NIS2: scadenze, obblighi e sanzioni. Sei già adeguato?

nis2 scadenze obblighi sanzioni NIS2: scadenze, obblighi e sanzioni. Sei già adeguato?

NIS2: scadenze, obblighi e sanzioni per le aziende. Sei già adeguato?

 

La NIS2 non è più una normativa “in arrivo”. In Italia è già operativa con il D.Lgs. 4 settembre 2024, n. 138, che recepisce la Direttiva UE 2022/2555 sulla cybersicurezza.

Per molte aziende, questo significa dover dimostrare di avere misure concrete per prevenire, gestire e notificare gli incidenti informatici. Non basta “occuparsi di sicurezza IT”: la NIS2 richiede governance, controlli, procedure, responsabilità definite e capacità di risposta agli incidenti.

 

Perché oggi il tema è urgente

La prima scadenza rilevante è già passata: i soggetti rientranti nel perimetro NIS dovevano registrarsi sulla piattaforma ACN entro il 28 febbraio 2025. La stessa Agenzia per la Cybersicurezza Nazionale ha ricordato che, per la mancata registrazione, sono previste sanzioni pecuniarie, come indicato nella comunicazione ufficiale ACN sulla scadenza del 28 febbraio 2025 per la registrazione dei soggetti NIS.

La registrazione, però, è solo il primo passo. Le aziende inserite nell’elenco NIS devono poi rispettare obblighi operativi su misure di sicurezza, gestione del rischio, notifica degli incidenti e aggiornamento delle informazioni verso l’Autorità.

ACN ha pubblicato le modalità e specifiche di base per l’adempimento degli obblighi previsti dagli articoli 23, 24 e 25 del Decreto NIS. Per i soggetti già inclusi negli elenchi, ACN aveva indicato l’avvio della notifica degli incidenti da gennaio 2026 e il completamento delle misure di sicurezza informatica di base entro ottobre 2026, come riportato nella pagina ACN sulle date utili per l’implementazione della normativa NIS.

Per i soggetti inseriti per la prima volta nel 2026, ACN ha previsto nuovi termini attraverso la Determina 127434/2026, richiamata nella comunicazione ufficiale sulle determine per i nuovi soggetti NIS e l’accesso alla piattaforma ACN.

 

Quali sanzioni rischia un’azienda non adeguata alla NIS2?

Il tema centrale è questo: non adeguarsi alla NIS2 può costare molto caro.

Le sanzioni sono disciplinate dall’articolo 38 del D.Lgs. 138/2024, che prevede importi diversi a seconda della tipologia di soggetto e della violazione.

Per i soggetti essenziali, in caso di violazioni rilevanti degli obblighi previsti dal Decreto NIS, la sanzione può arrivare fino a 10 milioni di euro o fino al 2% del fatturato annuo mondiale dell’esercizio precedente, se superiore.

Per i soggetti importanti, la sanzione può arrivare fino a 7 milioni di euro o fino all’1,4% del fatturato annuo mondiale dell’esercizio precedente, se superiore.

Sono previste anche sanzioni per violazioni apparentemente “amministrative”, ma comunque decisive: mancata registrazione, mancato aggiornamento delle informazioni, mancata collaborazione con l’Autorità nazionale competente NIS o con CSIRT Italia. Anche in questi casi, l’art. 38 del D.Lgs. 138/2024 prevede sanzioni economiche che possono arrivare fino allo 0,1% del fatturato annuo mondiale per i soggetti essenziali e fino allo 0,07% per i soggetti importanti.

In altre parole, il rischio non riguarda solo le grandi violazioni di sicurezza. Anche non registrarsi, non aggiornare correttamente i dati o non rispettare le richieste dell’Autorità può esporre l’azienda a conseguenze economiche concrete.

 

Le sanzioni non sono l’unico problema

La NIS2 introduce anche una responsabilità più forte per gli organi di amministrazione e direzione. La cybersicurezza non può più essere trattata come un tema esclusivamente tecnico o delegato solo all’IT.

Il management deve approvare, supervisionare e sostenere le misure di gestione del rischio cyber. In caso di inadempimento, il problema può diventare anche di governance, reputazione e continuità operativa.

Per un’azienda, un incidente informatico non gestito correttamente può significare fermo operativo, perdita di dati, interruzione dei processi critici, danni reputazionali e difficoltà nei rapporti con clienti, partner e fornitori.

 

Perché l’ambiente SAP va messo sotto controllo

Per molte imprese, SAP è il cuore dei processi aziendali: amministrazione, finance, acquisti, logistica, produzione, supply chain, HR e reporting.

Se l’ambiente SAP non è protetto, monitorato e governato correttamente, l’azienda può trovarsi esposta a rischi significativi: accessi non autorizzati, ruoli non segregati, vulnerabilità non gestite, tracciamenti incompleti e difficoltà nel dimostrare la conformità in caso di verifica.

Per questo, un percorso NIS2 efficace dovrebbe includere anche una valutazione specifica dell’ambiente SAP, con attenzione a:

  • gestione degli accessi e dei ruoli;
  • segregazione delle funzioni;
  • controllo degli utenti privilegiati;
  • monitoraggio degli eventi critici;
  • gestione delle vulnerabilità;
  • continuità operativa e disaster recovery;
  • controllo dei fornitori e dei servizi gestiti.

 

Come capire se la tua azienda è davvero adeguata

La domanda da porsi non è solo: “abbiamo fatto la registrazione?”.

La domanda corretta è: “siamo in grado di dimostrare, con evidenze concrete, che la nostra azienda rispetta gli obblighi NIS2?”.

Un assessment permette di verificare:

  • se l’azienda rientra nel perimetro NIS2;
  • se è classificabile come soggetto essenziale o importante;
  • quali scadenze deve rispettare;
  • quali misure di sicurezza sono già presenti;
  • quali gap devono essere chiusi;
  • quali processi SAP e IT sono critici;
  • quali evidenze servono in caso di controllo.

 

AIM Major supporta le aziende nell’adeguamento NIS2 in ambiente SAP

AIM Major affianca le imprese nel percorso di adeguamento alla Direttiva NIS2, con un focus specifico sugli ambienti SAP e sui processi aziendali critici.

Il nostro approccio integra competenze normative, cybersecurity, governance IT e conoscenza dei sistemi SAP, per aiutare l’azienda a trasformare l’obbligo NIS2 in un percorso concreto, misurabile e sostenibile.

Scadenze nis2 NIS2: scadenze, obblighi e sanzioni. Sei già adeguato?

Possiamo supportarti in:

  • assessment NIS2;
  • analisi del perimetro applicabile;
  • gap analysis su processi, sistemi e ambiente SAP;
  • definizione del piano di adeguamento;
  • revisione di ruoli, accessi e controlli;
  • gestione del rischio cyber e supply chain;
  • predisposizione di evidenze e documentazione;
  • supporto alla governance e alla continuità operativa.

Le scadenze sono già partite e le sanzioni sono concrete. Se la tua azienda utilizza SAP o gestisce processi critici, è il momento di verificare che governance, sicurezza, accessi, ruoli e continuità operativa siano allineati agli obblighi NIS2.

AIM Major ti supporta nell’adeguamento alla Direttiva NIS2 in ambiente SAP, aiutandoti a mettere sotto controllo i processi critici e a ridurre il rischio di non conformità. Contattaci.