Conformità alla direttiva NIS2

Smetti di chiederti se la NIS2 ti riguarda. Ottieni chiarezza in 5 minuti

Aggiornato il 2026-06-23
Punti chiave: la NIS2 si applica a oltre 160'000 enti dell'UE in 18 settori. Questa pagina spiega le regole sull'ambito di applicazione, le eccezioni alle soglie dimensionali, gli obblighi sulla catena di fornitura e come gestire la conformità a livello di gruppo.

Oltre 160'000 enti dell'UE in 18 settori sono ora soggetti a obblighi obbligatori di cybersicurezza previsti dalla NIS2. Se la tua organizzazione opera nell'UE o serve clienti dell'UE, potresti già rientrare nell'ambito di applicazione senza saperlo.

Ottieni la checklist NIS2 gratuita

PDF gratuito, 2 campi, nessuna carta di credito, accesso immediato

4.8 / 5 Punteggio di soddisfazione dei clienti
93% Raccomanderebbe Priverion
Hosting in Svizzera Residenza europea dei dati
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Perché l'ambito di applicazione della NIS2 crea tanta confusione

Tre fattori che rendono l'applicabilità della NIS2 più complessa del GDPR

La maggior parte dei responsabili della conformità con cui parliamo ha letto la direttiva, eppure non è certa che ogni controllata rientri nell'ambito di applicazione. Quella confusione non è una lacuna di conoscenza. È un problema strutturale insito nel modo in cui la NIS2 è stata concepita.

16x

Aumento degli enti coinvolti rispetto alla direttiva NIS originale, da circa 10'000 a oltre 160'000

Fonte: valutazione d'impatto della NIS2 della Commissione europea, 2022

La regola della soglia dimensionale ha eccezioni che ti colgono di sorpresa

In genere la NIS2 riguarda le organizzazioni con oltre 50 dipendenti o un fatturato superiore a 10 milioni di euro in 18 settori. Sembra semplice, finché non scopri che i fornitori di servizi DNS, i registri TLD, i prestatori di servizi fiduciari e i fornitori unici di servizi essenziali rientrano nell'ambito di applicazione indipendentemente dalle dimensioni. Una controllata di 15 persone che gestisce il DNS del gruppo potrebbe trascinare l'intera organizzazione in obblighi di conformità che nessuno aveva previsto.

27

Stati membri dell'UE che recepiscono la NIS2 nel diritto nazionale, ciascuno con potenziali variazioni nell'ambito di applicazione e nell'applicazione delle norme

Direttiva NIS2 (UE) 2022/2555, articolo 41, termine di recepimento nazionale ottobre 2024

Il recepimento nazionale crea un mosaico di requisiti

La NIS2UmsuCG tedesca introduce categorie di enti aggiuntive rispetto alla direttiva. Belgio, Paesi Bassi e Francia hanno ciascuno le proprie sfumature applicative. Se il tuo gruppo opera in più giurisdizioni dell'UE, ossia esattamente i clienti che Priverion serve, non stai gestendo un'unica normativa. Stai gestendo una matrice di interpretazioni nazionali, ciascuna con autorità di vigilanza, scadenze di notifica e strutture sanzionatorie diverse.

10 mln €

Sanzione massima per i soggetti essenziali, o il 2% del fatturato annuo globale, a seconda di quale importo sia più elevato

Direttiva NIS2 (UE) 2022/2555, articolo 34, paragrafi 4 e 5

Gli obblighi sulla catena di fornitura estendono l'ambito di applicazione ad aziende che si credono esenti

L'articolo 21, paragrafo 2, lettera d) impone ai soggetti rientranti nell'ambito di applicazione di affrontare la sicurezza della catena di fornitura, il che significa che imporranno contrattualmente ai propri fornitori requisiti allineati alla NIS2. Anche se la tua organizzazione non raggiunge la soglia dimensionale o non opera in un settore elencato, i tuoi clienti possono trascinarti nella conformità. I fornitori di servizi IT, i fornitori cloud e i fornitori di processi in outsourcing sono particolarmente esposti. E gli organi di gestione possono essere ritenuti personalmente responsabili in caso di non conformità: non si tratta di un rischio astratto.

