Qual è la legge italiana di recepimento della NIS2?

Il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 18 ottobre 2024. È uno dei recepimenti più dettagliati in Europa, con obblighi settore per settore; l'ACN è l'Autorità nazionale competente e gestisce il CSIRT Italia.

Da quando si applicano gli obblighi NIS2 in Italia?

Non esiste un'unica data nazionale. L'ACN scagliona gli obblighi a partire dal consolidamento dell'elenco dei soggetti NIS (aprile 2025): gli obblighi di base di notifica circa 9 mesi dopo e le misure di sicurezza di base circa 18 mesi dopo (intorno a ottobre 2026), in modo proporzionato al soggetto. La prima finestra di registrazione sul portale ACN si è svolta dal 1° dicembre 2024 al 28 febbraio 2025.

Quali sono le sanzioni in Italia?

Fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, e 7 milioni o l'1,4% per i soggetti importanti (art. 38 D.Lgs 138/2024). La mancata registrazione entro il termine è sanzionata separatamente, fino allo 0,1% del fatturato. L'ACN può sanzionare anche i membri degli organi di gestione.

Chi sono i soggetti essenziali e i soggetti importanti?

La legge italiana mantiene la doppia classificazione della direttiva, con la terminologia italiana usata in tutte le comunicazioni ufficiali. I soggetti essenziali sono grandi organizzazioni nei settori ad alta criticità dell'Allegato I; i soggetti importanti sono organizzazioni medie dell'Allegato I e organizzazioni dei settori dell'Allegato II.

← Torna a Reglyze

Recepita — applicazione scaglionata

NIS 2 in Italia: Determinazioni ACN (misure di sicurezza di base)

Il quadro nazionale che rende NIS 2 misurabile in Italia sono le Determinazioni ACN (misure di sicurezza di base). Le Determinazioni ACN dettagliano le misure di sicurezza di base e le specifiche di notifica degli incidenti previste dal D.Lgs 138/2024, in dieci ambiti, con un calendario di adozione differenziato e proporzionato alla categoria del soggetto.

Stato del quadro: in vigore — applicazione scaglionata

L'essenziale in breve

Legge di recepimento

Decreto Legislativo 4 settembre 2024, n. 138

In vigore dal: 2024-10-18

Autorità competente

Agenzia per la Cybersicurezza Nazionale (ACN)

https://www.acn.gov.it

Quadro nazionale

Determinazioni ACN (misure di sicurezza di base)

Misure di base in dieci ambiti (art. 24 D.Lgs 138/2024); obblighi scaglionati: notifiche a 9 mesi, misure di sicurezza a 18 mesi dal consolidamento dell'elenco (aprile 2025).

Sanzioni

soggetti essenziali : fino a 10 mln € o 2 % del fatturato mondiale
soggetti importanti : fino a 7 mln € o 1.4 % del fatturato mondiale

Chi è coinvolto?

soggetti essenziali

Grandi soggetti nei settori ad alta criticità (Allegato I). Vigilanza rafforzata da parte dell'ACN.

soggetti importanti

Soggetti di medie dimensioni nei settori dell'Allegato I e soggetti nei settori dell'Allegato II.

Regime precedente: NIS 1 / D.Lgs 65/2018. L'ACN aggiorna l'elenco dei soggetti NIS; non viene pubblicato un numero totale fisso di soggetti rientranti nell'ambito.

Scadenze chiave

2024-10-18

Entrata in vigore del D.Lgs 138/2024; apertura del periodo di registrazione.

2025-02-28

Chiusura della prima finestra di registrazione sul portale ACN (aperta dal 1° dicembre 2024).

2025-04

Consolidamento dell'elenco dei soggetti NIS; da qui decorrono i termini per gli obblighi.

~2026-01

Obblighi di base di notifica degli incidenti — circa 9 mesi dopo il consolidamento di aprile 2025.

~2026-10

Misure di sicurezza di base operative — circa 18 mesi dopo il consolidamento di aprile 2025. Non esiste un'unica data nazionale di piena applicazione; il calendario è scaglionato per soggetto.

Notifica degli incidenti: 24 h (preallarme) / 72 h (notifica) / 1 mese (relazione finale), a CSIRT Italia (ACN).

Settori prioritari

Pubblica amministrazione e sanità

L'Italia applica un ambito ampio alla PA. Enti regionali, comuni e aziende sanitarie che erogano servizi ai cittadini sono spesso classificati come soggetti essenziali o importanti, con un referente per la sicurezza individuato.

