Classifica il soggetto, monitora le misure di gestione dei rischi di cybersicurezza dell'articolo 21 e rispetta le scadenze di notifica degli incidenti NIS2 a 24, 72 ore e 30 giorni — in un unico spazio di lavoro.
Chi deve conformarsi
Soggetti medi e grandi nei settori degli allegati I/II (oltre 50 dipendenti o oltre 10 M€ di fatturato)
In vigore dal
Recepimento nazionale dal 17 ottobre 2024
Sanzioni massime
Fino a 10 M€ o al 2% del fatturato annuo globale
L'ambito di applicazione segue l'articolo 2 in combinato disposto con gli allegati I e II. Alcuni soggetti — come i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD) e i prestatori qualificati di servizi fiduciari — rientrano indipendentemente dalle dimensioni. Si tratta di un orientamento, non di una consulenza legale; verifica la tua posizione con un legale.
La NIS2 alza l'asticella sulla gestione del rischio informatico e sulla notifica degli incidenti per le organizzazioni che rientrano nell'ambito in tutta l'UE. Gli obblighi principali:
Adottare misure tecniche, operative e organizzative adeguate — analisi dei rischi, gestione degli incidenti, continuità operativa, crittografia, controllo degli accessi e altro — proporzionate ai rischi affrontati.
Notificare al proprio CSIRT o all'autorità competente entro tempi rigorosi: un preallarme entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro un mese da un incidente significativo.
Gli organi di gestione devono approvare le misure di gestione dei rischi, sovrintendere alla loro attuazione e seguire una formazione — e possono essere ritenuti responsabili in caso di non conformità.
Valutare e affrontare i rischi di cybersicurezza lungo la catena di approvvigionamento e nei rapporti con i fornitori, comprese le pratiche di sicurezza dei fornitori diretti di servizi TIC.
Trasforma la direttiva in un programma tracciato e documentato — senza fogli di calcolo.
Monitora ogni misura di base di gestione dei rischi rispetto alla tua situazione attuale, con evidenze e una chiara visibilità delle lacune.
Registra gli incidenti significativi e ottieni il calcolo automatico delle scadenze a 24h / 72h / 30 giorni, con notifiche alle autorità precompilate e indirizzate al tuo contatto CSIRT.
Imposta il livello del tuo soggetto in modo che si applichino i promemoria, l'instradamento delle notifiche e gli obblighi corretti per la tua organizzazione.
Riutilizza i controlli NIS2 su GDPR, DORA e AI Act dell'UE grazie al motore di mappatura dei framework — documenta una volta, soddisfa più normative.
La NIS2 si applica ai soggetti medi e grandi (in linea di massima, oltre 50 dipendenti o più di 10 M€ di fatturato) che operano nei settori ad alta criticità dell'allegato I o negli altri settori critici dell'allegato II. Alcuni tipi di soggetti — come i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello (TLD) e i prestatori qualificati di servizi fiduciari — rientrano nell'ambito indipendentemente dalle dimensioni.
Gli Stati membri erano tenuti a recepire la direttiva (UE) 2022/2555 nel diritto nazionale entro il 17 ottobre 2024, sostituendo la precedente direttiva NIS. Gli obblighi si applicano attraverso la legislazione di attuazione di ciascun Paese.
I soggetti essenziali provengono dai settori ad alta criticità dell'allegato I e sono soggetti a vigilanza proattiva; i soggetti importanti provengono dai settori dell'allegato II e sono vigilati in modo reattivo. Entrambi devono rispettare gli obblighi di gestione dei rischi e di notifica — cambiano il regime di vigilanza e le sanzioni massime.
Per un incidente significativo: un preallarme entro 24 ore, una notifica completa entro 72 ore e una relazione finale entro un mese, da presentare al CSIRT nazionale o all'autorità competente.
I soggetti essenziali rischiano sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale totale, se superiore; i soggetti importanti fino a 7 milioni di euro o all'1,4%. Anche gli organi di gestione possono essere ritenuti personalmente responsabili.
Fai l'autovalutazione gratuita per stimare in pochi minuti l'ambito di applicazione e gli obblighi NIS2 che ti riguardano — senza bisogno di un account.