiva notifica espone alle sanzioni dell'Art. 38 (fino al 2% del fatturato per i soggetti essenziali) e incide sul giudizio complessivo di adeguatezza delle misure di gestione del rischio (Art. 21), aprendo la strada a un'istruttoria ACN più ampia. La tempestività della notifica è anche una delle principali attenuanti in sede sanzionatoria.

La formazione NIS2 è obbligatoria solo per il Management o per tutto il personale?

Per entrambi. L'Art. 20 distingue chiaramente tra formazione del Management (governance) e formazione del personale (operativa). La formazione deve essere proporzionata al ruolo e periodicamente aggiornata. Easy Health offre quattro percorsi e-learning calibrati su Management, CISO, tecnici IT e collaboratori non tecnici.

Cosa succede in caso di ispezione ACN?

L'organizzazione deve essere in grado di mostrare evidenze documentali di tutto: policy approvate, registrazioni della formazione erogata, log dei sistemi, report di vulnerability assessment e penetration test, procedure di incident response, contratti con i fornitori critici e clausole di sicurezza. La compliance NIS2 si gioca in larga parte sulla qualità della documentazione, non solo sull'adozione delle misure.

Da dove iniziare

Il percorso tipico di adeguamento alla NIS2 si articola in cinque step: scoping (verifica del perimetro), gap analysis (mappatura tra misure Art. 21 e stato attuale), remediation plan (priorizzazione degli interventi), esecuzione (implementazione di policy, processi e tecnologie) e governance continuativa (audit, formazione, aggiornamento delle Determinazioni ACN).

In Easy Health affianchiamo le organizzazioni in tutto il percorso: dalla gap analysis iniziale all'audit continuo, fino ai percorsi e-learning Art. 20 per Management, CISO, tecnici IT e collaboratori non tecnici. Per una valutazione iniziale gratuita del livello di esposizione della tua organizzazione, contattaci.

Ti interessa approfondire?

Contattaci per scoprire come le nostre soluzioni possono supportare la tua organizzazione sanitaria.

Parla con un esperto

Parla con noi

Siamo pronti ad ascoltare le esigenze di ogni struttura sanitaria. Compilare il modulo per richiedere una demo o una consulenza specialistica.