{"id":127134,"date":"2025-01-31T08:26:06","date_gmt":"2025-01-31T08:26:06","guid":{"rendered":"https:\/\/staging.advisera.com\/articles\/overview-of-the-italian-nis2-law-and-comparison-with-the-eu-nis2-directive\/"},"modified":"2025-10-02T09:43:27","modified_gmt":"2025-10-02T09:43:27","slug":"italiano-nis2-decreto-legislativo","status":"publish","type":"adv_resources","link":"https:\/\/staging.advisera.com\/it\/articoli\/italiano-nis2-decreto-legislativo\/","title":{"rendered":"Panoramica della legge italiana NIS2 e confronto con la direttiva UE NIS2"},"content":{"rendered":"<p>L&#8217;Italia ha recepito la Direttiva <a href=\"https:\/\/staging.advisera.com\/articles\/what-is-nis2\/\" target=\"_blank\" rel=\"noopener\">NIS 2 dell&#8217;Unione Europea<\/a> nella propria legislazione locale pubblicando il Decreto Legislativo n. 138 del 4 settembre 2024.<\/p>\n<p>Quindi, come si colloca questo Decreto Legislativo rispetto alla Direttiva NIS 2 e quali sono i requisiti aggiuntivi?<\/p>\n<div class=\"post-featured\">\n<div class=\"post-featured--content\">\n<p>Il Decreto italiano segue molto da vicino il NIS2; tuttavia, ne estende l&#8217;applicazione ad alcuni settori che non erano coperti dal NIS2, e specifica inoltre requisiti pi\u00f9 precisi per la revisione e la supervisione.<\/p>\n<\/div>\n<\/div>\n<p><div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2>Le basi del decreto legislativo italiano NIS2<\/h2>\n<p>Come previsto dalla NIS2, il Decreto Legislativo n. 138 (nel testo: Decreto Legislativo NIS2) recepisce la Direttiva NIS2 all\u2019interno della legislazione italiana. Il suo obiettivo primario \u00e8 quello di mitigare i rischi relativi alla cybersecurity associati alle organizzazioni di infrastrutture critiche (definite entit\u00e0 essenziali e importanti) e di migliorare la resilienza delle loro reti e dei loro sistemi informativi. Inoltre, delinea le principali responsabilit\u00e0 degli enti governativi incaricati di applicare le misure per la cybersecurity in Italia.<\/p>\n<p>Il testo completo del Decreto Legislativo n. 138 pu\u00f2 essere consultato qui (in italiano): <a href=\"https:\/\/www.gazzettaufficiale.it\/eli\/id\/2024\/10\/01\/24G00155\/SG\" target=\"_blank\" rel=\"noopener\">https:\/\/www.gazzettaufficiale.it\/eli\/id\/2024\/10\/01\/24G00155\/SG<\/a><\/p>\n<p>Questo articolo si concentrer\u00e0 sugli obblighi relativi alla cybersecurity che le entit\u00e0 essenziali e importanti devono rispettare in base al decreto. Il ruolo degli enti governativi responsabili di garantire la conformit\u00e0 a questa legge non sar\u00e0 al centro di questa discussione.<\/p>\n<h2>Similitudini e differenze<\/h2>\n<p>Le principali analogie e differenze tra il Decreto Legislativo NIS2 italiano e la Direttiva NIS2 dell&#8217;UE sono riassunte nella seguente tabella:<\/p>\n<div class=\"table-wrap overflow-x-md-auto\" style=\"margin: 15px 0 20px 0;\">\n<table class=\"table adv-no-bg-table table-sticky-head\" style=\"font-size: 90%;\" border=\"0\" cellspacing=\"2\" cellpadding=\"2\">\n<thead>\n<tr>\n<td style=\"width: 50%;\"><\/td>\n<td style=\"width: 50%;\"><strong>Italian NIS2 Legislative Decree compared to EU NIS2 Directive<\/strong><\/td>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Quali aziende devono essere conformi<\/td>\n<td>Gli stessi criteri del NIS2, ma solo per le aziende registrate in Italia.<\/p>\n<p>L&#8217;eccezione \u00e8 rappresentata dai fornitori di infrastrutture digitali &#8211; devono essere conformi al Decreto Legislativo NIS2 indipendentemente dal luogo in cui sono registrati, se forniscono servizi in Italia.