NIS2 & Conformità · D.Lgs. 138/2024

Sicurezza informatica,
governance del rischio
e continuità aziendale.

La NIS2 non è solo un obbligo normativo. È un'opportunità per costruire un'organizzazione resiliente, verificabile e pronta al futuro. Studio Zamboni ti accompagna dall'audit iniziale alla piena conformità.

-- Giorni

-- Ore

-- Min

-- Sec

Verifica se sei obbligato

Strumento di verifica

Sei obbligato alla NIS2?

Rispondi a 3 domande semplici. In meno di un minuto saprai se la tua azienda rientra nel perimetro della normativa e quali passi devi compiere.

Domanda 1 di 3

In quale settore opera la tua azienda?

La NIS2 individua 18 settori obbligati — 11 altamente critici e 7 critici (Allegati I e II, D.Lgs. 138/2024). Scegli il più vicino alla tua attività.

Energia, trasporti, sanità, banche, infrastrutture digitali, acqua, spazio

Servizi postali, chimica, alimentare, manifattura, fornitori digitali, ricerca, rifiuti

Altro settore / non so esattamente

Quante persone lavorano nella tua organizzazione?

La NIS2 si applica alle medie e grandi imprese. Le piccole imprese (sotto 50 dipendenti E fatturato sotto 10M€) sono generalmente escluse, salvo eccezioni specifiche.

250 o più dipendenti

Da 50 a 249 dipendenti

Meno di 50 dipendenti

Qual è il fatturato annuo della tua azienda?

I criteri dimensionali sono alternativi: sei "grande" se superi 250 dipendenti oppure 50M€ di fatturato. Sei "media" se superi 50 dipendenti oppure 10M€.

Oltre 50 milioni di euro

Tra 10 e 50 milioni di euro

Sotto i 10 milioni di euro

L'offerta integrata

Quattro ambiti, un sistema coerente.

NIS2, Business Continuity, Disaster Recovery e GDPR non sono obblighi separati. Sono elementi di un'unica architettura di governance del rischio.

NIS2 · D.Lgs. 138/2024

Governance della sicurezza e conformità normativa.

Costruzione del modello di gestione del rischio cyber integrato nella governance aziendale. Analisi dei processi critici, misure operative, policy e procedure per prevenire, gestire e notificare gli incidenti. Gestione della supply chain e responsabilizzazione del management.

Analisi del rischio Notifica incidenti Supply chain Governance

Business Continuity · ISO 22301

Continuità operativa e resilienza organizzativa.

Piani di continuità costruiti sulla reale operatività aziendale, in coerenza con ISO 22301 e gli obblighi NIS2. Identificazione dei processi essenziali, strategie di continuità, livelli minimi di servizio e modalità di reazione agli scenari di crisi.

ISO 22301 BIA Piani di crisi RTO / RPO

Disaster Recovery · NIST SP 800-34

Ripristino dei sistemi e protezione dei dati.

Soluzioni di disaster recovery effettivamente attivabili, in coerenza con NIST SP 800-34 e i requisiti NIS2. Scenari di interruzione, priorità di ripristino, gestione dei backup e coordinamento con fornitori esterni. Verificabilità delle misure adottate.

NIST SP 800-34 Backup strategy Ripristino Fornitori ICT

GDPR · Reg. UE 2016/679

Protezione dei dati e compliance privacy.

Adeguamento al Regolamento (UE) 2016/679 come elemento effettivo di governance. Analisi dei trattamenti, basi giuridiche, valutazioni d'impatto (DPIA), gestione dei data breach con notifica entro 72 ore al Garante. Sanzioni fino al 4% del fatturato mondiale.

DPIA Data breach Registro trattamenti Accountability

Scadenze operative

Il calendario NIS2 2026.

Fonte: ACN · Determinazione 127434/2026 · D.Lgs. 138/2024. Le scadenze sono vincolanti. Chi inizia ora riduce il rischio sanzionatorio.

Gen 2026

Obbligo di notifica incidenti significativi

Operativo da gennaio 2026. Pre-notifica entro 24 ore, notifica formale entro 72 ore, relazione finale entro 1 mese. Riapertura piattaforma ACN per rinnovo iscrizioni.

Già in vigore

Apr–Mag 2026

Aggiornamento annuale e categorizzazione

Aggiornamento informazioni aziendali sulla piattaforma ACN. Categorizzazione attività e servizi. Obbligo di indicare i fornitori rilevanti (Det. 127437/2026). Elaborazione modello di categorizzazione.

In corso

Dic 2026

Designazione Referente CSIRT

Entro il 31 dicembre 2026 i nuovi soggetti NIS devono designare il Referente CSIRT — figura interna responsabile della gestione degli incidenti e del contatto con l'ACN (Det. 127434/2026).

Scadenza critica

Ott 2026

Implementazione misure di sicurezza + Ispezioni ACN

Piena implementazione delle misure di sicurezza di base (Allegati 1 e 2, Det. 379907/2025). Da ottobre 2026 l'ACN avvia le attività ispettive. Il mancato adeguamento espone a sanzioni fino al 2% del fatturato globale per i soggetti essenziali.

Scadenza finale

Lug 2027

Nuovi soggetti NIS 2026 — misure di sicurezza

Per i soggetti inseriti per la prima volta nell'elenco NIS nel 2026, adozione completa delle misure di sicurezza di base entro il 31 luglio 2027. Obbligo di notifica incidenti dal 1° gennaio 2027.

Nuovi soggetti 2026

Studio Zamboni · Sassari

Inizia oggi. Il tempo è la variabile critica.

Con oltre 30.000 organizzazioni nel perimetro e un accumulo di adempimenti nelle ultime settimane prima di ottobre 2026, chi inizia ora riduce contemporaneamente il rischio sanzionatorio, i costi e lo stress organizzativo. Il primo passo è un audit gratuito.

Richiedi l'Audit Gratuito +39 392 031 3500

Dati: ACN · D.Lgs. 4 settembre 2024 n. 138 · Det. 127434/2026 · Det. 127437/2026 · Det. 379907/2025

Sicurezza informatica, governance del rischio e continuità aziendale.