Manifattura e filiere Made-in-Italy

La base industriale — automotive, meccanica, alimentare e farmaceutica — rientra nell'Allegato II come soggetti importanti oltre le soglie dimensionali, ed è sempre più coinvolta indirettamente tramite le richieste di due diligence dei grandi committenti.

Infrastrutture digitali e telecomunicazioni

Provider cloud, data center, operatori di telecomunicazioni e gestori di servizi ICT sono coperti, spesso a prescindere dalla dimensione per i servizi di categoria speciale (DNS, TLD, cloud, data center).

How Misure ACN maps to NIS2

Each control of Misure ACN — the national framework for NIS2 — shown against the NIS2 controls it covers. This is the authority's own correspondence, not a generic article list: where a control has no direct NIS2 control nexus, we say so.

Control (Misure ACN)	NIS2 control(s)	Status
Specifiche di base per l'adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NISdet-379907-2025	Art. 20(1) Art. 20(2) Art. 21(2)(a) Art. 21(2)(b) Art. 21(2)(c) Art. 21(2)(d) Art. 21(2)(e) Art. 21(2)(f) Art. 21(2)(g) Art. 21(2)(h) Art. 21(2)(i) Art. 21(2)(j)	Covered
Termini per i soggetti 2026 in relazione agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NISdet-127434-2026	Art. 21(2)(a) Art. 21(2)(b) Art. 21(2)(c) Art. 21(2)(d) Art. 21(2)(e) Art. 21(2)(f) Art. 21(2)(g) Art. 21(2)(h) Art. 21(2)(i) Art. 21(2)(j)	Partial coverage
Piattaforma, Punto di contatto e sostituto, aggiornamento delle informazioni e rappresentante NIS di cui all'articolo 7 del decreto NISdet-127437-2026	—	No direct NIS2 mapping
Categorie di rilevanza e processo per l'elencazione, caratterizzazione e categorizzazione delle attività e dei servizidet-155238-2026	Art. 21(2)(a)	Indicative
Composizione del Tavolo per l'attuazione della disciplina NISdet-112335-2026	—	No direct NIS2 mapping
Organizzazione e funzionamento del Tavolo per l'attuazione della disciplina NISdet-276206-2025	—	No direct NIS2 mapping
Notifica degli accordi di condivisione delle informazioni sulla sicurezza informatica di cui all'articolo 17 del decreto NISdet-136118-2025	—	No direct NIS2 mapping

Mapping derived from the authority's published Misure ACN framework. Reglyze maintains it as the source data evolves — see the platform for the full control-by-control view.

Domande frequenti

Qual è la legge italiana di recepimento della NIS2?: Il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 18 ottobre 2024. È uno dei recepimenti più dettagliati in Europa, con obblighi settore per settore; l'ACN è l'Autorità nazionale competente e gestisce il CSIRT Italia.
Da quando si applicano gli obblighi NIS2 in Italia?: Non esiste un'unica data nazionale. L'ACN scagliona gli obblighi a partire dal consolidamento dell'elenco dei soggetti NIS (aprile 2025): gli obblighi di base di notifica circa 9 mesi dopo e le misure di sicurezza di base circa 18 mesi dopo (intorno a ottobre 2026), in modo proporzionato al soggetto. La prima finestra di registrazione sul portale ACN si è svolta dal 1° dicembre 2024 al 28 febbraio 2025.
Quali sono le sanzioni in Italia?: Fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, e 7 milioni o l'1,4% per i soggetti importanti (art. 38 D.Lgs 138/2024). La mancata registrazione entro il termine è sanzionata separatamente, fino allo 0,1% del fatturato. L'ACN può sanzionare anche i membri degli organi di gestione.
Chi sono i soggetti essenziali e i soggetti importanti?: La legge italiana mantiene la doppia classificazione della direttiva, con la terminologia italiana usata in tutte le comunicazioni ufficiali. I soggetti essenziali sono grandi organizzazioni nei settori ad alta criticità dell'Allegato I; i soggetti importanti sono organizzazioni medie dell'Allegato I e organizzazioni dei settori dell'Allegato II.

Fonti ufficiali

Ultima verifica: 2026-06-01 · prossima ri-verifica prevista dopo 2026-09-01.

Pronto a metterti in conformità NIS 2 in Italia?

Reglyze usa l'IA per renderti conforme in modo semplice e veloce — scoping, analisi degli scostamenti e generazione di policy allineate alle Determinazioni ACN (misure di sicurezza di base).