<\/p>\n<p>Inoltre, elenca i criteri cui le piccole imprese dei 18 settori devono conformarsi, e prescrive inoltre gli obblighi di conformit\u00e0 per le citt\u00e0 metropolitane, i comuni con pi\u00f9 di 100.000 abitanti, le ASL, i servizi di trasporto pubblico locale, le istituzioni scolastiche che svolgono attivit\u00e0 di ricerca e i soggetti che svolgono attivit\u00e0 di interesse culturale.<\/td>\n<\/tr>\n<tr>\n<td>Scadenze<\/td>\n<td>Le aziende devono registrarsi presso l&#8217;autorit\u00e0 competente entro il 28 febbraio 2025 .<\/p>\n<p>Conformit\u00e0 ai requisiti di notifica degli incidenti: 9 mesi dal ricevimento della comunicazione dell&#8217;autorit\u00e0 competente relativa all&#8217;inclusione della societ\u00e0 nel registro delle entit\u00e0 essenziali e importanti.<\/p>\n<p>Conformit\u00e0 ai requisiti di governance e gestione del rischio: 18 mesi da ricevimento della notifica da parte dell&#8217;autorit\u00e0 competente.<\/td>\n<\/tr>\n<tr>\n<td>Responsabilit\u00e0 dell\u2019Alta Direzione<\/td>\n<td>La stessa della NIS2.<\/td>\n<\/tr>\n<tr>\n<td>Importanza della formazione<\/td>\n<td>La stessa della NIS2.<\/td>\n<\/tr>\n<tr>\n<td>Approccio alla sicurezza informatica basato sul rischio<\/td>\n<td>La stessa della NIS2.<\/td>\n<\/tr>\n<tr>\n<td>Misure di sicurezza informatica<\/td>\n<td>La stessa della NIS2.<\/td>\n<\/tr>\n<tr>\n<td>Sicurezza della catena di approvvigionamento<\/td>\n<td>La stessa della NIS2.<\/td>\n<\/tr>\n<tr>\n<td>Obblighi di segnalazione degli incidenti<\/td>\n<td>Come per la NIS2, ma il CSIRT Italia \u00e8 specificato come punto di contatto chiave.<\/td>\n<\/tr>\n<tr>\n<td>Utilizzo di prodotti e servizi IT certificati<\/td>\n<td>La stessa della NIS2.<\/td>\n<\/tr>\n<tr>\n<td>Supervisione e applicazione<\/td>\n<td>Requisiti pi\u00f9 dettagliati su monitoraggio, analisi, audit e ispezioni.<\/td>\n<\/tr>\n<tr>\n<td>Multe<\/td>\n<td>La stessa della NIS2.<\/td>\n<\/tr>\n<tr>\n<td>Requisiti completamente nuovi<\/td>\n<td>(nessuno)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<h2>Quali organizzazioni devono conformarsi al Decreto Legislativo NIS2?<\/h2>\n<p>Il Decreto Legislativo NIS2 italiano si applica alle aziende (che appartengono ai 18 settori previsti dal NIS2) registrate in Italia e che forniscono prodotti o servizi in qualsiasi Paese dell&#8217;UE. Esiste tuttavia un&#8217;eccezione: i fornitori di infrastrutture digitali devono rispettare il Decreto Legislativo NIS2 anche se non sono registrati in Italia, se forniscono servizi nel Paese.<\/p>\n<p>Il Decreto Legislativo di recepimento NIS2 definisce gli stessi criteri della direttiva NIS2 per classificare le aziende e le organizzazioni come entit\u00e0 essenziali e importanti. Inoltre, il Decreto Legislativo NIS2 italiano prevede requisiti specifici che vanno oltre il quadro standard NIS2:<\/p>\n<ul>\n<li>Le citt\u00e0 metropolitane, i comuni con pi\u00f9 di 100.000 abitanti e le autorit\u00e0 sanitarie locali sono considerate entit\u00e0 importanti se giudicate cruciali per le attivit\u00e0 sociali o economiche.<\/li>\n<li>Anche i servizi di trasporto pubblico locale, le istituzioni educative che conducono ricerche e gli enti che svolgono attivit\u00e0 di interesse culturale sono classificati come enti importanti a condizioni specifiche.<\/li>\n<\/ul>\n<h2><span lang=\"EN-US\">Scadenze<\/span><\/h2>\n<p>Ai sensi del Decreto Legislativo NIS2, le entit\u00e0 devono rispettare le seguenti scadenze:<\/p>\n<ul>\n<li>Registrazione: Le entit\u00e0 devono registrarsi presso l&#8217;autorit\u00e0 competente entro il 28 febbraio 2025.<\/li>\n<li>Conformit\u00e0 alla notifica degli incidenti: Le entit\u00e0 devono conformarsi agli obblighi di notifica degli incidenti entro 9 mesi dal ricevimento della notifica da parte dell&#8217;autorit\u00e0 competente della loro inclusione nel registro delle entit\u00e0 essenziali e importanti.