NIS2 — Direttiva (UE) 2022/2555¶
La NIS2 (Network and Information Security 2), Direttiva (UE) 2022/2555, costituisce il nuovo quadro orizzontale dell'Unione per garantire un livello comune elevato di cibersicurezza in tutta l'UE. Sostituisce e amplia la prima Direttiva NIS (Dir. (UE) 2016/1148, recepita in Italia con il D.Lgs. 65/2018), introducendo un quadro armonizzato per due categorie di soggetti — essenziali e importanti — operanti in 18 settori critici. La direttiva impone misure di gestione del rischio di cibersicurezza, obblighi di segnalazione degli incidenti significativi e un regime di vigilanza, esecuzione e cooperazione transfrontaliera. Recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138.
Identificativi¶
| Titolo | Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2) |
| CELEX | 32022L2555 |
| GU UE | L 333 del 27.12.2022, pag. 80 |
| Data adozione | 14 dicembre 2022 |
| Entrata in vigore | 16 gennaio 2023 |
| Termine di recepimento | 17 ottobre 2024 |
| Recepimento italiano | D.Lgs. 4 settembre 2024, n. 138 |
| Rettifiche | C1 (GU L 112, 27.4.2023); C2 (GU L 90206, 22.12.2023); C3 (GU L 90309, 4.4.2025) — non integrate nel testo qui pubblicato |
Struttura¶
- 9 capi (I–IX) per un totale di 46 articoli
- 144 considerando
- 3 allegati:
- I — Settori ad alta criticità (11 settori): energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC B2B, pubblica amministrazione, spazio
- II — Altri settori critici (7 settori): servizi postali e di corriere, gestione dei rifiuti, fabbricazione/produzione e distribuzione di sostanze chimiche, produzione/trasformazione e distribuzione di alimenti, fabbricazione, fornitori di servizi digitali, ricerca
- III — Tavola di concordanza con la Dir. (UE) 2016/1148 (NIS1)
Ambito di applicazione¶
La NIS2 introduce due categorie unificate di soggetti destinatari (art. 3):
- soggetti essenziali: di norma i grandi soggetti operanti nei settori dell'allegato I, oltre a categorie specifiche individuate dalla direttiva (CSIRT, registri di nomi di dominio di primo livello, prestatori di servizi fiduciari qualificati, fornitori di reti pubbliche di comunicazioni elettroniche e di servizi di comunicazione elettronica accessibili al pubblico, soggetti della pubblica amministrazione centrale, ecc.);
- soggetti importanti: gli altri soggetti — di medie e grandi dimensioni — operanti negli allegati I e II che non rientrano fra i soggetti essenziali.
L'individuazione si basa su una combinazione di dimensioni (medie e grandi imprese ai sensi della raccomandazione 2003/361/CE) e settori (allegati I e II). Sono esclusi, in linea generale, i microsoggetti e le piccole imprese, salvi i casi in cui la natura del servizio renda comunque applicabile la direttiva (art. 2, parr. 2, 3, 4, 5).
Sono esclusi dall'ambito (art. 2, parr. 7-11):
- le pubbliche amministrazioni che svolgono attività in materia di sicurezza nazionale, pubblica sicurezza, difesa o applicazione della legge (con un nucleo di disposizioni applicabili);
- i soggetti del settore finanziario per i quali si applica il Regolamento DORA (UE) 2022/2554 come lex specialis (art. 4 NIS2);
- alcuni soggetti soggetti a regimi settoriali equivalenti.
I soggetti essenziali e importanti sono soggetti agli obblighi sostanziali del capo IV: misure di gestione del rischio di cibersicurezza (art. 21), segnalazione degli incidenti significativi (art. 23), uso di schemi europei di certificazione della cibersicurezza (Reg. (UE) 2019/881, art. 24), registrazione (art. 27), standard (art. 25). La direttiva impone inoltre obblighi di governance in capo agli organi di gestione (art. 20): approvazione delle misure, supervisione dell'attuazione, responsabilità diretta in caso di violazione.
