Avv. Antonino Ingoglia - Diritto IT e Privacy
Aziende2026-03-237 min read

NIS2 e DORA: Obblighi e Scadenze per le Aziende Italiane

NIS2 e DORA per aziende italiane: soggetti obbligati, misure di sicurezza, sanzioni e scadenze. Guida agli adempimenti del D.Lgs. 138/2024.

Avv. Antonino Ingoglia

Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law

Nota metodologica. La presente analisi è aggiornata al 25 marzo 2026. Il D.Lgs. 138/2024 (recepimento NIS2) è in vigore dal 16 ottobre 2024, con obbligo di registrazione presso ACN scaduto il 17 gennaio 2025. Il Regolamento DORA (Reg. UE 2022/2554) è applicabile dal 17 gennaio 2025. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.

Fonti primarie: Direttiva NIS2 (Dir. UE 2022/2555) - EUR-Lex · Regolamento DORA (Reg. UE 2022/2554) - EUR-Lex · ACN - Portale NIS

1. Qual è l'obiettivo strategico comune delle normative NIS2 e DORA in Europa?

Il 2025 ha segnato l'entrata a regime della resilienza digitale in Italia: la Direttiva NIS2 e il Regolamento DORA. Sotto la vigilanza dell'Agenzia per la Cybersicurezza Nazionale (ACN) e delle autorità di settore (Banca d'Italia, IVASS), le organizzazioni devono oggi operare con un approccio preventivo, attribuendo la responsabilità della sicurezza direttamente agli organi di vertice.

In sintesi: (1) La Direttiva NIS2 (D.Lgs. 138/2024) impone obblighi rigorosi a Settori Essenziali e Importanti, con registrazione obbligatoria al portale ACN. (2) Il Regolamento DORA, pienamente applicativo da gennaio 2025, disciplina la resilienza del settore finanziario e dei suoi fornitori ICT critici. (3) Le sanzioni NIS2 raggiungono i 10 milioni di euro o il 2% del fatturato per i soggetti essenziali. (4) Gli incidenti significativi devono essere notificati allo CSIRT Italia entro il termine perentorio di 24 ore.

2. Quali sono gli adempimenti essenziali previsti dalla Direttiva Europea NIS2?

La Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, sostituisce integralmente la precedente Direttiva NIS e amplia significativamente la platea dei soggetti obbligati.

2.1. Soggetti Obbligati

La NIS2 distingue tra:

CategoriaSettoriDimensione minima
Soggetti EssenzialiEnergia, trasporti, bancario, infrastrutture mercati finanziari, sanità, acqua, infrastrutture digitali, PA centraleImprese medie (≥50 dipendenti o ≥€10M fatturato)
Soggetti ImportantiServizi postali, gestione rifiuti, produzione/distribuzione chimica, produzione alimentare, fabbricazione, fornitori digitaliImprese medie e grandi

Le microimprese e piccole imprese (< 50 dipendenti, < €10M fatturato) sono generalmente escluse, salvo operino in settori critici come infrastrutture digitali o PA.

2.2. Obblighi Principali

I soggetti NIS2 devono:

  1. Registrarsi presso ACN tramite il portale dedicato (scadenza: 17 gennaio 2025 - proroghe individuali possibili previa istanza)
  2. Adottare misure di gestione del rischio che comprendano: policy di sicurezza delle reti e dei sistemi informativi, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, uso di crittografia e, se del caso, cifratura
  3. Notificare gli incidenti significativi ad ACN entro 24 ore (pre-notifica), 72 ore (notifica iniziale) e 30 giorni (relazione finale)
  4. Formazione degli organi di amministrazione: l'Art. 23 del D.Lgs. 138/2024 impone agli organi direttivi di seguire formazione specifica e di approvare le misure di gestione del rischio. La responsabilità personale dei dirigenti è esplicitamente prevista.

2.3. Sanzioni NIS2

CategoriaSanzione massima
Soggetti EssenzialiFino a €10.000.000 o 2% del fatturato mondiale (il maggiore dei due)
Soggetti ImportantiFino a €7.000.000 o 1,4% del fatturato mondiale

3. Quali entità finanziarie sono obbligate a conformarsi al Regolamento DORA?

Il Digital Operational Resilience Act (DORA) è un regolamento direttamente applicabile, senza necessità di recepimento nazionale, rivolto esclusivamente al settore finanziario e ai suoi fornitori ICT critici.

