NIS2 e DORA: Obblighi e Scadenze per le Aziende Italiane
Guida agli obblighi introdotti dalla Direttiva NIS2 (D.Lgs. 138/2024) e dal Regolamento DORA per le aziende italiane. Soggetti obbligati, misure di sicurezza, sanzioni e scadenze.
Nota metodologica. La presente analisi è aggiornata al 25 marzo 2026. Il D.Lgs. 138/2024 (recepimento NIS2) è in vigore dal 16 ottobre 2024, con obbligo di registrazione presso ACN scaduto il 17 gennaio 2025. Il Regolamento DORA (Reg. UE 2022/2554) è applicabile dal 17 gennaio 2025. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
1. Due Normative, un Obiettivo Comune
Il 2025 ha segnato l'entrata a regime di due corpi normativi distinti ma convergenti sulla resilienza digitale delle organizzazioni: la Direttiva NIS2 e il Regolamento DORA. Sebbene si rivolgano a platee parzialmente diverse, entrambi condividono la logica di fondo: spostare il paradigma della cybersicurezza da reattivo a preventivo, attribuendo esplicitamente la responsabilità agli organi di vertice aziendale.
2. La Direttiva NIS2 — D.Lgs. 138/2024
La Direttiva (UE) 2022/2555 (NIS2), recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, sostituisce integralmente la precedente Direttiva NIS e amplia significativamente la platea dei soggetti obbligati.
2.1. Soggetti Obbligati
La NIS2 distingue tra:
| Categoria | Settori | Dimensione minima |
|---|---|---|
| Soggetti Essenziali | Energia, trasporti, bancario, infrastrutture mercati finanziari, sanità, acqua, infrastrutture digitali, PA centrale | Imprese medie (≥50 dipendenti o ≥€10M fatturato) |
| Soggetti Importanti | Servizi postali, gestione rifiuti, produzione/distribuzione chimica, produzione alimentare, fabbricazione, fornitori digitali | Imprese medie e grandi |
Le microimprese e piccole imprese (< 50 dipendenti, < €10M fatturato) sono generalmente escluse, salvo operino in settori critici come infrastrutture digitali o PA.
2.2. Obblighi Principali
I soggetti NIS2 devono:
- Registrarsi presso ACN tramite il portale dedicato (scadenza: 17 gennaio 2025 — proroghe individuali possibili previa istanza)
- Adottare misure di gestione del rischio che comprendano: policy di sicurezza delle reti e dei sistemi informativi, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, uso di crittografia e, se del caso, cifratura
- Notificare gli incidenti significativi ad ACN entro 24 ore (pre-notifica), 72 ore (notifica iniziale) e 30 giorni (relazione finale)
- Formazione degli organi di amministrazione: l'Art. 23 del D.Lgs. 138/2024 impone agli organi direttivi di seguire formazione specifica e di approvare le misure di gestione del rischio. La responsabilità personale dei dirigenti è esplicitamente prevista.
2.3. Sanzioni NIS2
| Categoria | Sanzione massima |
|---|---|
| Soggetti Essenziali | Fino a €10.000.000 o 2% del fatturato mondiale (il maggiore dei due) |
| Soggetti Importanti | Fino a €7.000.000 o 1,4% del fatturato mondiale |
3. Il Regolamento DORA — Reg. UE 2022/2554
Il Digital Operational Resilience Act (DORA) è un regolamento direttamente applicabile, senza necessità di recepimento nazionale, rivolto esclusivamente al settore finanziario e ai suoi fornitori ICT critici.
