SecBox
🇬🇧
NIS2 Compliance

NIS2 in Italia: Registrazione ACN e Obblighi del D.Lgs. 138/2024

D.Lgs. 138/2024 in vigore dal 16 ottobre 2024: chi deve registrarsi all'ACN, scadenze reali e cosa rischi se sei fuori scope per errore.

15 aprile 20267 min di letturaSecBox Team
NIS2 in Italia: Registrazione ACN e Obblighi del D.Lgs. 138/2024

NIS2 in Italia: Registrazione ACN e Obblighi del D.Lgs. 138/2024

Il 1 ottobre 2024 è stata pubblicata in Gazzetta Ufficiale la legge di recepimento della Direttiva NIS2: il D.Lgs. 138/2024, entrato in vigore il 16 ottobre 2024. L'Italia è tra i primissimi Stati membri a completare il recepimento, insieme a Belgio e Croazia, e lo ha fatto introducendo un meccanismo operativo tutto italiano: la finestra di registrazione annuale gestita dall'ACN.

Se gestisci un'azienda con più di 50 dipendenti o un fatturato superiore a 10 milioni di euro in uno dei settori previsti dalla direttiva, questo articolo è scritto per te.

Perché il D.Lgs. 138/2024 è diverso dalla direttiva europea

La direttiva NIS2 (UE 2022/2555) fissa gli obiettivi: ogni Stato membro li recepisce con la propria normativa nazionale. L'Italia ha fatto alcune scelte precise che è importante conoscere.

La prima è la scelta dell'autorità competente. L'ACN - Agenzia per la Cybersicurezza Nazionale diventa l'unico interlocutore per tutto il processo: registrazione, supervisione, ispezioni e sanzioni. Non c'è frammentazione tra autorità settoriali come in altri Paesi.

La seconda è la finestra di registrazione. Invece di un'iscrizione una-tantum, il D.Lgs. 138/2024 prevede che la registrazione sia aperta ogni anno nel periodo gennaio-febbraio. Le entità che diventano in scope in corso d'anno devono registrarsi nella finestra successiva. Questo meccanismo è unico a livello europeo e crea una scadenza ciclica da non dimenticare.

Chi è in scope: soggetti essenziali e soggetti importanti

La normativa divide le organizzazioni in due categorie con requisiti e sanzioni differenti.

Soggetti Essenziali (SE) - soglie dimensionali: almeno 250 dipendenti oppure almeno 50 milioni di euro di fatturato annuo. Si tratta di operatori in settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione, spazio.

Soggetti Importanti (SI) - soglie dimensionali: almeno 50 dipendenti oppure almeno 10 milioni di euro di fatturato annuo. Includono i settori ad alta criticità con dimensioni inferiori, più i settori critici aggiuntivi: servizi postali, gestione dei rifiuti, fabbricazione e distribuzione di sostanze chimiche, produzione e distribuzione alimentare, fabbricazione di dispositivi medici, fabbricazione di veicoli, fabbricazione di macchinari, fornitori digitali, ricerca.

La stima del Governo è che tra le 15.000 e le 18.000 organizzazioni italiane ricadano in scope. Non sono solo grandi imprese: una PMI manifatturiera con 80 dipendenti che produce componenti per il settore difesa o medicale può essere un Soggetto Importante.

Un aspetto spesso sottovalutato: anche le piccole imprese al di sotto delle soglie possono essere incluse se l'ACN le ritiene "critiche" per la continuità di un'infrastruttura essenziale. È il cosiddetto criterio di inclusione per impatto sistemico.

La finestra di registrazione annuale: come funziona

Il portale di registrazione ACN è accessibile su sicurezza.gov.it. La registrazione richiede:

  • Codice fiscale e P.IVA dell'organizzazione
  • Nominativo e contatto del Referente NIS2 (persona fisica responsabile della compliance)
  • Settore di appartenenza (secondo la classificazione allegata al D.Lgs. 138/2024)
  • Dimensione dell'organizzazione (micro, piccola, media, grande)
  • Dichiarazione di auto-valutazione della categoria (SE o SI)

La finestra è aperta ogni anno a gennaio e febbraio. Se la tua organizzazione era in scope al 16 ottobre 2024 e non si è registrata nella finestra gennaio-febbraio 2025, era già in ritardo. Le iscrizioni fuori finestra non sono accettate salvo casi eccezionali documentati.

Il Referente NIS2 non deve essere necessariamente un CISO o una figura tecnica certificata: può essere il CTO, il responsabile IT o anche un consulente esterno designato. Deve però essere raggiungibile dall'ACN e avere l'autorità formale di rappresentare l'organizzazione nelle comunicazioni ufficiali.