Cross-reference settuple con AI Act, GDPR, Data Act, DGA, PLD, DSA e CRA¶
La NIS2 interagisce con sette atti UE pubblicati su questo sito: l'AI Act (per i sistemi di IA dei soggetti essenziali e per la cibersicurezza dei sistemi IA ad alto rischio), il GDPR (per la doppia notifica degli incidenti che coinvolgono dati personali), il Data Act (per la condivisione di dati a fini di gestione del rischio cyber), il DGA (per i fornitori di servizi di intermediazione dei dati come soggetti potenzialmente NIS2), la PLD (per la responsabilità del software impiegato dai soggetti essenziali), il DSA (per la sovrapposizione VLOPs/VLOSEs ↔ soggetti essenziali) e il CRA (binomio orizzontale: prodotti vs soggetti).
Asse NIS2 ↔ AI Act (sistemi di IA in soggetti essenziali e gestione del rischio)¶
| NIS2 | AI Act | Natura dell'intersezione |
|---|---|---|
| Art. 21, par. 2 (misure di gestione del rischio) | AI Act, art. 15 (cibersicurezza dei sistemi IA ad alto rischio) | Convergenza tecnica: i soggetti essenziali NIS2 che impiegano sistemi IA ad alto rischio devono garantire la cibersicurezza tanto del soggetto (NIS2) quanto del sistema (AI Act); le misure di art. 21 NIS2 includono la sicurezza dei sistemi IA |
| Art. 23 (segnalazione di incidenti significativi) | AI Act, art. 73 (notifica incidenti gravi); art. 79 (sistemi IA che presentano un rischio) | Notifiche parallele: incidenti che coinvolgono sistemi IA ad alto rischio in soggetti essenziali NIS2 possono richiedere notifica sia al CSIRT (NIS2) sia all'autorità di vigilanza del mercato AI Act |
| Art. 6, punto 38 (definizione «fornitore di servizi DNS», «fornitore di servizi di registrazione di nomi di dominio»); allegato I, punto 8 (infrastrutture digitali) | AI Act, allegato III, punto 1 (sistemi IA biometrici); punto 6 (law enforcement) | I fornitori di infrastrutture digitali e cloud sono soggetti essenziali NIS2 e spesso deployer di sistemi IA ad alto rischio: doppia conformità |
| Art. 24 (uso di schemi europei di certificazione della cibersicurezza) | AI Act, art. 42 (presunzione di conformità mediante norme armonizzate) | Schemi di certificazione comuni: il Reg. (UE) 2019/881 (Cybersecurity Act) funge da quadro condiviso |
| Capo VII — artt. 31-37 (vigilanza ed esecuzione) | AI Act, capo VII (governance); capo IX (post-market monitoring) | Coordinamento autorità: autorità competenti NIS2 e autorità di vigilanza del mercato AI Act cooperano sui sistemi IA in soggetti essenziali |
Asse NIS2 ↔ GDPR (doppia notifica per incidenti su dati personali)¶
| NIS2 | GDPR | Natura dell'intersezione |
|---|---|---|
| Art. 2, par. 14; considerando 14 | Tutto il GDPR | Clausola di salvaguardia: la NIS2 è senza pregiudizio del GDPR; in caso di conflitto prevale il GDPR; la NIS2 non costituisce base giuridica per il trattamento di dati personali |
| Art. 6, punto 14 («dati personali» — rinvio al GDPR) | GDPR, art. 4, punto 1 | Rinvio definitorio diretto |
| Art. 23 (segnalazione di incidenti significativi al CSIRT) | GDPR, artt. 33, 34 (notifica del data breach al Garante e all'interessato) | Doppia notifica: lo stesso incidente che colpisce un soggetto essenziale e coinvolge dati personali può attivare entrambi gli obblighi (NIS2 al CSIRT, GDPR al Garante). Considerando 105 NIS2: necessario coordinamento e scambio di informazioni fra autorità |
