NIS2: Supply Chain, Notifica Incidenti e Responsabilità Board nella Cybersecurity
NIS2 (D.Lgs. 138/2024): obblighi per la catena di fornitura ICT, notifica incidenti ad ACN, responsabilità personale degli amministratori e sanzioni. Guida operativa per soggetti essenziali e importanti.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato & Sviluppatore · IT Law
Nota metodologica. La presente analisi è aggiornata al 17 giugno 2026. Il D.Lgs. 138/2024 (recepimento NIS2) è in vigore dal 16 ottobre 2024. Il Regolamento di esecuzione UE 2024/2690 (misure di sicurezza minime NIS2) è applicabile dal 14 novembre 2024. La registrazione al portale ACN aveva scadenza originaria il 17 gennaio 2025. Il contenuto ha finalità esclusivamente informativa e non costituisce parere legale.
Fonti primarie: Direttiva UE 2022/2555 (NIS2), EUR-Lex · D.Lgs. 138/2024, Normattiva · Reg. UE 2024/2690, Misure minime sicurezza NIS2 · ACN, Portale NIS
La mia azienda è soggetta a NIS2? Quali sono gli obblighi principali che devo già aver adempiuto?
NIS2 si applica alle imprese medie e grandi (≥50 dipendenti o ≥10M fatturato) in settori critici e ad alta criticità, inclusi energia, trasporti, sanità, infrastrutture digitali, servizi postali, produzione alimentare e chimica, manifatturiero e fornitori di servizi digitali (cloud, data center, marketplace, motori di ricerca). L'obbligo di registrazione al portale ACN era già scaduto il 17 gennaio 2025. Le sanzioni per i soggetti essenziali raggiungono 10 milioni di euro o il 2% del fatturato mondiale. Gli amministratori sono personalmente responsabili per la mancata adozione delle misure di sicurezza.
La Direttiva NIS2 rappresenta un salto generazionale nella regolazione della cybersicurezza europea. Rispetto alla precedente Direttiva NIS (2016/1148), la NIS2 amplia la platea dei soggetti obbligati da circa 400 a oltre 20.000 entità stimate in Italia, introduce la responsabilità personale degli amministratori e impone un approccio strutturato alla gestione del rischio, inclusa la catena di fornitura e la notifica obbligatoria degli incidenti con tempistiche serrate.
1. La registrazione al portale ACN: l'obbligo già scaduto
L'Art. 20 del D.Lgs. 138/2024 impone a tutti i soggetti NIS2 (essenziali e importanti) di registrarsi sul portale portale.acn.gov.it, comunicando all'ACN i propri dati identificativi, il settore di appartenenza e i riferimenti del responsabile della sicurezza.
La scadenza originaria per la registrazione era il 17 gennaio 2025. Termine che, nonostante alcune proroghe individuali concesse da ACN per specifiche esigenze motivate, va considerato ampiamente decorso. L'omessa registrazione costituisce violazione autonoma, con sanzioni amministrative pecuniarie fino a €125.000 per i soggetti essenziali e fino a €50.000 per i soggetti importanti (Art. 34 D.Lgs. 138/2024).
Cosa fare se non ci si è ancora registrati: è comunque opportuno procedere alla registrazione immediata, documentando l'avvenuto adempimento tardivo. La registrazione non è un mero adempimento cartolare: attraverso il portale ACN si ricevono le comunicazioni ufficiali, le circolari interpretative e le richieste di informazioni da parte dell'autorità.
