GB EN IT IT ES ES
D.Lgs 138/2024 — Recepimento NIS2 in Italia
⚠ Sanzioni attive 2026

Conformità NIS2 in Italia.
Zero sanzioni. Zero sorprese.

Trasformiamo l'obbligo normativo del D.Lgs 138/2024 in resilienza reale. Gap analysis, implementazione tecnica e supporto alla registrazione ACN per Soggetti Essenziali e Importanti.

Richiedi Audit NIS2 Gratuito → Le 10 Misure Obbligatorie
10M€
Sanzione max Soggetti Essenziali
24h
Tempo massimo pre-notifica incidenti
2%
Del fatturato globale (alternativa)
12+
Aziende italiane già conformi

Ambito di applicazione

La tua azienda è
nel perimetro NIS2?

Il D.Lgs 138/2024 suddivide le organizzazioni in due categorie con obblighi e vigilanza differenti. La distinzione impatta direttamente il livello di rischio sanzionatorio.

Criterio 🔴 Soggetti Essenziali (SE) 🟡 Soggetti Importanti (SI)
Settori tipici Energia, Trasporti, Sanità, Acqua potabile, Infrastrutture digitali, Spazio, Bancario Servizi Postali, Gestione rifiuti, Chimica, Alimentare, Manifattura, Fornitori digitali
Vigilanza ACN Ex-ante ed Ex-post
Ispezioni regolari e proattive		 Ex-post
In caso di prova di violazione
Sanzione massima 10.000.000 € o 2% fatturato globale 7.000.000 € o 1,4% fatturato globale
Responsabilità management Diretta — CdA, CEO e CISO responsabili personalmente Diretta — con obblighi formativi espliciti
Registrazione ACN ✓ Obbligatoria ✓ Obbligatoria
💡

Non sei sicuro se rientri nel perimetro? Alcune PMI sono incluse automaticamente per settore, indipendentemente dal fatturato. La verifica è il primo passo — richiedila gratuitamente.

Articolo 21 D.Lgs 138/2024

Le 10 misure di sicurezza
obbligatorie NIS2

Ogni consulenza Webristle copre integralmente i requisiti tecnici e organizzativi stabiliti dall'ACN. Nessuna scorciatoia.

Misura 01

Politiche di Analisi dei Rischi

Valutazione formale delle minacce, Business Impact Analysis (BIA) e definizione della propensione al rischio approvata dal board.

Misura 02

Gestione degli Incidenti

Procedure operative per il rilevamento, classificazione e reporting al CSIRT Italia: pre-notifica entro 24h, notifica completa entro 72h.

Misura 03

Business Continuity & DR

Piani di continuità operativa, gestione dei backup, disaster recovery testato e gestione delle crisi con RTO e RPO definiti e documentati.

Misura 04

Sicurezza della Supply Chain

Audit e valutazione del livello di sicurezza dei fornitori critici. Clausole contrattuali NIS2-compliant e monitoraggio continuativo.

Misura 05

Sicurezza di Reti e Sistemi

Vulnerability management strutturato, penetration testing periodico e hardening dell'intera infrastruttura IT/OT.

Misura 06

Crittografia e Soluzioni Tecniche

Cifratura dei dati a riposo e in transito come standard minimo. Policy di gestione chiavi e certificati digitali.

Misura 07

Controllo degli Accessi e MFA

Architettura zero-trust, obbligo MFA su tutti i sistemi critici, gestione IAM e Privileged Access Management (PAM).

Misura 08

Sicurezza delle Risorse Umane

Programmi di formazione e awareness, procedure di onboarding/offboarding sicure e gestione del rischio insider.

Misura 09

Pratiche di Igiene Informatica

Patch management sistematico, gestione degli asset, sicurezza endpoint e policy BYOD documentate e applicate.

Misura 10

Uso di Crittografia e PKI

Implementazione di soluzioni crittografiche adeguate, gestione dei certificati e politiche di firma digitale conformi.

Come lavoriamo

Un percorso strutturato
verso la conformità.

Nessun approccio one-size-fits-all. Ogni azienda ha un punto di partenza diverso: iniziamo da lì.

01

Discovery & Scoping

Determiniamo se sei nel perimetro NIS2 e quali asset critici rientrano nell'obbligo. Verifica gratuita.

02

Gap Analysis

Documento tecnico-legale che mappa le carenze rispetto alle 10 misure dell'art. 21 con severity rating.

