Notizie Flash

NIS2: scaduto il termine del 31 luglio, ora scattano obblighi e sanzioni per la cybersicurezza

Sanzioni fino allo 0,1% del fatturato per chi non ha rispettato la direttiva europea: ecco cosa cambia ora

sicurezza digitale

18 Agosto 2025

Indice dei contenuti

  • Un’estate calda per la sicurezza digitale
  • Perché la NIS2 è fondamentale per l’Italia
  • Chi doveva adeguarsi entro il 31 luglio
  • Le sanzioni per chi non ha rispettato la scadenza

Un’estate calda per la sicurezza digitale

Il 31 luglio 2025 ha segnato una data cruciale per oltre 25.000 organizzazioni italiane, obbligate a conformarsi agli obblighi di cybersicurezza previsti dalla direttiva europea NIS2, recepita con il Decreto legislativo n. 138/2024.

Tutte le imprese classificate dall’ACN – Agenzia per la Cybersicurezza Nazionale come “essenziali” o “importanti” avrebbero dovuto completare o aggiornare, entro tale data, le informazioni richieste sulla piattaforma digitale ufficiale.

Chi non ha rispettato le scadenze è ora esposto a sanzioni amministrative pecuniarie significative: fino allo 0,1% del fatturato annuo per i soggetti essenziali e fino allo 0,07% per quelli importanti.

Perché la NIS2 è fondamentale per l’Italia

Secondo il Clusit, 1 attacco informatico su 10 al mondo colpisce l’Italia. E stando al Cyber security Readiness Index di Cisco, l’82% delle aziende italiane ha subito almeno un incidente legato all’uso dell’Intelligenza Artificiale.

Ma il dato più preoccupante riguarda le PMI: il 56% non è preparato e spesso ignora o sottovaluta il rischio cyber.

In questo contesto di vulnerabilità diffusa, la direttiva NIS2 rappresenta uno strumento essenziale per rafforzare la resilienza digitale in tutta l’Unione Europea. L’obiettivo è innalzare gli standard di sicurezza per infrastrutture critiche pubbliche e private in 18 settori strategici, tra cui energia, sanità, trasporti, spazio, cloud, servizi digitali e data center.

Chi doveva adeguarsi entro il 31 luglio

Le imprese notificate ufficialmente da ACN come soggetti “essenziali” o “importanti” erano tenute a:

  • Inserire o aggiornare dati su IP pubblici, domini e dirigenti responsabili;
  • Indicare gli Stati membri UE in cui forniscono servizi rilevanti;
  • Avviare un sistema di governance della cybersicurezza;
  • Prepararsi alla notifica obbligatoria degli incidenti significativi entro gennaio 2026.

Il 31 luglio 2025 ha quindi rappresentato il primo passo formale verso la compliance annuale obbligatoria.

Le sanzioni per chi non ha rispettato la scadenza

Le aziende che non si sono registrate correttamente, hanno fornito dati incompleti o hanno mancato la scadenza ora rischiano:

  • Sanzioni fino allo 0,1% del fatturato per i soggetti essenziali;
  • Fino allo 0,07% del fatturato per quelli importanti.

E non è tutto. Entro ottobre 2026, tutte le entità coinvolte dovranno:

  • Adottare policy di gestione del rischio;
  • Attuare misure tecniche e organizzative;
  • Completare un assessment di sicurezza.
1
To top