2. La catena di fornitura ICT: un obbligo spesso trascurato
L'Art. 21.2.d della Direttiva NIS2, e l'Art. 21 del D.Lgs. 138/2024, impone ai soggetti obbligati di adottare misure per la sicurezza della catena di approvvigionamento, inclusi aspetti relativi alla sicurezza delle relazioni tra ciascuna entità e i suoi fornitori diretti o prestatori di servizi. Questo obbligo si traduce in:
- Mappatura dei fornitori critici: identificare quali fornitori ICT hanno accesso a sistemi e dati che, se compromessi, potrebbero pregiudicare la continuità operativa
- Valutazione dei rischi della supply chain: analizzare la concentrazione delle dipendenze da singoli fornitori, la localizzazione dei dati, la solidità del fornitore
- Clausole contrattuali di sicurezza: i contratti con i fornitori ICT devono includere obblighi di notifica degli incidenti, livelli di servizio, procedure di risposta alle emergenze e diritti di audit
Per i soggetti NIS2 che operano anche come fornitori ICT di altri soggetti obbligati (es. un data center italiano che serve una banca), la conformità NIS2 diventa un requisito contrattuale che il cliente può legittimamente pretendere nella due diligence precontrattuale.
3. La notifica degli incidenti: tempistiche e criteri
Il sistema di notifica degli incidenti NIS2 distingue tre fasi temporali (Artt. 18-24 D.Lgs. 138/2024):
| Fase | Termine | Contenuto |
|---|---|---|
| Pre-notifica (allerta precoce) | 24 ore dal momento in cui si viene a conoscenza dell'incidente | Segnalazione iniziale che l'incidente è avvenuto, con indicazione sommaria della gravità |
| Notifica iniziale | 72 ore dalla conoscenza dell'incidente | Descrizione completa: natura, probabile impatto, indicatori di compromissione |
| Relazione intermedia | Su richiesta di ACN | Aggiornamento sullo stato della risposta e sulle misure correttive adottate |
| Relazione finale | 30 giorni dalla conoscenza dell'incidente | Analisi post-incidente, impatto finale, misure adottate e lezioni apprese |
Non tutti gli incidenti vanno notificati: solo quelli significativi, definiti come incidenti che hanno causato o sono in grado di causare una perturbazione grave dei servizi o delle risorse finanziarie dell'entità interessata. Il Regolamento di esecuzione UE 2024/2690 specifica le soglie quantitative e qualitative per la classificazione.
L'ACN ha pubblicato il modulo standard di notifica sul portale csirt.gov.it. La notifica va trasmessa tramite il sistema informatico messo a disposizione dallo CSIRT Italia, con firma digitale del legale rappresentante o del responsabile della sicurezza.
4. La responsabilità personale degli amministratori
L'Art. 23 del D.Lgs. 138/2024 è la disposizione che ha destato maggiore attenzione nel mondo corporate. Gli organi di amministrazione (Consiglio di Amministrazione, amministratore delegato, consiglieri delegati) devono:
- Approvare le misure di gestione del rischio di cybersicurezza
- Supervisionarne l'attuazione e l'efficacia
- Seguire una formazione specifica in materia di cybersicurezza
- Rispondere personalmente per le violazioni degli obblighi di supervisione e implementazione
La responsabilità personale non sostituisce ma si aggiunge a quella dell'ente: l'amministratore che non ha adottato le misure adeguate di cybersicurezza può essere destinatario di una sanzione amministrativa pecuniaria autonoma (da €10.000 a €125.000 per soggetti essenziali). Nei casi più gravi, in particolare per violazione della notifica obbligatoria, la sanzione può colpire anche la persona fisica.
Questa disposizione impone di documentare le decisioni in materia di cybersicurezza nei verbali del CdA, con evidenza delle valutazioni, delle scelte e dei controlli effettuati. La mancanza di documentazione rende difficile per gli amministratori dimostrare di aver adempiuto ai propri doveri.
