ACN e NIS2 in Italia: cosa devono fare le imprese

Q: Chi deve registrarsi con l'ACN per NIS2?

Devono registrarsi nella piattaforma ACN tutte le organizzazioni che operano in uno dei settori elencati negli allegati del D.Lgs. 138/2024 e che superano le soglie dimensionali previste (in generale, medie imprese con almeno 50 dipendenti o fatturato/bilancio annuo superiore a 10 milioni di euro). Alcuni soggetti rientrano indipendentemente dalla dimensione: i fornitori di servizi DNS, i registri TLD, i provider cloud, i data center, le reti di distribuzione di contenuti (CDN) e alcune entità della pubblica amministrazione.

Q: Entro quando devono registrarsi le imprese italiane per NIS2?

Il D.Lgs. 138/2024, entrato in vigore il 16 ottobre 2024, ha avviato il processo di registrazione attraverso la piattaforma digitale dell'ACN. Le organizzazioni hanno avuto tempo fino al 28 febbraio 2025 per completare l'auto-registrazione iniziale e comunicare all'ACN di rientrare nel perimetro NIS2. Gli obblighi di sicurezza e notifica degli incidenti si applicano progressivamente, con i soggetti essenziali soggetti a supervisione più immediata.

Q: Quali sono le sanzioni NIS2 in Italia?

Ai sensi del D.Lgs. 138/2024, le sanzioni per i soggetti essenziali possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (la soglia più alta). Per i soggetti importanti, fino a 7 milioni di euro o all'1,4% del fatturato mondiale. Oltre alle sanzioni pecuniarie, l'ACN può adottare misure temporanee come la sospensione di certificazioni o autorizzazioni. La responsabilità ricade esplicitamente sul management: i dirigenti possono essere ritenuti personalmente responsabili per la mancata conformità.

Q: Cosa prevede il D.Lgs. 138/2024 per la gestione dei fornitori?

Il D.Lgs. 138/2024, che recepisce la Direttiva NIS2 in Italia, impone ai soggetti essenziali e importanti di adottare misure di gestione del rischio della supply chain (Art. 24): devono valutare i rischi legati ai fornitori ICT e ai fornitori di servizi critici, includere requisiti di sicurezza nei contratti con i fornitori, monitorare continuamente i fornitori critici e mantenere documentazione tracciabile delle valutazioni effettuate. Questi obblighi sono enfatizzati per i fornitori con accesso a sistemi informativi o a dati sensibili.

Aggiornato: maggio 2026

Per le imprese italiane soggette alla Direttiva NIS2, l'interlocutore regolatorio principale è l'ACN. È l'ACN che gestisce il registro dei soggetti obbligati, riceve le notifiche degli incidenti, conduce le ispezioni e irroga le sanzioni. Conoscere il suo ruolo e gli obblighi concreti del D.Lgs. 138/2024 è il punto di partenza per qualsiasi percorso di conformità NIS2 in Italia.

Punti chiave

L'ACN è l'autorità NIS2 italiana: gestisce registrazioni, notifiche degli incidenti e supervisione dei soggetti obbligati
D.Lgs. 138/2024 è entrato in vigore il 16 ottobre 2024; la finestra di auto-registrazione si è chiusa il 28 febbraio 2025
Secondo l' ACN (2024), oltre 30.000 organizzazioni italiane rientrano nel perimetro NIS2 tra soggetti essenziali e importanti
Gli obblighi includono esplicitamente la gestione del rischio della supply chain — i fornitori ICT critici devono essere valutati e monitorati

Cos'è l'ACN e il suo ruolo NIS2

L'ACN — Agenzia per la Cybersicurezza Nazionale — è stata istituita con Legge 109/2021 come autorità nazionale competente per la cybersicurezza in Italia. Con il recepimento della Direttiva NIS2 tramite D.Lgs. 138/2024, l'ACN è diventata l'autorità nazionale competente per l'applicazione degli obblighi NIS2, con funzioni di registrazione, supervisione, indirizzo tecnico e applicazione delle sanzioni.

