NIS2Sanzioni

NIS2: deadline italiane e sanzioni effettive

Le date che contano (registrazione, notifica, controlli) e i numeri delle sanzioni che ACN può comminare. Cosa è già successo nel 2025-2026.

2 min di lettura

TL;DR

Tre date NIS2 da memorizzare: 18 ottobre 2024 (entrata in vigore D.Lgs. 138/2024), 1 gennaio 2025 (apertura registrazione ACN), 2026 controlli a regime. Sanzioni: fino a 10M € per essenziali, 7M € per importanti, oltre alla sospensione di servizi e responsabilità personale del management.

Le date che contano

18 ottobre 2024 — Entrata in vigore

Il D.Lgs. 138/2024 di recepimento NIS2 è in vigore. Le entità soggette devono iniziare l'adeguamento.

1 gennaio 2025 — Registrazione ACN

Apre il portale di registrazione dell'Agenzia per la Cybersicurezza Nazionale. Le entità essenziali e importanti devono identificare:

  • referente cyber (con poteri operativi);
  • elenco sistemi critici;
  • procedure di notifica incidenti.

Aprile-luglio 2026 — Audit a regime

I primi audit ACN su campione di entità soggette. Le sanzioni iniziano a essere comminate.

Le sanzioni

Per entità essenziali

Fino a 10 milioni € o 2% del fatturato globale annuo, il maggiore.

Per entità importanti

Fino a 7 milioni € o 1,4% del fatturato globale annuo, il maggiore.

Sanzioni accessorie

Oltre alla multa:

  • sospensione temporanea di servizi;
  • revoca temporanea di autorizzazioni;
  • responsabilità personale del management (amministratore delegato, CISO).

L'ultima è quella che fa più male: nessun manager vuole essere personalmente sanzionato.

Cosa è già successo nel 2025-2026

Nei primi 12 mesi:

  • registrazione tardiva: prima ondata di sanzioni amministrative leggere (€10-50k);
  • incidenti non notificati: sanzioni più pesanti (€100k-1M);
  • mancanza di misure di base: contestate in sede di audit, in genere con piani di rientro.

Come ridurre il rischio

Tre cose:

  1. Registrarsi per primi, anche se ci sono dubbi sull'applicabilità (regola "in dubio pro registratio").
  2. Documentare le misure anche se sono parziali — la documentazione di un piano di rientro vale più di una conformità non documentata.
  3. Notificare gli incidenti entro le 24h, anche se i dati sono incompleti.

FAQ

Posso impugnare una sanzione ACN?

Sì, in TAR. Ma le sanzioni sono spesso ben costruite e gli appelli falliscono nel 60-70% dei casi.

La sanzione è cumulativa con quella del Garante Privacy?

Sì, se l'incidente coinvolge dati personali. Doppio binario.

Le PMI possono contare su sconti?

Sì, ACN può attenuare le sanzioni in base alla collaborazione. Cooperate.

Per chi è soggetto, Chi è soggetto a NIS2. Per audit, Audit NIS2 checklist.

Vuoi vedere Sefthy in azione?

Stesso IP, stessa subnet, RTO in minuti. Provalo gratis per 7 giorni o parla con un nostro specialista.

Vedi i piani Richiedi una demo