5. Le misure di sicurezza minime NIS2
Il Regolamento di esecuzione UE 2024/2690 specifica le misure tecniche e organizzative che i soggetti NIS2 devono adottare:
- Policy di sicurezza delle reti e dei sistemi informativi: documentazione formale delle politiche adottate
- Gestione degli incidenti: procedure di rilevamento, risposta e comunicazione
- Continuità operativa: business continuity, disaster recovery, crisis management
- Sicurezza della catena di approvvigionamento: già trattata al §2
- Sicurezza degli acquisti, dello sviluppo e della manutenzione dei sistemi: ciclo di vita sicuro del software
- Crittografia e cifratura: ove appropriato in base alla sensibilità dei dati
- Sicurezza delle risorse umane: gestione degli accessi, formazione, segregazione dei ruoli
- Registrazione e monitoraggio: log centralizzati, retention, analisi delle anomalie
- Politica di backup e procedure di ripristino
- Gestione delle vulnerabilità: disclosure, patching, threat intelligence
6. Cosa fare subito
- Verificare la classificazione: determinare se l'azienda è soggetto essenziale o importante, utilizzando il tool di auto-classificazione sul portale ACN
- Registrarsi o completare la registrazione sul portale portale.acn.gov.it
- Mappare la catena di fornitura ICT: identificare tutti i fornitori critici e valutare i rischi di dipendenza
- Aggiornare i contratti con i fornitori ICT includendo clausole di sicurezza, notifica incidenti e diritto di audit
- Istituire il registro degli incidenti e le procedure di notifica secondo le tempistiche NIS2
- Documentare l'approvazione del CdA delle misure di cybersicurezza e le verifiche periodiche
- Verificare l'adeguamento al Modello 231: l'aggiornamento per includere i rischi cyber come categoria di reato presupposto
Domande Frequenti (FAQ)
Qual è la differenza tra un incidente notificabile NIS2, un data breach GDPR e un incidente DORA? Un incidente NIS2 riguarda la compromissione di reti e sistemi informativi, anche senza dati personali, e va notificato ad ACN. Un data breach (GDPR) riguarda la compromissione di dati personali e va notificato al Garante Privacy entro 72 ore (con eventuale esenzione se il rischio è remoto). Un incidente DORA è per le entità finanziarie. Se l'incidente coinvolge sia il sistema (NIS2) sia i dati personali (GDPR), si applica la doppia notifica.
Un fornitore SaaS italiano è soggetto a NIS2? Un fornitore SaaS è soggetto a NIS2 se offre servizi cloud o digitali e supera la soglia di media impresa (≥50 dipendenti o ≥10M fatturato). Rientra nella categoria dei fornitori di servizi digitali (DSP) come soggetto importante. L'obbligo di registrazione e le misure di sicurezza sono applicabili. Se il fornitore SaaS non supera la soglia dimensionale ma serve clienti NIS2, deve comunque soddisfare i requisiti contrattuali di sicurezza che i clienti gli richiederanno in virtù della compliance alla supply chain.
Cosa rischia un amministratore delegato in caso di incidente cyber con mancata notifica? L'Art. 23 D.Lgs. 138/2024 prevede la responsabilità diretta. Il singolo amministratore può ricevere una sanzione amministrativa autonoma da €10.000 a €125.000 per la mancata adozione delle misure (Art. 35), a cui si aggiungono le sanzioni per l'ente (fino a €10M o 2% fatturato). Nei casi più gravi, l'omessa notifica tempestiva di un incidente significativo è un illecito amministrativo autonomo. Restano ferme le eventuali responsabilità penali (es. per danni a terzi, violazione del Codice della Privacy).
Dopo quanto tempo dalla registrazione ACN l'azienda può ricevere un'ispezione? L'ACN esercita la vigilanza su programma annuale di ispezioni e su segnalazione di incidenti o reclami. La registrazione non anticipa necessariamente l'ispezione, ma la sua mancanza è un indicatore di inadempimento che può attivare verifiche. L'ispezione può verificare l'effettiva adozione delle misure dichiarate, la documentazione della governance cyber e la conformità del registro delle notifiche.
Approfondimenti consigliati:
- DORA: Resilienza Operativa Digitale
- NIS2 e DORA: Obblighi e Scadenze
- Data Breach e Mancata Notifica: Sanzioni del Garante
- Vercel e Supabase: DPA GDPR e Catena Contrattuale
Fonti: D.Lgs. 138/2024, GURI; Reg. UE 2024/2690, EUR-Lex; ACN, Portale NIS; CSIRT Italia.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze