La direttiva NIS2 non è una di quelle leggi che restano sulla carta: ha i denti e morde. Le multe arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale. Ma il rischio peggiore per molte aziende italiane non sono i soldi: è la responsabilità personale di chi siede nel CDA, la sospensione delle attività e il danno alla reputazione (che non si ripara con un assegno). In questo articolo ti spieghiamo cosa rischia concretamente la tua azienda e perché conviene muoversi adesso.
Perché le Multe Sono Così Alte
La vecchia direttiva NIS (2016) lasciava ai singoli Stati decidere le sanzioni. Risultato? Multe basse, applicazione a macchia di leopardo e aziende che rimandavano. Intanto gli attacchi informatici alle infrastrutture critiche europee sono aumentati del 150% tra il 2019 e il 2023. La Commissione Europea ha capito la lezione: senza multe serie, nessuno investe in sicurezza.
La NIS2 usa lo stesso approccio che ha funzionato con il GDPR: multe proporzionate al fatturato, abbastanza alte da rendere l'adeguamento sempre più conveniente rispetto al rischio di non farlo. Il messaggio è chiaro: la cybersecurity non è più una spesa facoltativa, ma un obbligo di legge con conseguenze vere.
Tabella Completa delle Sanzioni NIS2
La NIS2, recepita in Italia con il D.Lgs. 138/2024, prevede multe diverse a seconda che tu sia un soggetto essenziale o importante. Ecco i numeri:
| Criterio | Soggetti Essenziali | Soggetti Importanti |
|---|---|---|
| Sanzione massima | 10.000.000 € o 2% fatturato mondiale | 7.000.000 € o 1,4% fatturato mondiale |
| Criterio di calcolo | Si applica l'importo maggiore | Si applica l'importo maggiore |
| Responsabilità dirigenti | Sì – sospensione funzioni | Sì – sospensione funzioni |
| Audit obbligatori | Sì – ex ante ed ex post | Sì – solo ex post |
| Pubblicità della violazione | Sì – name & shame | Sì – name & shame |
| Sospensione certificazioni | Sì | Sì |
| Vigilanza | Proattiva e sistematica | Reattiva (su segnalazione) |
Attenzione: le sanzioni sono cumulative
Se un'azienda commette più violazioni, le sanzioni si sommano. Una mancata notifica di incidente combinata con l'assenza di misure di gestione del rischio può generare sanzioni multiple. Inoltre, se la stessa violazione riguarda anche il GDPR, si applicano entrambi i regimi sanzionatori.
Il CDA Risponde in Prima Persona
Ecco la novità che toglie il sonno ai dirigenti: la NIS2 rende gli amministratori personalmente responsabili. L'articolo 20 dice chiaro che chi siede nel CDA deve:
- Approvare le misure di gestione del rischio di cybersecurity
- Supervisionare l'attuazione delle misure adottate
- Seguire una formazione specifica in materia di sicurezza informatica
- Garantire formazione periodica anche per i dipendenti
Se il CDA non adempie a questi obblighi, i singoli membri possono essere ritenuti personalmente responsabili. Le conseguenze includono:
Sospensione dalle funzioni
Divieto temporaneo di esercitare funzioni dirigenziali nell'organizzazione.
Sanzioni pecuniarie personali
Multe individuali per mancata supervisione o approvazione delle misure.
Responsabilità civile
Azioni di risarcimento da parte dell'azienda o di terzi danneggiati.
Incapacità dirigenziale
Inibizione temporanea a ricoprire qualsiasi ruolo dirigenziale in Italia.
Questo cambia le regole del gioco. La sicurezza informatica non è più "roba dell'IT": è una responsabilità di chi firma i bilanci e prende le decisioni strategiche. Come spieghiamo nella nostra guida NIS2 per aziende italiane, la formazione del CDA è una delle prime cose da fare.
Timeline di Enforcement in Italia: Le Date Chiave
L'Italia ha recepito la NIS2 con il D.Lgs. 138/2024. Ecco le date che devi segnare in calendario per non farti trovare impreparato:
Entro 28 Febbraio 2026SCADENZA IMMINENTE
Scadenza registrazione sulla piattaforma ACN. Chi non si registra entro questa data commette già una violazione sanzionabile.
Aprile 2026
L'ACN comunica l'elenco definitivo dei soggetti essenziali e importanti. Da questo momento, le autorità possono avviare verifiche.
Entro Gennaio 2027
Obbligo pieno di notifica degli incidenti e adempimento degli obblighi di governance (formazione CDA, nomina responsabili).
Entro Ottobre 2027
Conformità completa a tutte le misure di gestione del rischio: sicurezza tecnica, organizzativa, supply chain, business continuity.
2027-2028
Regime ispettivo e sanzionatorio a pieno regime. L'ACN può ordinare audit, imporre misure correttive e comminare sanzioni.