| Art. 21, par. 2, lett. a-i (misure di gestione del rischio) | GDPR, art. 32 (sicurezza del trattamento); art. 25 (data protection by design) | Convergenza sostanziale: le misure NIS2 (politiche di analisi rischio, gestione incidenti, sicurezza catena di approvvigionamento, encryption, MFA, ecc.) coincidono in gran parte con le misure tecniche e organizzative GDPR. La conformità NIS2 contribuisce — ma non sostituisce — la conformità GDPR |
| Art. 30 (cooperazione e scambio di informazioni); art. 35 (cooperazione tra autorità competenti e DPA) | GDPR, capo VI (autorità di controllo); art. 60 (cooperazione) | Cooperazione formalizzata: le autorità competenti NIS2 cooperano con i Garanti (DPA) per gli incidenti che ricadono in entrambi i regimi |
| Considerando 105 | GDPR, capo VIII (mezzi di ricorso, responsabilità e sanzioni) | I meccanismi sanzionatori NIS2 (art. 36) e GDPR (art. 83) sono autonomi e si applicano cumulativamente per l'aspetto cybersicurezza e l'aspetto protezione dati |
Asse NIS2 ↔ Data Act (condivisione dati per gestione del rischio)¶
| NIS2 | Data Act | Natura dell'intersezione |
|---|---|---|
| Art. 30 (cooperazione e scambio di informazioni operative) | Data Act, capo V — artt. 14-22 (B2G in necessità eccezionali) | Modelli paralleli di scambio: la NIS2 organizza la condivisione di informazioni di sicurezza (anche cyber threat intelligence) tra soggetti e autorità; il Data Act consente l'accesso a dati di privati per esigenze pubbliche eccezionali, comprese situazioni di crisi cyber |
| Art. 21, par. 2, lett. d (sicurezza catena di approvvigionamento); art. 22 (valutazione coordinata dei rischi) | Data Act, capo VI — artt. 23-31 (switching dei servizi cloud) | I soggetti essenziali NIS2 che si avvalgono di servizi cloud (gestione del rischio di terze parti) traggono dal Data Act garanzie di portabilità e interoperabilità che rafforzano la resilienza operativa |
| Allegato I, punto 8 (fornitori di servizi cloud, data centre) | Data Act, art. 2, punti 6-8 (servizi correlati, servizi di trattamento dati) | I fornitori di servizi cloud sono soggetti essenziali NIS2 e tipicamente operatori soggetti al regime Data Act sul cloud switching |
| Art. 24 (uso di schemi di certificazione UE) | Data Act, art. 33, par. 11 (interoperabilità e standard) | Standardizzazione coordinata: la NIS2 può imporre certificazioni; il Data Act promuove standard di interoperabilità — i due si rafforzano reciprocamente |
Asse NIS2 ↔ DGA (servizi di intermediazione dei dati come soggetti)¶
| NIS2 | DGA | Natura dell'intersezione |
|---|---|---|
| Allegato I, punto 8 (infrastrutture digitali); allegato II, punto 6 (fornitori di servizi digitali) | DGA, art. 2, punto 11 («servizio di intermediazione dei dati»); art. 11 (notifica) | I fornitori di servizi di intermediazione dei dati DGA possono qualificarsi come soggetti essenziali o importanti NIS2, in particolare quando operano come fornitori di servizi cloud, marketplace online o piattaforme di rete sociale |
| Art. 21 (misure di gestione del rischio) | DGA, art. 12 (condizioni per la fornitura di servizi di intermediazione, lett. h, m — sicurezza) | Convergenza tecnica: i requisiti DGA di sicurezza per i servizi di intermediazione confluiscono nelle misure tecniche NIS2 (encryption, autenticazione, controllo accessi) |
| Art. 23 (segnalazione incidenti) | DGA, art. 14 (rappresentante legale); art. 12, lett. m (notifica violazioni di sicurezza) | Notifiche distinte: la NIS2 notifica al CSIRT, il DGA prevede notifica all'autorità competente per i servizi di intermediazione e ai data subject affected |