<\/li>\n<li>Conformit\u00e0 alla governance e alla gestione del rischio: Le entit\u00e0 devono soddisfare i requisiti di governance e di gestione del rischio entro 18 mesi dal ricevimento della notifica da parte dell&#8217;autorit\u00e0 competente.<\/li>\n<\/ul>\n<h2><span lang=\"EN-US\">Supervisione e applicazione<\/span><\/h2>\n<p>In base al decreto legislativo italiano di recepimento NIS2, l&#8217;autorit\u00e0 nazionale (Agenzia per la Cybersicurezza Nazionale) effettua il monitoraggio e l&#8217;analisi della conformit\u00e0, utilizzando una piattaforma digitale centralizzata in cui le entit\u00e0 registrano e aggiornano le informazioni sul rischio.<\/p>\n<p>Pu\u00f2 richiedere verifiche periodiche o ad hoc, da parte di organismi indipendenti o di propri funzionari, per valutare il grado di attuazione delle misure di sicurezza da parte dei soggetti interessati. Gli audit possono essere effettuati periodicamente o in risposta a specifici fattori (ad esempio, un incidente). L&#8217;autorit\u00e0 effettua anche ispezioni, sia sul sito che al di fuori del sito, concentrandosi sulla configurazione dei sistemi, sui registri, sui rapporti sugli incidenti e sulla preparazione generale in materia di cybersecurity.<\/p>\n<p>La mancata collaborazione o il mancato rimedio ai problemi individuati possono portare a misure esecutive, tra cui ordini vincolanti o ammende. Questo approccio basato sul rischio mira a garantire che la vigilanza rimanga flessibile, proporzionata e allineata ai principi della NIS2 e alle esigenze specifiche delle infrastrutture critiche e dei servizi pubblici italiani.<\/p>\n<h2>Multe<\/h2>\n<p>In linea con la Direttiva NIS2, il Decreto Legislativo italiano NIS2 prevede sanzioni significative in caso di non conformit\u00e0. Per i soggetti privati essenziali, le multe possono arrivare fino a 10 milioni di euro o al 2% del fatturato globale (se superiore). Per le entit\u00e0 private importanti, il limite massimo \u00e8 di 7 milioni di euro o dell&#8217;1,4% del fatturato.<\/p>\n<p>Il decreto italiano , tuttavia, fissa anche dei massimali pi\u00f9 bassi per gli enti governativi e gli enti sotto controllo pubblico (come gli enti locali), con un tetto massimo di 125.000 euro per gli enti essenziali e importi ridotti per quelli importanti.<\/p>\n<p>Le violazioni ripetute o deliberate possono comportare multe pi\u00f9 elevate, a seguito di una valutazione basata sul rischio. Le autorit\u00e0 valutano fattori quali la gravit\u00e0 dell&#8217;incidente, le violazioni precedenti, il livello di cooperazione e la rapidit\u00e0 con cui l&#8217;ente ha posto rimedio alle violazioni. Se le entit\u00e0 non riescono a correggere i problemi entro le scadenze richieste,\u00a0 possano essere adottate misure aggiuntive, come la sospensione temporanea delle attivit\u00e0.<\/p>\n<h2><span lang=\"EN-US\">Requisiti uguali a quelli della NIS2<\/span><\/h2>\n<p>Il Decreto Legislativo italiano di recepimento della NIS2 contiene molti elementi che sono gli stessi della Direttiva NIS2 dell&#8217;UE:<\/p>\n<ul>\n<li>Responsabilit\u00e0 dell&#8217;alta direzione &#8211; vedi i qui dettagli (in inglese): <a href=\"https:\/\/staging.advisera.com\/articles\/what-is-nis2\/\" target=\"_blank\" rel=\"noopener\">What is NIS 2 Directive? A detailed and straightforward guide<\/a><\/li>\n<li>Importanza della formazione &#8211; per saperne di pi\u00f9 (in inglese): <a href=\"https:\/\/staging.advisera.com\/articles\/nis2-training-awareness\/\" target=\"_blank\" rel=\"noopener\">How to perform training and awareness