Casi Europei: Le Prime Sanzioni in UE
L'Italia è ancora ai blocchi di partenza, ma altri Paesi europei stanno già staccando multe. Ecco cosa è successo e cosa ci aspetta:
- Germania (BSI): l'autorità federale per la sicurezza informatica ha già avviato procedimenti contro operatori di infrastrutture critiche che non hanno implementato sistemi di rilevamento delle intrusioni entro le scadenze previste. Sanzioni fino a 2 milioni di euro per mancata implementazione di IDS/IPS.
- Paesi Bassi (NCSC): multe fino a 5 milioni di euro comminate a fornitori di servizi digitali che non hanno segnalato incidenti significativi entro le 24 ore previste. Il caso più eclatante riguarda un provider cloud che ha ritardato la notifica di un data breach di 6 giorni.
- Francia (ANSSI): procedimenti avviati contro aziende del settore energetico per mancata valutazione dei rischi della supply chain. L'ANSSI ha pubblicato i nomi delle aziende non conformi ("name and shame"), causando danni reputazionali significativi.
Il messaggio è chiaro: le autorità europee fanno sul serio. L'ACN in Italia seguirà la stessa strada. Non è questione di "se", ma di "quando".
Confronto NIS2 vs GDPR: Due Normative, Doppio Rischio
Conosci già le sanzioni GDPR? Bene, la NIS2 si aggiunge. Le due normative non si sostituiscono: si sommano. Se ti beccano per entrambe, paghi due volte:
| Aspetto | GDPR | NIS2 |
|---|---|---|
| Ambito | Dati personali | Reti e sistemi informativi |
| Sanzione massima | 20M€ o 4% fatturato | 10M€ o 2% fatturato |
| Resp. dirigenti | Indiretta (DPO) | Diretta e personale |
| Notifica incidente | 72 ore al Garante | 24h preallarme + 72h notifica |
| Autorità Italia | Garante Privacy | ACN |
| Audit | Su richiesta | Sistematici (ess.) / reattivi (imp.) |
Un attacco che coinvolge dati personali e sistemi critici fa scattare sanzioni da entrambe le normative contemporaneamente. Per questo conviene affrontare GDPR e NIS2 insieme, con un unico piano. BullTech ti offre consulenza IT che copre entrambi i fronti.
Cosa Rischia Concretamente una PMI da 50-250 Dipendenti
Le grandi aziende hanno avvocati e budget dedicati. Ma tu che hai 80-150 dipendenti e fatturi 15-40 milioni di euro, cosa rischi esattamente? Facciamo i conti con tre scenari reali.
Scenario 1: Mancata registrazione ACN
Un'azienda manifatturiera con 120 dipendenti e 25 milioni di fatturato non si registra sulla piattaforma ACN entro febbraio 2026. Quando l'autorità lo rileva, la sanzione base può partire da 50.000 euro, con l'obbligo immediato di adeguamento e costi di consulenza aggiuntivi stimati in 20.000-40.000 euro per la registrazione tardiva e il recupero documentale.
Scenario 2: Incidente non notificato
Un attacco ransomware colpisce la stessa azienda. Il team IT riesce a ripristinare i sistemi in 48 ore, ma non notifica l'incidente all'ACN. Quando l'incidente emerge (e lo farà, perché i clienti si accorgono dei ritardi), la sanzione per mancata notifica può raggiungere i 500.000 euro. Se l'azienda non aveva nemmeno un sistema SOC/MDR attivo, si aggiunge la sanzione per inadeguatezza delle misure di sicurezza.
Scenario 3: Assenza totale di misure
L'ipotesi peggiore: nessuna registrazione, nessun piano di incident response, nessuna formazione cybersecurity per i dipendenti, nessuna valutazione dei fornitori. In caso di ispezione ACN, la somma delle violazioni può facilmente superare il milione di euro, più la sospensione temporanea dei dirigenti responsabili. Per un'azienda da 25 milioni di fatturato, la sanzione massima teorica sarebbe di 500.000 euro (1,4% di 25M come soggetto importante, se inferiore a 7M).
Il costo dell'adeguamento vs il costo della sanzione
Un percorso di adeguamento NIS2 completo per una PMI costa mediamente tra 15.000 e 50.000 euro, con un canone annuale di mantenimento di 5.000-15.000 euro. Confrontato con sanzioni potenziali da centinaia di migliaia di euro, più i costi indiretti (danno reputazionale, perdita clienti, sospensione dirigenti), l'investimento in compliance ha un ROI immediato.
Le Sanzioni Accessorie: Oltre le Multe
Le multe sono solo l'inizio. La NIS2 prevede anche misure accessorie che possono fare ancora più male:
Sospensione di certificazioni e autorizzazioni
L'autorità può sospendere temporaneamente le certificazioni dell'azienda, bloccandone di fatto l'operatività in determinati settori.
Pubblicità delle violazioni (name & shame)
L'ACN può rendere pubbliche le violazioni, causando danni reputazionali significativi. I clienti e i partner vengono informati della non conformità.