| Capo VI — artt. 29-30 (condivisione delle informazioni) | DGA, capo VI — artt. 29-30 (EDIB) | Modelli di cooperazione paralleli: NIS2 organizza condivisione di informazioni di sicurezza fra soggetti, DGA istituisce l'EDIB per la governance dei dati |
Asse NIS2 ↔ PLD (responsabilità del software dei soggetti essenziali)¶
| NIS2 | PLD | Natura dell'intersezione |
|---|---|---|
| Art. 21 (misure di gestione del rischio); art. 23 (segnalazione incidenti) | PLD, art. 4, punto 1 (definizione «prodotto», include software); art. 7 (presunzione di difettosità) | I sistemi software impiegati da soggetti essenziali NIS2 sono prodotti ai sensi PLD: se un incidente cyber è causato da un difetto del software, il danneggiato può attivare l'azione PLD contro il fabbricante |
| Art. 21, par. 2, lett. d (sicurezza della catena di approvvigionamento); considerando 85, 90 | PLD, considerando 32; art. 7, par. 2, lett. f | Catena PLD-NIS2: il soggetto essenziale che subisce un incidente per vulnerabilità non sanata di un fornitore di servizi/software può attivare la PLD nei confronti del fornitore; specularmente, il fabbricante che non rilascia aggiornamenti di sicurezza contribuisce alla difettosità del prodotto |
| Art. 21, par. 2, lett. j (uso di MFA, encryption, ecc.) | PLD, art. 7, par. 2, lett. f (cybersecurity come elemento di non-difettosità) | Standard di sicurezza condivisi: le misure NIS2 in capo ai soggetti e i requisiti di non-difettosità del prodotto PLD convergono sui medesimi standard tecnici |
Asse NIS2 ↔ DSA (VLOPs/VLOSEs come soggetti essenziali)¶
| NIS2 | DSA | Natura dell'intersezione |
|---|---|---|
| Allegato I, punto 8 (infrastrutture digitali); allegato II, punto 6 (fornitori di servizi digitali — online marketplace, motori di ricerca, piattaforme di rete sociale) | DSA, art. 33 (designazione VLOPs/VLOSEs) | Sovrapposizione strutturale: le VLOPs/VLOSEs designate ai sensi del DSA sono fornitori di servizi digitali ai sensi NIS2 e tipicamente qualificano come soggetti essenziali o importanti |
| Art. 21 (misure di gestione del rischio) | DSA, art. 34 (valutazione rischio sistemico); art. 35 (mitigazione) | Cumulo di valutazioni: una VLOP soggetta a NIS2 deve effettuare sia la valutazione del rischio cyber NIS2 sia la valutazione di rischio sistemico DSA (più ampia: include rischi su contenuti, diritti fondamentali, processi democratici); le due si integrano |
| Art. 23 (segnalazione incidenti significativi al CSIRT) | DSA, art. 32 (notifica di sospetto reato); art. 42 (relazioni di trasparenza VLOPs) | Notifiche distinte: NIS2 al CSIRT per incidenti cyber, DSA all'autorità competente per sospetti reati e per relazioni di trasparenza |
| Capo VII — art. 31 (autorità competenti); art. 35 (cooperazione) | DSA, capo IV — coordinatori dei servizi digitali | Cooperazione tra autorità: autorità competenti NIS2, coordinatori dei servizi digitali (DSC) e Commissione operano in coordinamento sui dossier che riguardano VLOPs |
Asse NIS2 ↔ CRA (soggetti vs prodotti — binomio orizzontale)¶
NIS2 e CRA sono i due pilastri orizzontali della cibersicurezza UE. La NIS2 disciplina i soggetti (gestione del rischio, segnalazione di incidenti, vigilanza); il CRA disciplina i prodotti (cibersicurezza by design lungo il ciclo di vita). I due regimi sono complementari e operano in modo cumulativo: i soggetti NIS2 acquistano prodotti CRA per costruire la propria postura di sicurezza.