3.1. Soggetti Obbligati da DORA

Sono soggetti a DORA:

  • Banche, istituti di credito, istituti di pagamento
  • Imprese di assicurazione e riassicurazione
  • Imprese di investimento, gestori di fondi (UCITS, GEFIA)
  • Fornitori di servizi di cripto-attività (CASP) autorizzati ai sensi del MiCAR
  • Fornitori terzi di servizi ICT classificati come "critici" da ESA (European Supervisory Authorities)

3.2. I Cinque Pilastri DORA

PilastroContenuto
Gestione del rischio ICTFramework documentale con mappatura asset, identificazione minacce, politiche di continuità
Gestione degli incidenti ICTClassificazione, notifica alle autorità (Banca d'Italia/IVASS/Consob) entro i termini prescritti
Test di resilienza operativaTLPT (Threat-Led Penetration Testing) obbligatori per i soggetti più significativi
Rischio della catena di fornitura ICTDue diligence e clausole contrattuali obbligatorie verso i fornitori ICT
Condivisione di informazioniPartecipazione volontaria a network di condivisione delle minacce

3.3. Sanzioni DORA

DORA non fissa direttamente importi sanzionatori: le autorità nazionali (in Italia: Banca d'Italia, Consob, IVASS, OAM) applicano le sanzioni previste dalle rispettive normative di settore. Per le banche, si applicano le sanzioni previste dal D.Lgs. 385/1993 (TUB), che possono raggiungere il 10% del fatturato annuo.

4. Come gestire la sovrapposizione normativa tra gli oneri della NIS2 e quelli del DORA?

Un istituto di pagamento o una banca che ricade nell'ambito DORA è esclusa dagli obblighi NIS2 per le materie coperte da DORA, in applicazione del principio lex specialis (Art. 4 NIS2). Tuttavia, la catena di fornitura ICT di questi soggetti (fornitori SaaS, cloud provider, sviluppatori software) rimane potenzialmente soggetta a NIS2 se supera le soglie dimensionali.

5. Cosa Devono Fare le Aziende Adesso

  1. Verificare se si rientra nei soggetti essenziali o importanti NIS2 tramite l'auto-classificazione sul portale ACN
  2. Completare la registrazione ACN se non ancora effettuata (sanzioni per omessa registrazione fino a €125.000 per i soggetti essenziali)
  3. Per i soggetti finanziari: verificare la conformità dei contratti con fornitori ICT ai requisiti DORA (clausole obbligatorie ex Art. 30 DORA)
  4. Aggiornare il Modello 231 per includere i rischi cyber come categoria di rischio rilevante
  5. Nominare un responsabile interno per la gestione del rischio ICT (non necessariamente un CISO, ma un ruolo formalmente identificato)

Per una consulenza specifica sulla conformità NIS2 e DORA, si rimanda al servizio di consulenza DORA e NIS2.

Domande Frequenti (FAQ)

Chi è l'autorità competente per la NIS2 in Italia? L'autorità nazionale di riferimento è l'ACN (Agenzia per la Cybersicurezza Nazionale). Per i soggetti NIS2, l'ACN gestisce la registrazione obbligatoria sul portale nis.acn.gov.it e riceve le notifiche di incidenti tramite lo CSIRT Italia.

DORA si applica a tutte le società Fintech e Startup? Sì, se rientrano nelle categorie di istituti di pagamento, IMEL, gestori di fondi o CASP (cripto-attività) autorizzati. Da gennaio 2025, queste entità devono disporre di un framework di resilienza ICT completo, inclusi i presidi sulla catena di fornitura.

Qual è la differenza fondamentale tra incidente NIS2 e Data Breach GDPR? Un Data Breach (GDPR) riguarda la compromissione di dati personali e va notificato al Garante Privacy. Un incidente NIS2 riguarda la compromissione di reti e sistemi informativi (anche in assenza di dati personali) e va notificato all'ACN. Se l'incidente colpisce sistemi informativi contenenti dati personali, è obbligatorio procedere alla doppia notifica verso entrambe le autorità.

Cosa rischia il Board aziendale in caso di inadempimento NIS2? L'Art. 23 del D.Lgs. 138/2024 introduce la responsabilità diretta degli organi di amministrazione. I dirigenti devono approvare le misure di gestione del rischio e possono essere ritenuti personalmente responsabili (con sanzioni amministrative pecuniarie) in caso di violazione degli obblighi di supervisione e implementazione.

Un fornitore SaaS è obbligato dalla NIS2? Sì, i fornitori di servizi cloud computing, i marketplace digitali e i motori di ricerca sono inclusi nell'elenco dei soggetti rilevanti. Se superano le soglie di "media impresa" (almeno 50 dipendenti o 10 milioni di fatturato), devono registrarsi presso ACN e adottare le misure di sicurezza previste dal regolamento di esecuzione UE 2024/2690.

Condividi:
Avv. Antonino Ingoglia

Autore

Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.

Profilo completo e competenze
Nota Informativa: I contenuti di questo articolo hanno finalità puramente divulgative e informative. Non costituiscono parere legale né instaurano un rapporto professionale. Ogni caso concreto richiede una valutazione specifica da parte di un professionista abilitato per delineare l'esatto perimetro legislativo e sanzionatorio.

Articoli correlati ed Approfondimenti

AziendeAI Act Digital Omnibus 2026: Le Nuove Scadenze e Perché il Rinvio È una Trappola14 min readAziendeTermini e Condizioni: Guida Completa per Siti Web e E-commerce25 min readAziendeTermini e Condizioni E-commerce: Guida 202628 min read
Torna alla raccolta
SUPPORTO

Serve assistenza per il tuo caso?

Prenota un colloquio in videochiamata da tutta Italia. Analizzeremo la situazione assieme e definiremo i passi operativi in totale riservatezza strategica.

Prenota Consulenza