L'ACN svolge diversi ruoli nell'ecosistema NIS2 italiano: gestisce la piattaforma di registrazione dei soggetti obbligati, riceve e gestisce le notifiche degli incidenti di sicurezza, emette linee guida tecniche e misure minime di sicurezza, conduce ispezioni e verifiche di conformità e irroga le sanzioni previste dal decreto. È anche il punto di contatto nazionale con l' ENISA e con le autorità NIS2 degli altri Stati membri UE.

D.Lgs. 138/2024: il recepimento italiano

Il D.Lgs. 138/2024ha recepito la Direttiva NIS2 (UE 2022/2555) nell'ordinamento italiano, entrando in vigore il 16 ottobre 2024. Il decreto definisce il perimetro dei soggetti obbligati, gli obblighi di registrazione e di sicurezza, le procedure di notifica degli incidenti e il regime sanzionatorio.

Una delle novità più rilevanti rispetto alla precedente NIS è l'ampliamento significativo dei settori inclusi e la distinzione formale tra soggetti essenziali (SE) e soggetti importanti (SI), con regimi di supervisione e sanzioni differenziati. I soggetti essenziali sono sottoposti a supervisione proattiva (ex-ante), mentre i soggetti importanti a supervisione reattiva (ex-post, su segnalazione o incidente).

Chi deve registrarsi

Devono registrarsi nella piattaforma ACN le organizzazioni che operano nei settori elencati negli Allegati I e II del D.Lgs. 138/2024 e che superano le soglie dimensionali previste.

Settori altamente critici (Allegato I): energia (elettricità, gas, petrolio, idrogeno), trasporti (aerei, ferroviari, marittimi, su strada), settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT (B2B), pubblica amministrazione, spazio.

Altri settori critici (Allegato II): servizi postali e di corriere, gestione dei rifiuti, fabbricazione di sostanze chimiche, produzione e distribuzione di alimenti, fabbricazione di dispositivi medici, fabbricazione di computer e prodotti elettronici, fabbricazione di macchinari, fabbricazione di autoveicoli, fornitori digitali (marketplace online, motori di ricerca, social network), organismi di ricerca.

Soglie dimensionali generali: medie imprese (almeno 50 dipendenti o fatturato/bilancio annuo superiore a 10 milioni di euro). Alcune categorie di fornitori digitali e infrastrutturali sono soggette indipendentemente dalle dimensioni.

Gli obblighi concreti per le imprese

Il D.Lgs. 138/2024 impone agli obbligati un set di misure di sicurezza strutturate in sei aree principali.

Registrazione nella piattaforma ACN. Comunicare all'ACN di rientrare nel perimetro NIS2 tramite la piattaforma digitale dedicata. La registrazione include i dati dell'organizzazione, i settori di appartenenza, il punto di contatto per la sicurezza e le informazioni sui servizi erogati.
Nomina del punto di contatto NIS2. Designare un referente per la sicurezza (ruolo equivalente al CISO) responsabile della comunicazione con l'ACN e della gestione degli obblighi normativi.
Implementazione delle misure di sicurezza. Adottare misure tecniche e organizzative proporzionate al rischio nelle aree previste dall'Art. 24 del decreto: governance della sicurezza, gestione del rischio, business continuity, sicurezza della supply chain, gestione degli incidenti, crittografia, sicurezza delle risorse umane.
Notifica degli incidenti all'ACN. Notificare all'ACN gli incidenti significativi entro 24 ore (preavviso iniziale), 72 ore (notifica completa) e un mese (relazione finale). Un incidente è significativo se ha impatto rilevante sulla continuità dei servizi o sui dati degli utenti.
Gestione del rischio della supply chain. Valutare e gestire i rischi derivanti dai fornitori ICT e dai fornitori di servizi critici. Includere requisiti di sicurezza nei contratti con i fornitori e mantenere documentazione tracciabile delle valutazioni.
Formazione e consapevolezza. Garantire che il personale rilevante riceva formazione sulla sicurezza informatica e che il management sia consapevole delle responsabilità derivanti dalla NIS2.