Audit di sicurezza obbligatori
L'autorità può ordinare audit di sicurezza a spese dell'azienda. Il costo di un audit imposto può essere significativamente superiore a uno volontario.
Ordini vincolanti di remediation
L'ACN può imporre specifiche misure correttive con scadenze perentorie. L'inadempienza genera ulteriori sanzioni.
Come Proteggersi: Le Azioni Immediate
La buona notizia? Mettersi in regola si può, e se ti fai aiutare da chi lo fa di mestiere, non è nemmeno traumatico. Ecco da dove partire subito:
Verificare immediatamente se la tua azienda rientra nel perimetro NIS2 e completare la registrazione ACN
Nominare un responsabile della sicurezza delle informazioni e coinvolgere il CDA nella governance cyber
Fare un checkup completo della sicurezza dei tuoi server, PC e rete
Attivare le protezioni essenziali: MFA, cifratura, backup immutabile, log centralizzati
Predisporre un piano di incident response con procedure di notifica conformi (24h + 72h)
Avviare un programma di formazione cybersecurity per tutti i dipendenti, CDA incluso
Valutare la sicurezza della supply chain e inserire clausole NIS2 nei contratti con i fornitori
Documentare tutte le misure adottate per dimostrare la conformità in caso di audit
Per ciascuno di questi punti, è disponibile una guida tecnica dettagliata nel nostro articolo sui requisiti tecnici NIS2 con checklist per IT Manager. Se stai pianificando un audit di conformità, consulta anche la nostra guida su come prepararsi a un audit di sicurezza informatica.
Come BullTech Ti Mette al Riparo dalle Sanzioni
Noi di BullTech facciamo esattamente questo: ti portiamo alla conformità NIS2 senza che tu debba diventare un esperto di cybersecurity. Come MSP con sede a Vimercate, ci occupiamo di tutto:
Checkup NIS2 Gratuito
Verifichiamo se rientri nel perimetro, analizziamo cosa ti manca e ti diamo un piano d'azione con costi e tempi.
Installazione e Configurazione
Firewall WatchGuard, EDR Bitdefender, backup Veeam, MFA, log centralizzati con NinjaOne.
SOC/MDR 24/7
Monitoraggio continuo con rilevamento incidenti e procedure di notifica conformi NIS2.
Formazione e Documentazione
Training cybersecurity per dipendenti e CDA, documentazione di compliance pronta per l'audit.
Il nostro team si occupa di tutto: dalla consulenza GDPR alla gestione della tua rete aziendale, dal monitoraggio proattivo alla business continuity. Con BullTech, la NIS2 non è un costo da subire: è una protezione concreta per il tuo business.
Domande Frequenti sulle Sanzioni NIS2
Quali sono le sanzioni massime previste dalla NIS2?
Per i soggetti essenziali: fino a 10 milioni di euro oppure il 2% del fatturato mondiale (si applica la cifra più alta). Per i soggetti importanti: fino a 7 milioni o l'1,4% del fatturato. E non è finita: si aggiungono possibili sanzioni penali e la responsabilità personale di chi siede nel CDA.
I dirigenti possono essere sanzionati personalmente?
Sì, e questo è il punto che preoccupa di più. Se non supervisioni le misure di sicurezza, rischi la sospensione dal ruolo dirigenziale. In Italia il D.Lgs. 138/2024 aggiunge anche l'incapacità temporanea di ricoprire incarichi di direzione. Tradotto: non puoi più fare il tuo lavoro.
Qual è la differenza tra le sanzioni NIS2 e quelle del GDPR?
Il GDPR arriva fino a 20 milioni o il 4% del fatturato per le violazioni più gravi. La NIS2 fino a 10 milioni o il 2%. La differenza? Il GDPR riguarda i dati personali, la NIS2 riguarda i tuoi server, PC e rete. Il problema vero: se un attacco colpisce entrambi (e succede spesso), paghi le sanzioni di tutte e due le normative.
Quando inizieranno le ispezioni NIS2 in Italia?
La registrazione sulla piattaforma ACN scadeva a febbraio 2026. Le ispezioni vere e proprie partono a pieno ritmo nel 2027, ma attenzione: l'ACN può già chiedere verifiche e audit in qualsiasi momento, dal momento in cui ricevi la notifica di inclusione nel perimetro. Insomma, non aspettare il 2027 per muoverti.
La mia PMI da 80 dipendenti rischia davvero sanzioni NIS2?
Sì, purtroppo sì. Se lavori in uno dei 18 settori critici e hai più di 50 dipendenti o fatturi oltre 10 milioni, sei un soggetto obbligato. Anche se sei sotto soglia, potresti essere coinvolto come fornitore. Un'azienda manifatturiera da 80 dipendenti può ricevere sanzioni fino a 7 milioni di euro come soggetto importante. Non sono numeri teorici.