• Amplia la precedente NIS 1 del 2016.
• È la prima misura legislativa europea per la sicurezza cibernetica.
• Migliora la cooperazione tra Stati membri.
• Impone misure di sicurezza agli operatori di servizi essenziali e ai fornitori di servizi digitali.
• Estende il perimetro di applicazione a molti settori industriali e dei servizi.
• Responsabilizza gli organi di controllo delle aziende e degli enti pubblici sul presidio dei rischi cyber e sulla comunicazione degli incidenti.
• Rafforza gli obblighi di cybersecurity.
• Introduce il concetto di sicurezza e resilienza della supply chain.
• Adotta 3 criteri: proporzionale, settoriale, dimensionale.

Governance. Il Management dovrà approvare le misure per la gestione dei rischi adottate dall’organizzazione e valutarne l’efficacia nel tempo: seguire una formazione periodica su tematiche di cybersicurezza e offrire una formazione analoga ai dipendenti.

Gestione del rischio. L’organizzazione dovrà valutare i rischi di sicurezza e di rete e adottare misure tecniche, operative e organizzative adeguate e proporzionate per prevenire o ridurre al minimo l'impatto degli incidenti per i destinatari dei propri servizi.

Continuità operativa. L’organizzazione dovrà adottare soluzioni per garantire la continuità operativa (es. backup, piano di disaster recovery e procedura di gestione delle crisi) finalizzate a ridurre al minimo l’impatto di eventuali interruzioni dei servizi erogati.

Catena di fornitura. L’azienda dovrà valutare le vulnerabilità di ogni diretto fornitore e la qualità complessiva dei prodotti e delle pratiche di cybersecurity dei propri fornitori. La valutazione riguarderà i fornitori ICT e altri fornitori critici che potrebbero causare l’interruzione del servizio per il quale l’organizzazione è stata inclusa nel perimetro NIS2.

• Politiche di analisi dei rischi e di sicurezza dei sistemi informativi.
• Procedura di gestione degli incidenti .
• Soluzioni per la continuità operativa (backup e disaster recovery) e procedure di gestione e comunicazione in caso di crisi.
• Politiche di sicurezza della catena di approvvigionamento (fornitori e i prestatori di servizi).
• Sicurezza nell'acquisizione, nello sviluppo, nella manutenzione e nella gestione delle vulnerabilità dei sistemi informativi e delle reti.
• Valutazione dell'efficacia della gestione dei rischi di cybersecurity.
• Pratiche di igiene informatica di base e formazione in materia di cybersecurity.
• Politiche e procedure e di crittografia e cifratura.
• Sicurezza delle risorse umane.
• Politiche di controllo degli accessi e di gestione degli asset.
• Uso dell’autenticazione a più fattori o di soluzioni di autenticazione continua.
• Sistemi di comunicazione vocale, video, di testo e di emergenza protetti.

Le misure dovranno essere proporzionate al contesto ed ai rischi specifici di ciascun soggetto considerando il grado di esposizione, le dimensioni dell'organizzazione e la probabilità e gravità degli incidenti (come l’impatto sociale ed economico).

• Gennaio 2026: obbligo generale di comunicazione degli incidenti (**)
• Febbraio 2026: registrazione soggetti interessati su portale ACN (*)
• Aprile 2026: conferma dei soggetti obbligati (*)
• Maggio 2026: aggiornamento dati aziendali con conferma IP pubblici, domini Responsabili (membri CdA), PdC, sostituto PdC (*)
• Ottobre 2026: termine generale del periodo transitorio per implementare le misure di sicurezza di base e raggiungere la compliance (***)
• Aggiornamento continuo: entro 14 gg da ogni variazione
• 2 mesi – periodo transitorio per soddisfare gli obblighi di base (notifica incidente)
• 14 mesi – periodo transitorio per implementare le misure di sicurezza e raggiungere la compliance

(*) attività con ricorrenza annuale, posticipata al 31/07/2025 per i primo anno.

(**) entro 9 mesi da ricezione conferma soggetto obbligato.

(***) entro 18 mesi da ricezione conferma soggetto obbligato.