Soggetti essenziali vs. soggetti importanti

La distinzione tra soggetti essenziali e soggetti importanti determina il regime di supervisione applicabile e le sanzioni massime previste. Gli obblighi sostanziali di sicurezza sono gli stessi — cambia l'intensità del controllo.

Aspetto	Soggetti Essenziali	Soggetti Importanti
Settori	Allegato I (11 settori altamente critici)	Allegato II (altri settori critici)
Soglia dimensionale	Media o grande impresa (≥50 dip. o ≥€10M)	Media o grande impresa (≥50 dip. o ≥€10M)
Supervisione ACN	Ex-ante (proattiva e periodica)	Ex-post (reattiva, su segnalazione o incidente)
Sanzione massima	€10M o 2% fatturato mondiale	€7M o 1,4% fatturato mondiale
Resp. management	Sì (Art. 23 D.Lgs. 138/2024)	Sì

Le sanzioni previste

Il D.Lgs. 138/2024 introduce un regime sanzionatorio sostanzialmente allineato a quello della Direttiva NIS2. Per i soggetti essenziali, le sanzioni possono raggiungere 10 milioni di euro o il 2% del fatturato mondiale annuo — la soglia più alta tra le due. Per i soggetti importanti, fino a 7 milioni di euro o all'1,4% del fatturato mondiale.

Oltre alle sanzioni pecuniarie, l'ACN può adottare misure temporanee nei confronti dei soggetti non conformi: sospensione temporanea di certificazioni o autorizzazioni, obbligo di comunicare agli utenti le misure di sicurezza adottate, obbligo di rendere pubbliche le violazioni.

Un elemento di discontinuità rispetto al passato è la responsabilità personale del management: l'Art. 23 del D.Lgs. 138/2024 prevede che gli organi di amministrazione approvino le misure di sicurezza e ne supervisionino l'attuazione. I dirigenti che non hanno garantito la conformità possono essere ritenuti personalmente responsabili e, per i soggetti essenziali, temporaneamente interdetti da funzioni di gestione.

Per un approfondimento sugli obblighi NIS2 relativi alla supply chain, consulta la guida su NIS2 e gestione dei fornitori e su come costruire un registro fornitori verificati.

Domande frequenti

Chi deve registrarsi con l'ACN per NIS2?

Tutte le organizzazioni che operano in un settore degli Allegati I o II del D.Lgs. 138/2024 e superano la soglia dimensionale (medie imprese con ≥50 dipendenti o ≥€10M di fatturato/bilancio). Alcuni soggetti — provider cloud, data center, fornitori DNS, registri TLD — sono obbligati indipendentemente dalla dimensione.

Entro quando devono registrarsi le imprese italiane per NIS2?

La finestra di auto-registrazione iniziale si è chiusa il 28 febbraio 2025. Le organizzazioni che hanno omesso la registrazione devono provvedere immediatamente tramite la piattaforma ACN. Gli obblighi di sicurezza e notifica degli incidenti si applicano già pienamente, con i soggetti essenziali soggetti a supervisione proattiva.

Quali sono le sanzioni NIS2 in Italia?

Per i soggetti essenziali: fino a €10 milioni o 2% del fatturato mondiale annuo. Per i soggetti importanti: fino a €7 milioni o 1,4% del fatturato. Il management è responsabile personalmente. L'ACN può anche adottare misure temporanee come la sospensione di certificazioni.

Cosa prevede il D.Lgs. 138/2024 per la gestione dei fornitori?

L'Art. 24 del D.Lgs. 138/2024 impone ai soggetti obbligati di valutare i rischi legati ai fornitori ICT e ai fornitori di servizi critici, includere requisiti di sicurezza nei contratti e mantenere documentazione tracciabile delle valutazioni. Questi obblighi si applicano in modo più stringente per i fornitori con accesso a sistemi informativi o dati sensibili.