| NIS2 | CRA | Natura dell'intersezione |
|---|---|---|
| Considerando 49; intero impianto | Tutto il CRA, in particolare art. 1 | Binomio strutturale: la NIS2 garantisce che i soggetti che operano in settori critici abbiano misure di gestione del rischio adeguate; il CRA garantisce che i prodotti che essi utilizzano siano sicuri by design. Insieme realizzano il baseline UE di cibersicurezza |
| Art. 23 (segnalazione di incidenti significativi al CSIRT) | CRA, art. 14 (notifica vulnerabilità sfruttate e incidenti gravi via Single Reporting Platform) | Notifiche complementari: il soggetto NIS2 colpito dall'incidente notifica al CSIRT; il fabbricante del prodotto compromesso notifica via CRA. Il considerando 76 CRA prevede coordinamento per evitare duplicazioni |
| Art. 21 (misure di gestione del rischio); art. 21, par. 2, lett. d (sicurezza della catena di approvvigionamento) | CRA, art. 13, par. 8 (support period e aggiornamenti di sicurezza) | Catena della fiducia: i soggetti NIS2 dipendono dagli aggiornamenti di sicurezza CRA per mantenere la propria postura di sicurezza; la NIS2 obbliga il soggetto a una patch management coerente con il support period del fabbricante |
| Allegato I, allegato II (settori) | CRA, allegato III, classe II; allegato IV (prodotti importanti e critici) | Allineamento tra categorie di prodotto critico CRA e settori critici NIS2: i prodotti importanti/critici CRA sono tipicamente quelli utilizzati nei settori NIS2 |
| Art. 24 (uso di schemi europei di certificazione della cibersicurezza) | CRA, capo IV — artt. 33-46 (notifica organismi di valutazione della conformità) | Schemi di certificazione comuni: le procedure di valutazione della conformità CRA possono richiamare schemi di certificazione europei (Reg. (UE) 2019/881) che la NIS2 può imporre ai soggetti essenziali |
| Art. 30 (condivisione delle informazioni) | CRA, considerando 76 | Cooperazione operativa: le autorità di vigilanza del mercato CRA cooperano con i CSIRT e le autorità competenti NIS2 per la condivisione di informazioni su vulnerabilità e incidenti |
Settetto definitorio¶
Sette nozioni chiave attraversano simultaneamente NIS2 e gli altri sette atti, con la NIS2 che introduce un proprio vocabolario tecnico (soggetto essenziale/importante, incidente significativo, near miss, minaccia informatica):
| Concetto | NIS2 | AI Act | GDPR | Data Act | DGA | PLD | DSA | CRA |
|---|---|---|---|---|---|---|---|---|
| Soggetto / fornitore | art. 6, punto 38 (soggetto); art. 3 (essenziale/importante) | art. 3, punti 3, 4 (provider, deployer) | art. 4, punti 7, 8 (titolare/responsabile) | art. 2, punti 13, 14 (titolare/destinatario dei dati) | art. 2, punto 11 (intermediario dei dati) | art. 4, punto 10 (fabbricante) | art. 3, lett. b (prestatore intermediario) | art. 3, punto 12 (fabbricante) |
| Dati personali | art. 6, punto 14 (rinvio al GDPR) | art. 3, punto 50 | art. 4, punto 1 | art. 2, punto 3 | art. 2, punto 3 | art. 4, punto 6 | (rinvio implicito al GDPR) | considerando 17 (rinvio al GDPR) |