Le scadenze operative che contano davvero

Il D.Lgs. 138/2024 non chiede tutto subito. Ci sono due scadenze principali da tenere in mente:

1 gennaio 2026 - Governance e incident reporting

Entro questa data devono essere operativi:

  • Governance NIS2: l'organo di amministrazione (CDA o management) deve aver approvato formalmente le policy di sicurezza, ricevuto formazione specifica sui rischi cyber e assunto responsabilità documentata sulla compliance.
  • Incident reporting: il processo di notifica degli incidenti deve essere attivo. Per gli incidenti "significativi" la NIS2 prevede un early warning entro 24 ore, un report dettagliato entro 72 ore e un report finale entro 1 mese. Il destinatario è il CSIRT Italia (Computer Security Incident Response Team), operativo sotto l'ACN.

1 ottobre 2026 - Misure tecniche complete

Entro questa data devono essere implementate tutte le misure tecniche dell'Art. 21, che include:

  • Politiche di analisi dei rischi e sicurezza dei sistemi informativi
  • Gestione degli incidenti
  • Continuità operativa (backup, disaster recovery, gestione delle crisi)
  • Sicurezza della supply chain
  • Sicurezza nell'acquisizione, sviluppo e manutenzione di sistemi
  • Politiche e procedure per valutare l'efficacia delle misure
  • Pratiche di igiene informatica di base e formazione
  • Politiche e procedure relative all'uso della crittografia
  • Sicurezza delle risorse umane, controllo degli accessi, gestione degli asset
  • Uso di soluzioni di autenticazione a più fattori o autenticazione continua

Nota che il 1 ottobre 2026 è tra meno di sei mesi dalla data di questo articolo. Non è un orizzonte lontano.

Cosa succede se non ti registri o sei fuori compliance

La mancata registrazione è una violazione accertabile direttamente dall'ACN, che ha il potere di condurre ispezioni documentali e tecniche anche senza preavviso per i Soggetti Essenziali.

Le sanzioni previste dal D.Lgs. 138/2024 sono:

  • Soggetti Essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo mondiale (si applica il maggiore dei due valori)
  • Soggetti Importanti: fino a 7 milioni di euro o l'1,4% del fatturato annuo mondiale

Ma le sanzioni non sono l'unico rischio. L'Art. 32 del D.Lgs. prevede che, nei casi più gravi, l'ACN possa chiedere la sospensione temporanea delle certificazioni o l'interdizione temporanea dall'esercizio di funzioni dirigenziali. Per un'azienda che opera in settori regolamentati, questo è spesso più dirompente di una multa.

Cosa deve fare una PMI nei prossimi mesi

Se la tua azienda è in scope e non hai ancora avviato il percorso NIS2, l'ordine di priorità è questo:

  1. Verifica lo scope - controlla settore e dimensione rispetto alle soglie. In caso di dubbio, consulta l'allegato I e II del D.Lgs. 138/2024 o chiedi a un consulente specializzato.

  2. Registrati nella prossima finestra - gennaio-febbraio 2027 se hai mancato quella del 2026. Nel frattempo, documenta perché non hai potuto registrarti prima.

  3. Nomina il Referente NIS2 - deve essere una persona fisica con delega scritta, non solo un incarico informale.

  4. Avvia la gap analysis - confronta i controlli tecnici esistenti con i requisiti dell'Art. 21. Senza sapere dove sei, non puoi pianificare dove arrivare.

  5. Implementa le misure tecniche core - firewall gestito, VPN con MFA, log immutabili, gestione degli accessi. Queste sono le basi dell'Art. 21 e le prime cose che un auditor verifica.

SecBox Shield: le misure tecniche NIS2 per le PMI

SecBox Shield è progettato specificamente per le PMI italiane che devono soddisfare i requisiti tecnici dell'Art. 21 senza costruire un team di sicurezza interno.

Shield Core a €49/mese include firewall gestito, VPN AES-256 con MFA e log WORM immutabili - le tre misure tecniche più verificate in fase di audit ACN.

Shield Pro a €149/mese aggiunge dashboard di monitoraggio, report mensili in formato esportabile (utili per la documentazione di governance) e supporto prioritario con SLA 4 ore.

Shield XDR a €299/mese completa il quadro con AI threat detection attiva e supporto H24/7/365 con SLA di risposta a 1 ora, per le organizzazioni che devono dimostrare capacità di risposta agli incidenti in linea con i requisiti di notifica a 24 ore.

Se sei un Soggetto Importante con scadenza al 1 ottobre 2026, i sei mesi che restano sono sufficienti per implementare le misure tecniche core con SecBox Shield, ma non c'è margine per rimandare.

Contattaci su [email protected] o accedi direttamente al portale clienti su clients.secbox.it per una valutazione iniziale gratuita del tuo perimetro NIS2.

#nis2#acn#dlgs-138-2024#compliance#pmi
Torna al Blog

Articoli Correlati

NIS2 Compliance

NIS2 2026: Sanzioni, Audit ACN e Cosa Stanno Verificando i Supervisori

NIS2 Compliance

NIS2 per PMI: Guida ai Costi Reali e Perche un MSSP Cambia Tutto

NIS2 Compliance

Checklist NIS2 per PMI: 10 Controlli da Fare Subito