Non sei sicuro se la tua organizzazione, e le sue controllate, rientrino nell'ambito di applicazione della NIS2?

Ottieni la checklist NIS2 gratuita

200+

Ore risparmiate nella gestione del registro dei trattamenti

Un'azienda di tecnologia medica ha reindirizzato oltre 200 ore dalla documentazione manuale del registro dei trattamenti alla preparazione della certificazione ISO 27001 durante il primo anno con Priverion

60%

Costo totale inferiore rispetto alle piattaforme tradizionali

Sulla base dei prezzi pubblicati per utente e per modulo delle piattaforme privacy enterprise, confrontati con il modello per azienda di Priverion per un'organizzazione con 10 enti e 500 utenti

3 mesi

In anticipo sui tempi per la certificazione ISO 27001

Un'azienda di tecnologia medica ha accelerato di tre mesi la propria preparazione alla ISO 27001 utilizzando i pacchetti di prove pronti per l'audit e la documentazione automatizzata di Priverion

Cosa dicono i nostri clienti

Scelto dai team di conformità in tutta Europa

I responsabili della privacy e della conformità di organizzazioni multi-ente si affidano a Priverion per rendere operativa la conformità alla NIS2 e al GDPR.

"Dovevamo mappare l'applicabilità della NIS2 a 12 controllate in 5 giurisdizioni dell'UE. Priverion ci ha dato un'unica dashboard che ha sostituito un labirinto di fogli di calcolo. Abbiamo raggiunto la piena prontezza alla conformità NIS2 in tutti gli enti in 8 settimane."

Group Head of IT Compliance presso un gruppo industriale

Risultato: conformità NIS2 in 12 controllate in 8 settimane

Sulla base di un'intervista al cliente, T1 2025

"Priverion ha ridotto del 60% i tempi di amministrazione della conformità nei primi sei mesi. La sola ricertificazione automatizzata del registro dei trattamenti ci ha evitato di assumere un FTE aggiuntivo. L'hosting in Svizzera è stato un fattore decisivo per il nostro consiglio di amministrazione."

Responsabile della protezione dei dati presso un produttore aeronautico

Risultato: 60% di tempo in meno per l'amministrazione della conformità in 6 mesi

Sulla base di un caso di studio cliente, T4 2024

"Abbiamo reindirizzato oltre 200 ore dalla documentazione manuale alla preparazione della ISO 27001. I pacchetti di prove di Priverion hanno reso l'audit di certificazione straordinariamente fluido: eravamo tre mesi in anticipo rispetto alla nostra pianificazione originale."

CEO presso un'azienda di tecnologia medica

Risultato: oltre 200 ore risparmiate, certificazione ISO 27001 con 3 mesi di anticipo

Sulla base di un caso di studio cliente, T1 2025

Priverion vs. OneTrust

Perché i team privacy del mid-market scelgono di cambiare

OneTrust serve le organizzazioni Fortune 500 con un ambito GRC più ampio e team privacy dedicati. Priverion è stato creato per le organizzazioni che hanno bisogno di una conformità di livello enterprise senza i costi di gestione enterprise.

Cosa ottieni con OneTrust

Prezzi per modulo e per utente

I costi crescono con ogni nuovo utente, modulo e controllata. Le richieste di budget diventano un rituale trimestrale.

Sede negli Stati Uniti, trattamento dei dati globale

In uno scenario post-Schrems II, il trattamento basato negli Stati Uniti crea un'esposizione legale per i trasferimenti di dati europei su cui il tuo responsabile della protezione dei dati avrà da ridire.

Creato per le Fortune 500

Insiemi di funzionalità sterminati, tra cui ESG, hotline etiche e gestione del consenso ai cookie, comportano un onboarding più lungo, curve di apprendimento più ripide e il pagamento di funzionalità che non userai mai.