SOGGETTI ESSENZIALI

Grandi operatori di settori essenziali e casi speciali:

Energia (elettricità, petrolio, gas, calore, idrogeno) | Sanità (servizi, laboratori, R&S, prodotti farmaceutici) | Trasporti (aerei, ferroviari, idrici, stradali) | Banche | Mercati finanziari | Imprese e fornitori di acqua potabile | Imprese e fornitori di acque reflue | Digitale (fornitore di: Internet Exchange Points (IXP), fornitori di servizi DNS, registri di nomi TLD, servizi di data center, fornitori di servizi di cloud computing, reti di distribuzione di contenuti, servizi fiduciari) | Gestione dei servizi ICT| Spazio

SOGGETTI IMPORTANTI

Grandi e medi operatori di settori importanti:

Servizi postali | Servizi di corriere | Gestione dei rifiuti | Produzione e distribuzione di sostanze chimiche | Produzione, trasformazione e distribuzione di alimentari | Industria (dispositivi medici e diagnostici; computer, elettronica e ottica; macchinari/apparecchiature n.c.a.; autoveicoli, rimorchi e altri mezzi) | Servizi digitali (mercati online, motori di ricerca online, social network) | Istituti di Ricerca

ENTI PUBBLICI

Pubbliche amministrazioni centrali, regionali, provinciali ed altri soggetti pubblici:

Amministrazioni centrali (Organi costituzionali e di rilievo costituzionale, Presidenza del Consiglio dei Ministri e i Ministeri; Agenzie fiscali,  Autorità amministrative indipendenti) | Amministrazioni regionali (Regioni e Province autonome) | Amministrazioni locali (Città metropolitane, Comuni > 100.000 abitanti, Comuni capoluoghi di regione, Aziende sanitarie locali) | Altri soggetti pubblici (Enti di regolazione dell’attività economica, Enti produttori di servizi economici, Enti a struttura associativa, Enti  produttori di servizi assistenziali, ricreativi e culturali, Enti e Istituzioni di ricerca, Istituti zooprofilattici sperimentali) | Ulteriori tipologie di soggetti (Soggetti che forniscono servizi di trasporto pubblico locale, Istituti di istruzione che svolgono attività di ricerca, Soggetti che svolgono attività di interesse culturale, Società in house, Società partecipate e Società a controllo pubblico).

Grandi imprese: più di 250 dipendenti e oltre 43 mln € fatt.

Medie imprese: tra 50 e 249 dipendenti e tra 10 e 43 mln € fatt.

PMI con ruolo cruciale nel proprio settore, indipendentemente dalle dimensioni.

Pubbliche Amministrazioni

Centrali, regionali, locali ed altri soggetti specifici.

ACN (Agenzia per la Cybersicurezza Nazionale) Autorità nazionale competente NIS 2

• Implementazione della normativa e coordinamento con Autorità di settore NIS
• Supervisione proattiva dei Soggetti Essenziali
• Vigilanza reattiva dei Soggetti Importanti
• Punto di contatto unico NIS nazionale

CSIRT (Computer Security Incident Response Team)

• Gruppo nazionale di risposta agli incidenti di sicurezza informatica.
• Gestione incidenti di sicurezza informatica.

Autorità di settore NIS

Presidenza CdM e Ministeri competenti che supportano l’ACN nell’attuazione della direttiva, identificando i soggetti interessati e coordinando tavoli settoriali.

Proporzionali in base a gravità dell’evento, danno causato, recidività e cooperazione

Grandi imprese: fino a 10 mln € o 2% fatturato globale.

Medie imprese: fino a 7 mln € o 1,4% del fatturato globale | le PA sono escluse.

Per tutti i soggetti interessati:

• Obbligo di rendere pubbliche le violazioni alla direttiva e/o al d.lgs. 138.
• Obbligo di informare il pubblico sugli incidenti occorsi.
• Interdizione temporanea degli organi di amministrazione, degli organi direttivi e delle funzioni dirigenziali (AD / rappresentante legale).

Solo per i soggetti essenziali:

• Sospensione delle certificazioni e delle autorizzazioni per i servizi o le attività forniti.
• Responsabilità diretta dei soggetti fisici degli organi di amministrazione, degli organi direttivi e delle funzioni dirigenziali delle aziende private.

Solo per le pubbliche amministrazioni:

• Responsabilità dirigenziale, disciplinare e amministrativo-contabile per i dipendenti pubblici e funzionari eletti o nominati che esercitano poteri di rappresentanza di un soggetto essenziale (Legge 90/2024).