3.1. Soggetti Obbligati da DORA
Sono soggetti a DORA:
- Banche, istituti di credito, istituti di pagamento
- Imprese di assicurazione e riassicurazione
- Imprese di investimento, gestori di fondi (UCITS, GEFIA)
- Fornitori di servizi di cripto-attività (CASP) autorizzati ai sensi del MiCAR
- Fornitori terzi di servizi ICT classificati come "critici" da ESA (European Supervisory Authorities)
3.2. I Cinque Pilastri DORA
| Pilastro | Contenuto |
|---|---|
| Gestione del rischio ICT | Framework documentale con mappatura asset, identificazione minacce, politiche di continuità |
| Gestione degli incidenti ICT | Classificazione, notifica alle autorità (Banca d'Italia/IVASS/Consob) entro i termini prescritti |
| Test di resilienza operativa | TLPT (Threat-Led Penetration Testing) obbligatori per i soggetti più significativi |
| Rischio della catena di fornitura ICT | Due diligence e clausole contrattuali obbligatorie verso i fornitori ICT |
| Condivisione di informazioni | Partecipazione volontaria a network di condivisione delle minacce |
3.3. Sanzioni DORA
DORA non fissa direttamente importi sanzionatori: le autorità nazionali (in Italia: Banca d'Italia, Consob, IVASS, OAM) applicano le sanzioni previste dalle rispettive normative di settore. Per le banche, si applicano le sanzioni previste dal D.Lgs. 385/1993 (TUB), che possono raggiungere il 10% del fatturato annuo.
4. Sovrapposizione NIS2 e DORA: Chi Deve Applicare Cosa?
Un istituto di pagamento o una banca che ricade nell'ambito DORA è esclusa dagli obblighi NIS2 per le materie coperte da DORA, in applicazione del principio lex specialis (Art. 4 NIS2). Tuttavia, la catena di fornitura ICT di questi soggetti (fornitori SaaS, cloud provider, sviluppatori software) rimane potenzialmente soggetta a NIS2 se supera le soglie dimensionali.
5. Cosa Devono Fare le Aziende Adesso
- Verificare se si rientra nei soggetti essenziali o importanti NIS2 tramite l'auto-classificazione sul portale ACN
- Completare la registrazione ACN se non ancora effettuata (sanzioni per omessa registrazione fino a €125.000 per i soggetti essenziali)
- Per i soggetti finanziari: verificare la conformità dei contratti con fornitori ICT ai requisiti DORA (clausole obbligatorie ex Art. 30 DORA)
- Aggiornare il Modello 231 per includere i rischi cyber come categoria di rischio rilevante
- Nominare un responsabile interno per la gestione del rischio ICT (non necessariamente un CISO, ma un ruolo formalmente identificato)
Per una consulenza specifica sulla conformità NIS2 e DORA, si rimanda al servizio di consulenza DORA e NIS2.
Domande Frequenti
Chi deve registrarsi ad ACN per la NIS2?
Tutti i soggetti essenziali e importanti ai sensi del D.Lgs. 138/2024 devono registrarsi sul portale ACN. La registrazione era obbligatoria entro il 17 gennaio 2025 per i soggetti già operativi. I nuovi soggetti che superano le soglie dimensionali devono registrarsi entro il 17 gennaio dell'anno successivo a quello in cui sono divenuti rilevanti.
DORA si applica anche alle startup fintech?
Sì, se la startup è autorizzata come istituto di pagamento, IMEL, o CASP ai sensi del MiCAR. Le startup nella fase pre-autorizzazione non sono ancora soggette a DORA, ma devono strutturare la loro architettura di sicurezza ICT in conformità ai requisiti DORA prima di richiedere l'autorizzazione.
Qual è la differenza tra un incidente NIS2 e un data breach GDPR?
Un data breach GDPR riguarda esclusivamente la violazione di dati personali (notifica al Garante entro 72 ore). Un incidente NIS2 ha un perimetro più ampio: comprende qualsiasi evento che impatti sulla disponibilità, autenticità, integrità o riservatezza di dati o servizi, anche in assenza di dati personali coinvolti. I termini di notifica sono diversi e i destinatari sono ACN (NIS2) vs Garante Privacy (GDPR).
Un fornitore SaaS cloud è soggetto a NIS2?
Dipende. I fornitori di servizi cloud, CDN, DNS e marketplace digitali rientrano nei "fornitori di infrastrutture digitali" e possono essere soggetti a NIS2 indipendentemente dal settore del cliente, se superano le soglie dimensionali. I micro e piccoli operatori sono generalmente esclusi.