Oltre 200 integrazioni, la maggior parte superficiali

Un lungo elenco di connettori suona impressionante finché non ti rendi conto che la maggior parte richiede configurazione personalizzata e manutenzione continua.

Mesi per l'implementazione

Cicli di vendita enterprise e tempistiche di implementazione misurati in trimestri, non in settimane.

Cosa ottieni con Priverion

Prezzi prevedibili, nessuna trappola di espansione

Prezzo basato sul numero di aziende e sulle dimensioni organizzative, non per utente o per modulo. Aggiungi membri al team senza rinegoziare il contratto.

Sviluppato in Svizzera, ospitato in Svizzera, residenza europea dei dati

Tutto il trattamento dei dati rimane all'interno dell'infrastruttura svizzera. Non una casella di marketing, ma un requisito legale per i trasferimenti transfrontalieri di dati in un mondo post-Schrems II.

Creato appositamente per la privacy a livello di gruppo

Registro dei trattamenti, DPIA, rischio fornitori, richieste degli interessati, gestione degli incidenti e mappatura dei dati tra enti in un'unica piattaforma. Non ci occupiamo di ESG o di consenso ai cookie: ci occupiamo di gestione della privacy in modo eccezionale.

Integrazioni approfondite dove contano

Sistemi di gestione delle risorse umane, degli approvvigionamenti e degli asset IT: i flussi di lavoro che davvero guidano la conformità alla privacy. Connettori solidi che funzionano in modo affidabile, non 200 connettori superficiali che non funzionano.

Operativo in settimane, non in mesi

Un produttore aeronautico ha ridotto del 60% i tempi di amministrazione della conformità nei primi 6 mesi. Un'azienda di tecnologia medica ha risparmiato oltre 200 ore nella preparazione alla ISO 27001. Il time-to-value si misura in settimane.

Un produttore aeronautico, primi 6 mesi dopo l'implementazione | Un'azienda di tecnologia medica, preparazione alla ISO 27001

Cambiare non deve essere doloroso. La maggior parte dei team completa la migrazione nel giro di poche settimane.

Ottieni la checklist NIS2 gratuita
Settori NIS2

I 18 settori coperti dalla NIS2, e perché la classificazione è importante

La NIS2 suddivide i soggetti rientranti nell'ambito di applicazione in due categorie con obblighi e regimi sanzionatori diversi. Sapere dove si collocano la tua organizzazione e le sue controllate è il primo passo verso una strategia di conformità mirata.

Settori ad alta criticità (Allegato I), "soggetti essenziali"

Soggetti a vigilanza proattiva da parte delle autorità competenti. Sanzioni massime di 10 milioni di euro o il 2% del fatturato globale. Obblighi di preallarme entro 24 ore e di notifica dell'incidente entro 72 ore.

  • Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
  • Trasporti (aereo, ferroviario, per vie d'acqua, su strada)
  • Settore bancario
  • Infrastrutture dei mercati finanziari
  • Sanità (ospedali, laboratori, farmaceutica, dispositivi medici)
  • Acqua potabile
  • Acque reflue
  • Infrastrutture digitali (DNS, TLD, cloud, data center, CDN, servizi fiduciari)
  • Gestione dei servizi TIC (B2B, fornitori di servizi gestiti e di sicurezza)
  • Pubblica amministrazione (governo centrale)
  • Spazio

Altri settori critici (Allegato II), "soggetti importanti"

Soggetti a vigilanza reattiva (ex post). Sanzioni massime di 7 milioni di euro o l'1,4% del fatturato globale. Si applicano le stesse scadenze per la notifica degli incidenti.

  • Servizi postali e di corriere
  • Gestione dei rifiuti
  • Sostanze chimiche (fabbricazione, produzione, distribuzione)
  • Prodotti alimentari (produzione, trasformazione, distribuzione)
  • Fabbricazione (dispositivi medici, elettronica, macchinari, autoveicoli)
  • Fornitori digitali (marketplace online, motori di ricerca, social network)
  • Organizzazioni di ricerca

Operi in più settori o giurisdizioni? È esattamente per questo che Priverion è stato creato.