according to NIS 2<\/a><\/li>\n<li>Approccio alla cybersecurity basato sul rischio &#8211; per saperne di pi\u00f9 (in inglese): <a href=\"https:\/\/staging.advisera.com\/articles\/8-requirements-nis2\/\" target=\"_blank\" rel=\"noopener\">The 8 most important cybersecurity and reporting requirements in NIS2<\/a><\/li>\n<li>Cybersecurity come combinazione di misure tecniche, operative e organizzative &#8211; vedi anche (in inglese): <a href=\"https:\/\/staging.advisera.com\/articles\/nis-2-mandatory-documents\/\" target=\"_blank\" rel=\"noopener\">List of required documents according to NIS 2<\/a><\/li>\n<li>Sicurezza della catena di approvvigionamento<\/li>\n<li>Obblighi di segnalazione degli incidenti &#8211; vedi anche (in inglese): <a href=\"https:\/\/staging.advisera.com\/articles\/reporting-obligations-nis2\/\" target=\"_blank\" rel=\"noopener\">What are reporting obligations according to NIS 2?<\/a><\/li>\n<li>Utilizzo di prodotti e servizi IT certificati<\/li>\n<\/ul>\n<p>Tuttavia, il decreto legislativo NIS2 definisce che il governo italiano emaner\u00e0 norme che specificheranno ulteriormente l&#8217;attuazione di questo decreto, quindi una volta che ci\u00f2 avverr\u00e0, queste saranno certamente pi\u00f9 dettagliate della direttiva NIS2.<\/p>\n<h2><span lang=\"EN-US\">Decreto legislativo italiano NIS2 a confront con la Direttiva UE NIS2 <\/span><\/h2>\n<p>Nel complesso, il Decreto Legislativo italiano NIS2 segue molto da vicino la NIS2; tuttavia, ne estende l&#8217;applicazione ad alcuni settori che non erano coperti dalla NIS2 e specifica inoltre requisiti pi\u00f9 precisi per la revisione e la vigilanza.<\/p>\n<p>Naturalmente, molto dipender\u00e0 dalle ulteriori norme che verranno pubblicate dal governo italiano, perch\u00e9 sicuramente prescriveranno requisiti di cybersecurity pi\u00f9 dettagliati, come quelli gi\u00e0 pubblicati in alcuni altri Paesi dell&#8217;UE.<\/p>\n<p><em>Per trovare tutti i documenti necessari per conformarsi al Decreto Legislativo italiano NIS2 e alla direttiva NIS2, consulta questo<\/em> <a href=\"https:\/\/staging.advisera.com\/it\/kit-documentazione\/kit-documentazione-nis2\/\">Kit Documentazione NIS2<\/a> <em>che include tutte le politiche, le procedure, i piani e altri modelli<\/em>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;Italia ha recepito la Direttiva NIS 2 dell&#8217;Unione Europea nella propria legislazione locale pubblicando il Decreto Legislativo n. 138 del 4 settembre 2024. Quindi, come si colloca questo Decreto Legislativo rispetto alla Direttiva NIS 2 e quali sono i requisiti aggiuntivi? Il Decreto italiano segue molto da vicino il NIS2; tuttavia, ne estende l&#8217;applicazione ad [&hellip;]<\/p>\n","protected":false},"author":26,"featured_media":127156,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-127134","adv_resources","type-adv_resources","status-publish","has-post-thumbnail","hentry","adv_resource_type-articles-it","adv_standard-nis-2-it","adv_topic-legal-requirements","adv_topic-revisions-related","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/127134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/comments?post=127134"}],"version-history":[{"count":3,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/127134\/revisions"}],"predecessor-version":[{"id":132236,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/127134\/revisions\/132236"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/media\/127156"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/media?parent=127134"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/it\/wp-json\/wp\/v2\/tags?post=127134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}