| Incidente / violazione | art. 6, punti 6, 7; art. 23 | art. 3, punto 49 (incidente grave) | art. 4, punto 12; art. 33 | n/a | n/a | n/a | art. 32 (sospetto reato) | art. 3, punto 41 |
| Vulnerabilità | art. 6, punto 8 | n/a | n/a | n/a | n/a | (rinvio sostanziale) | n/a | art. 3, punto 42 |
| Minaccia informatica | art. 6, punto 10 | (richiamata in più capi) | (rilevante per rischio) | n/a | n/a | n/a | (rilevante per rischio sistemico) | (presupposta) |
| Cibersicurezza / security by design | art. 6, punto 3; art. 21 | art. 15 | art. 32 | (rilevante) | n/a | (rinvio sostanziale) | n/a | allegato I; art. 13 |
| Notifica / reporting | art. 23 | art. 73 | artt. 33, 34 | n/a | n/a | n/a | art. 32 | art. 14 |
Recepimento italiano (D.Lgs. 138/2024)¶
L'Italia ha recepito la NIS2 con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. L'Agenzia per la Cibersicurezza Nazionale (ACN) è designata come autorità nazionale competente NIS e punto di contatto unico; il CSIRT Italia, operante presso ACN, è designato come CSIRT nazionale.
Il decreto definisce le procedure di registrazione dei soggetti essenziali e importanti, le scadenze di adempimento progressivo delle misure di gestione del rischio, il regime di vigilanza ed esecuzione e l'apparato sanzionatorio (sanzioni amministrative pecuniarie fino a 10 milioni di euro o al 2% del fatturato annuo globale per i soggetti essenziali; fino a 7 milioni o all'1,4% per i soggetti importanti). L'ACN ha emanato successivamente delibere e guidelines operative per la registrazione e per l'adempimento degli obblighi.
Modifiche e rettifiche¶
La NIS2 ha ricevuto 3 rettifiche di natura redazionale, non integrate nel testo qui pubblicato (l'origine è la versione originale del 14.12.2022):
- C1: Rettifica, GU L 112 del 27.4.2023, pag. 51
- C2: Rettifica, GU L 90206 del 22.12.2023, pag. 1
- C3: Rettifica, GU L 90309 del 4.4.2025, pag. 1
Per il testo consolidato vigente con le rettifiche incorporate, fare riferimento a EUR-Lex (CELEX 02022L2555).
La NIS2 modifica espressamente:
- il Reg. (UE) n. 910/2014 (eIDAS);
- la Direttiva (UE) 2018/1972 (codice europeo delle comunicazioni elettroniche);
e abroga la Direttiva (UE) 2016/1148 (NIS1).
Stato di applicabilità¶
La NIS2 è applicabile dal 18 ottobre 2024 (termine di recepimento). In Italia, gli obblighi sostanziali si applicano in base al calendario fissato dal D.Lgs. 138/2024 e dalle determinazioni dell'ACN: registrazione dei soggetti, adozione delle misure di gestione del rischio, attivazione del regime di segnalazione degli incidenti, regime sanzionatorio.
Termini correlati nel glossario¶
Voci del glossario AI-centric rilevanti per questo atto:
Fonti ufficiali¶
- Testo integrale ufficiale su EUR-Lex (CELEX 32022L2555)
- Versione consolidata su EUR-Lex (CELEX 02022L2555)
- D.Lgs. 138/2024 — Recepimento italiano (Normattiva)
- Agenzia per la Cibersicurezza Nazionale (ACN) — Pagina NIS
- ENISA — NIS2 Directive page
- Reg. (UE) 2019/881 (Cybersecurity Act) — schemi europei di certificazione
Indice della sezione¶
- Considerando — 144 considerando integrali
- Testo — 9 capi, 46 articoli
- Allegati — 3 allegati (settori ad alta criticità, altri settori critici, tavola di concordanza)