La direttiva NIS2 porta con sé un regime sanzionatorio che segna una rottura netta rispetto alla NIS1. Le multe possono raggiungere cifre paragonabili a quelle del GDPR — e in Italia, l'ACN è l'autorità incaricata di farle rispettare. Vediamo nel dettaglio cosa rischiate e come proteggervi.
Il quadro sanzionatorio NIS2
Soggetti essenziali
Per le entità classificate come essenziali (energia, trasporti, sanità, banche, infrastrutture digitali):
- Multa massima: 10 milioni di euro oppure il 2% del fatturato mondiale annuo — si applica l'importo più elevato
- Vigilanza proattiva: l'ACN può effettuare controlli senza preavviso
- Sanzioni personali: responsabilità diretta dei dirigenti che possono essere temporaneamente interdetti dalle funzioni di gestione
Soggetti importanti
Per le entità classificate come importanti (servizi postali, chimica, alimentare, manifattura):
- Multa massima: 7 milioni di euro oppure l'1,4% del fatturato mondiale annuo
- Vigilanza reattiva: controlli in caso di incidente o segnalazione
- Sanzioni personali: stesse possibilità ma soglia di attivazione più alta
Confronto con il GDPR
| Aspetto | NIS2 | GDPR | |---------|------|------| | Multa massima | 10M€ / 2% fatturato | 20M€ / 4% fatturato | | Autorità in Italia | ACN | Garante Privacy | | Focus | Sicurezza dei sistemi | Protezione dati personali | | Responsabilità dirigenti | Sì, esplicita | Sì, ma meno dettagliata | | Cumulo possibile | Sì — NIS2 + GDPR | Sì — GDPR + NIS2 |
Attenzione al cumulo: un incidente di sicurezza che coinvolge dati personali può attivare entrambi i regimi sanzionatori. Un ransomware che espone dati di clienti vi espone potenzialmente a sanzioni NIS2 dall'ACN e sanzioni GDPR dal Garante.
Come vengono calcolate le sanzioni
L'ACN tiene conto di diversi criteri per determinare l'importo della sanzione:
Fattori aggravanti
- Recidiva: violazioni ripetute nel tempo
- Mancata notifica: non aver segnalato un incidente entro le tempistiche
- Negligenza grave: assenza totale di misure di sicurezza di base
- Ostacolo ai controlli: rifiuto di collaborare con l'ACN durante le verifiche
- Impatto significativo: l'incidente ha avuto conseguenze gravi su utenti o servizi
Fattori attenuanti
- Collaborazione attiva: cooperazione piena e tempestiva con l'ACN
- Misure preventive: aver adottato misure proporzionate prima dell'incidente
- Segnalazione proattiva: aver notificato l'incidente prima della scadenza
- Azioni correttive rapide: aver mitigato l'impatto in tempi brevi
- Prima violazione: nessun precedente sanzionatorio
Le 5 violazioni più rischiose
1. Mancata segnalazione degli incidenti
Non notificare un incidente significativo all'ACN entro 24 ore è la violazione più facilmente sanzionabile. È oggettiva, misurabile e non ammette scuse.
Rischio: multa diretta + aggravante in caso di incidente futuro
2. Assenza di misure di sicurezza di base
Non avere politiche di sicurezza documentate, non fare backup, non gestire gli aggiornamenti — le carenze di base sono quelle che l'ACN sanziona per prime.
Rischio: multa proporzionale + obbligo di conformarsi entro tempistiche imposte
3. Catena di fornitura non gestita
La NIS2 rende esplicita la responsabilità sulla supply chain. Se un fornitore viene compromesso e voi non avevate clausole contrattuali di sicurezza, siete corresponsabili.
Rischio: multa + esposizione a rischi operativi a cascata
4. Formazione del personale assente
L'articolo 21 della NIS2 richiede esplicitamente la formazione e la sensibilizzazione del personale. Non avere un programma di formazione documentato è una violazione.
Rischio: multa + aggravante se un incidente è causato da errore umano
5. Mancata cooperazione con l'ACN
Rifiutare o ritardare la cooperazione durante un'ispezione dell'ACN aggrava qualsiasi altra violazione. L'ACN ha poteri ispettivi ampi e la collaborazione è obbligatoria.
Rischio: multa aggravata + possibile sospensione delle autorizzazioni
Responsabilità personale dei dirigenti
La NIS2 introduce una novità rilevante nel panorama normativo italiano: la responsabilità diretta dei dirigenti. L'organo di gestione (consiglio di amministrazione, amministratore delegato) deve:
- Approvare le misure di gestione del rischio informatico
- Sovrintendere alla loro attuazione
- Seguire una formazione specifica in cybersicurezza
- Rispondere personalmente delle inadempienze
In caso di violazione, i dirigenti possono subire:
- Interdizione temporanea dall'esercizio delle funzioni dirigenziali
- Responsabilità civile per i danni derivanti dalla mancata conformità
- Danno reputazionale — le sanzioni NIS2 possono essere rese pubbliche
Strategia di riduzione del rischio sanzionatorio
Fase 1: Baseline (mese 1-2)
- Audit iniziale dello stato di conformità
- Identificazione dei gap critici
- Nomina di un responsabile NIS2
Fase 2: Fondamenta (mese 3-6)
- Implementazione delle politiche di sicurezza di base
- Setup del processo di segnalazione incidenti
- Avvio del programma di formazione
Fase 3: Maturità (mese 6-12)
- Audit della catena di fornitura
- Test di penetrazione
- Esercitazioni di risposta agli incidenti
Fase 4: Mantenimento (continuo)
- Audit periodici
- Aggiornamento delle misure
- Monitoraggio normativo (evoluzioni ACN)
Il caso italiano: cosa aspettarsi
L'ACN ha mostrato un approccio graduale ma determinato nell'applicazione delle normative di cybersicurezza. La strategia nazionale prevede:
- Fase educativa iniziale con linee guida e supporto
- Fase di enforcement progressiva con controlli mirati
- Focus settoriale partendo dai settori più critici (energia, sanità, finanza)
Non aspettate la fase di enforcement per conformarvi. Le aziende che dimostrano proattività beneficiano sistematicamente di trattamenti più favorevoli.
Conclusione
Le sanzioni NIS2 non sono teoriche — sono progettate per essere applicate. La combinazione di multe elevate e responsabilità personale dei dirigenti rende la conformità NIS2 una priorità di governance, non solo un tema tecnico.
Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.