03

Remediation Plan

Roadmap prioritizzata con effort, costi e timeline realistica. Prima le criticità ad alto rischio sanzionatorio.

04

Implementazione

Messa in sicurezza tecnica, policy documentali, formazione del management e registrazione ACN.

Inizia oggi

Quanto sei lontano
dalla conformità?

La gap analysis è il punto di partenza obbligatorio. In 5 giorni lavorativi avrai una fotografia precisa della tua posizione rispetto al D.Lgs 138/2024.

  • Verifica del perimetro e classificazione SE/SI
  • Assessment delle 10 misure dell'art. 21
  • Analisi della catena di fornitura
  • Revisione delle procedure di incident reporting
  • Report tecnico-legale per il management
  • Roadmap di remediation con priorità e costi
  • Supporto alla registrazione sulla piattaforma ACN

Richiedi il tuo Audit NIS2

I nostri esperti ti ricontatteranno entro 4 ore lavorative con una valutazione preliminare gratuita.

Invia Richiesta di Audit →

Nessun impegno. Prima consulenza gratuita. Risposta entro 4 ore lavorative.

FAQ

Domande frequenti
sulla NIS2 in Italia

Le risposte alle domande più comuni che riceviamo da CISO, CEO e responsabili legali.

Qual è la sanzione massima prevista dalla NIS2 in Italia? +
Per i Soggetti Essenziali, le sanzioni amministrative possono arrivare fino a 10.000.000 € o al 2% del fatturato totale annuo mondiale, se quest'ultimo importo è superiore. Per i Soggetti Importanti il limite è 7.000.000 € o l'1,4% del fatturato. La responsabilità è personale per il management: CdA e dirigenti apicali possono essere sospesi dalle funzioni in caso di violazioni reiterate.
Come funziona esattamente l'obbligo di notifica incidenti NIS2? +
Il processo è in tre fasi: (1) Pre-notifica (early warning) al CSIRT Italia entro 24 ore dalla conoscenza dell'incidente significativo; (2) Notifica completa con valutazione iniziale entro 72 ore; (3) Rapporto finale entro un mese con analisi delle cause radice, misure adottate e impatto stimato. La gestione di questo processo richiede procedure interne documentate e testate — uno dei gap più comuni che troviamo nelle aziende.
La mia PMI deve adeguarsi alla NIS2 italiana? +
In generale sì, se operi in uno dei settori critici con più di 50 dipendenti O un fatturato superiore a 10 milioni di euro. Attenzione: alcune categorie rientrano automaticamente a prescindere dalle dimensioni (es. registrar di domini, provider DNS, fornitori di servizi cloud, operatori di CDN). La verifica del perimetro è il primo passo che facciamo — gratuitamente.
Entro quando bisogna essere conformi? +
Il D.Lgs 138/2024 è già in vigore. L'ACN ha aperto la piattaforma di registrazione e le verifiche sono operative nel 2026. Non esiste una "data unica" per l'adeguamento completo, ma ogni mese di ritardo aumenta il rischio sanzionatorio. Il momento giusto per iniziare era ieri. Il secondo momento migliore è adesso.
Cosa include concretamente una gap analysis NIS2 di Webristle? +
La nostra gap analysis include: verifica del perimetro e classificazione SE/SI, assessment delle 10 misure obbligatorie dell'art. 21 con severity rating, analisi della supply chain, revisione delle procedure di incident management, interviste con il management, e un report tecnico-legale completo con roadmap di remediation prioritizzata per costo/impatto. Consegna in 5 giorni lavorativi.
NIS2 e GDPR si sovrappongono? Devo fare entrambi? +
Si sovrappongono parzialmente ma non sono equivalenti. Il GDPR tutela i dati personali; la NIS2 riguarda la resilienza operativa dell'intera infrastruttura, inclusi sistemi OT, reti e supply chain. Alcune misure NIS2 (es. gestione incidenti, risk assessment) si affiancano agli obblighi GDPR senza sostituirli. Gestiamo entrambi i percorsi in modo integrato per evitare duplicazioni di effort.
Webristle NIS2 Compliance

Non aspettare la prima ispezione ACN.

Inizia con una verifica gratuita del perimetro. Nessun impegno, risposta entro 4 ore lavorative.

Richiedi Audit Gratuito → Tutti i Servizi Cybersecurity
Audit NIS2 Gratuito →