Ottieni la checklist NIS2 gratuita

Risorsa NIS2 gratuita

Scopri in 5 minuti se la tua organizzazione rientra nella NIS2

Una checklist strutturata di 2 pagine che copre la regola della soglia dimensionale, tutti i 18 settori, i fattori scatenanti della catena di fornitura e le eccezioni di recepimento nazionale. Utilizzata da oltre 2'400 professionisti della conformità dal lancio.

2'400+

Checklist scaricate dal T3 2024

5 min

Tempo medio per completare la valutazione

18

Settori coperti con indicazioni specifiche

Ottieni la checklist NIS2 gratuita

PDF gratuito. 2 campi. Accesso immediato, nessuna chiamata commerciale richiesta.

Risorsa gratuita

Scarica la checklist di applicabilità della NIS2

Un PDF strutturato di 2 pagine che ti guida attraverso la regola della soglia dimensionale, la classificazione settoriale e le eccezioni di recepimento nazionale, così sai esattamente a che punto si trova ciascun ente del tuo gruppo.

I tuoi dati sono trattati in Svizzera secondo la legge svizzera sulla protezione dei dati. Ti invieremo la checklist ed eventualmente ti ricontatteremo una volta, niente spam, nessuna campagna a goccia. Informativa sulla privacy

Ottieni la checklist NIS2 gratuita

PDF gratuito, accesso immediato

Informazioni su questa pagina — riferimenti, definizioni e domande frequenti

Punti chiave — Ambito di applicazione della conformità alla direttiva NIS2

La direttiva NIS2 (UE) 2022/2555 estende gli obblighi di cybersicurezza dell'UE a oltre 160'000 enti in 18 settori critici di tutti i 27 Stati membri. Le organizzazioni con oltre 50 dipendenti o un fatturato annuo superiore a 10 milioni di euro nei settori elencati devono conformarsi, sebbene si applichino eccezioni alla soglia dimensionale per i fornitori di servizi DNS, i registri TLD e i prestatori di servizi fiduciari. Gli obblighi sulla catena di fornitura previsti dall'articolo 21, paragrafo 2, lettera d) estendono i requisiti di conformità ai fornitori e ai prestatori di servizi che altrimenti potrebbero non rientrare nell'ambito di applicazione. Il recepimento nazionale crea un mosaico di requisiti, rendendo la conformità a livello di gruppo particolarmente complessa per le organizzazioni multi-ente.

Definizioni

Che cos'è la direttiva NIS2?

Direttiva NIS2 (direttiva (UE) 2022/2555) è il quadro aggiornato dell'Unione europea per il raggiungimento di un livello comune elevato di cybersicurezza in tutti gli Stati membri. Sostituisce la direttiva NIS originale (2016/1148) e amplia notevolmente l'ambito di applicazione, armonizza le sanzioni e introduce la responsabilità degli organi di gestione. Il testo integrale è disponibile su EUR-Lex — Direttiva (UE) 2022/2555.

Che cos'è un soggetto essenziale ai sensi della NIS2?

Soggetto essenziale indica le organizzazioni di 11 settori ad alta criticità (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione e spazio) che raggiungono la soglia dimensionale. I soggetti essenziali sono soggetti a regimi di vigilanza più rigorosi e a sanzioni più elevate, fino a 10 milioni di euro o il 2% del fatturato annuo globale. Fonte: direttiva NIS2, articolo 3 e allegato I.

Che cos'è un soggetto importante ai sensi della NIS2?

Soggetto importante comprende le organizzazioni di 7 settori aggiuntivi (servizi postali, gestione dei rifiuti, sostanze chimiche, produzione alimentare, fabbricazione, fornitori digitali e ricerca) che raggiungono la soglia dimensionale. I soggetti importanti sono soggetti a sanzioni fino a 7 milioni di euro o l'1,4% del fatturato annuo globale. Fonte: direttiva NIS2, articolo 3 e allegato II.

Che cos'è la regola della soglia dimensionale?

Regola della soglia dimensionale è la soglia generale che porta le organizzazioni nell'ambito di applicazione della NIS2: 50 o più dipendenti, oppure un fatturato annuo o un totale di bilancio superiore a 10 milioni di euro. Tuttavia, alcuni tipi di soggetti, ossia i fornitori di servizi DNS, i registri dei nomi TLD, i prestatori qualificati di servizi fiduciari e i fornitori unici di servizi essenziali, rientrano nell'ambito di applicazione indipendentemente dalle dimensioni. Fonte: direttiva NIS2, articolo 2.

Domande frequenti

Chi deve conformarsi alla direttiva NIS2?

La NIS2 si applica alle organizzazioni di medie e grandi dimensioni (oltre 50 dipendenti o un fatturato superiore a 10 milioni di euro) che operano in 18 settori critici di tutti i 27 Stati membri dell'UE. Alcuni soggetti, come i fornitori di servizi DNS, i registri TLD e i prestatori di servizi fiduciari, devono conformarsi indipendentemente dalle dimensioni. Secondo la valutazione d'impatto della NIS2 della Commissione europea, si stima che oltre 160'000 enti rientrino nell'ambito di applicazione, un aumento di 16 volte rispetto alla direttiva NIS originale.

Quali sono le sanzioni per la non conformità alla NIS2?

I soggetti essenziali sono soggetti a sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato annuo globale, a seconda di quale importo sia più elevato. I soggetti importanti sono soggetti a sanzioni fino a 7 milioni di euro o l'1,4% del fatturato annuo globale. Aspetto cruciale, l'articolo 20 della direttiva introduce la responsabilità personale per gli organi di gestione che non approvano e non sorvegliano le misure di gestione del rischio di cybersicurezza. Fonte: direttiva NIS2, articoli 34, paragrafi 4 e 5, e 20.

Quali sono i 18 settori coperti dalla NIS2?

La NIS2 copre 11 settori essenziali (energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio) e 7 settori importanti (servizi postali e di corriere, gestione dei rifiuti, fabbricazione/produzione/distribuzione di sostanze chimiche, produzione/trasformazione/distribuzione di prodotti alimentari, fabbricazione, fornitori digitali, ricerca). Gli elenchi settoriali completi sono definiti negli allegati I e II della direttiva (UE) 2022/2555.

La NIS2 si applica alle aziende al di fuori dell'UE?

Sì. Le aziende non UE che forniscono servizi all'interno dell'UE nei settori coperti possono rientrare nell'ambito di applicazione della NIS2. Inoltre, l'articolo 21, paragrafo 2, lettera d) impone ai soggetti rientranti nell'ambito di applicazione di imporre ai propri fornitori requisiti di sicurezza della catena di fornitura tramite obblighi contrattuali, estendendo di fatto i requisiti di conformità ai fornitori e ai prestatori di servizi non UE. Le linee guida dell'ENISA sull'attuazione della NIS2 confermano questa portata extraterritoriale. Fonte: ENISA — Pagina tematica sulla direttiva NIS.

In cosa differisce la NIS2 dalla direttiva NIS originale?

La NIS2 amplia drasticamente l'ambito di applicazione, da circa 10'000 enti nell'ambito della NIS1 a oltre 160'000 enti. Le differenze principali comprendono: l'aggiunta di 7 nuovi settori, un quadro sanzionatorio armonizzato in tutti gli Stati membri, il preallarme obbligatorio entro 24 ore per gli incidenti significativi (in precedenza non standardizzato), requisiti espliciti di gestione del rischio della catena di fornitura ai sensi dell'articolo 21, paragrafo 2, lettera d), e la responsabilità personale per gli organi di gestione ai sensi dell'articolo 20. Fonte: direttiva (UE) 2022/2555.

Quali sono le tempistiche di notifica degli incidenti previste dalla NIS2?

La NIS2 impone un processo di notifica degli incidenti in tre fasi definito all'articolo 23: (1) un preallarme entro 24 ore dalla presa di conoscenza di un incidente significativo, (2) una notifica dell'incidente entro 72 ore con una valutazione iniziale della gravità e dell'impatto, e (3) una relazione finale entro un mese che illustri l'analisi della causa di fondo, l'impatto transfrontaliero e le misure di rimedio adottate. Fonte: direttiva NIS2, articolo 23.

In che modo il recepimento nazionale incide sulla conformità alla NIS2?

Ciascuno dei 27 Stati membri dell'UE deve recepire la NIS2 nel diritto nazionale, il che può introdurre variazioni nell'ambito di applicazione, nei meccanismi di applicazione e nelle strutture delle autorità di vigilanza. Ad esempio, la NIS2UmsuCG tedesca introduce categorie di enti aggiuntive rispetto alla base della direttiva. Le organizzazioni che operano in più giurisdizioni devono monitorare lo stato di recepimento di ciascun paese ed eventuali requisiti nazionali aggiuntivi. Il termine di recepimento originale era il 17 ottobre 2024, sebbene diversi Stati membri abbiano accumulato ritardi. Fonte: direttiva NIS2, articolo 41.

Gli obblighi sulla catena di fornitura possono trascinare nell'ambito della NIS2 aziende esenti?

Sì. L'articolo 21, paragrafo 2, lettera d) della NIS2 impone ai soggetti rientranti nell'ambito di applicazione di affrontare la sicurezza della catena di fornitura, il che significa che imporranno contrattualmente ai propri fornitori requisiti di cybersicurezza allineati alla NIS2. Anche le organizzazioni che non raggiungono la soglia dimensionale o non operano in un settore elencato possono essere trascinate in una conformità di fatto dai propri clienti. I fornitori di servizi IT, i fornitori cloud, i fornitori di servizi di sicurezza gestiti e i fornitori di processi in outsourcing sono particolarmente esposti a questi obblighi a cascata.

Statistiche e contesto della NIS2

Secondo la valutazione d'impatto della NIS2 della Commissione europea (2022), la direttiva estende la copertura da circa 10'000 enti nell'ambito della direttiva NIS originale a oltre 160'000 enti, un aumento di 16 volte. La direttiva copre 18 settori in tutti i 27 Stati membri dell'UE. I soggetti essenziali sono soggetti a sanzioni massime di 10 milioni di euro o il 2% del fatturato annuo globale, mentre i soggetti importanti sono soggetti a sanzioni fino a 7 milioni di euro o l'1,4% del fatturato globale. Il rapporto ENISA Threat Landscape 2023 ha rilevato che i settori della sanità e dell'energia hanno registrato il maggior volume di incidenti informatici tra i settori coperti dalla NIS, a conferma delle ragioni dell'ambito di applicazione ampliato della NIS2. Fonte: ENISA Threat Landscape 2023.

Soggetti essenziali e importanti della NIS2 — Confronto

CriterioSoggetti essenzialiSoggetti importanti
Settori11 settori (Allegato I): energia, trasporti, settore bancario, sanità, acqua, infrastrutture digitali, gestione TIC, pubblica amministrazione, spazio, mercati finanziari, acque reflue7 settori (Allegato II): servizi postali, rifiuti, sostanze chimiche, prodotti alimentari, fabbricazione, fornitori digitali, ricerca
Sanzione massima10 mln € o 2% del fatturato annuo globale7 mln € o 1,4% del fatturato annuo globale
Regime di vigilanzaEx ante: audit e ispezioni proattivi da parte delle autoritàEx post: vigilanza attivata da indizi di non conformità
Notifica degli incidentiPreallarme 24h, notifica 72h, relazione finale 1 mesePreallarme 24h, notifica 72h, relazione finale 1 mese
Responsabilità degli organi di gestioneSì — responsabilità personale ai sensi dell'articolo 20Sì — responsabilità personale ai sensi dell'articolo 20
Soglia dimensionaleOltre 50 dipendenti o fatturato superiore a 10 mln € (con eccezioni)Oltre 50 dipendenti o fatturato superiore a 10 mln €