Sanzioni NIS2: le 3 mosse per non rischiarle (e proteggere chi guida l'azienda)

Le sanzioni NIS2 sono reali e sono pesanti. Fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, fino a 7 milioni o l'1,4% per gli importanti. E nei casi gravi è prevista anche la possibile sospensione temporanea dalle funzioni dirigenziali per i vertici. Chi guida l'azienda non rischia solo i soldi dell'azienda, rischia in prima persona.

Ma le sanzioni non cadono dal cielo. Seguono inadempimenti precisi. Quindi conviene ragionare al contrario: da cosa nasce davvero una sanzione NIS2, e quali mosse chiudono quelle esposizioni. Sono tre, e si tengono insieme.

Prima un riferimento temporale: per i soggetti già in elenco dal 2025, l'obbligo di notifica è operativo dal 15 gennaio 2026 e le misure di sicurezza di base vanno operative entro il 31 ottobre 2026, data dopo la quale l'ACN passa dalla fase di accompagnamento a quella ispettiva.

Da cosa nasce davvero una sanzione NIS2

Semplificando, le sanzioni si legano a tre tipi di inadempimento. Il primo: non essere registrati e riconoscibili come soggetto, quando si rientra nel perimetro. Il secondo: non avere le misure di gestione del rischio richieste dall'art. 24 del decreto. Il terzo: non notificare gli incidenti nei tempi previsti dall'art. 25. A questi si aggiunge il tema della governance, perché la responsabilità ricade anche sugli organi di amministrazione.

È utile tenere a mente anche l'entità in gioco: per i soggetti essenziali si arriva fino a 10 milioni di euro o il 2% del fatturato annuo mondiale, per gli importanti fino a 7 milioni o l'1,4%, prendendo l'importo più alto tra i due. Non sono cifre pensate per essere simboliche, e l'autorità ha gli strumenti per applicarle.

Le tre mosse che seguono coprono esattamente queste esposizioni: esserci e poterlo dimostrare, saper notificare, coinvolgere chi guida l'azienda.

Mossa 1. Registrazione a posto e prove alla mano (non basta fare, devi poter dimostrare)

La registrazione sul portale ACN è la porta d'ingresso. La finestra è annuale, dal 1 gennaio al 28 febbraio. La prima si è chiusa a febbraio 2025 e le comunicazioni di inserimento nell'elenco sono partite da aprile 2025. Se rientri nel perimetro e non ti sei registrato, sei esposto dal primo giorno, ancora prima di parlare di misure tecniche.

Ma la registrazione è solo il primo passo. Il vero tema è che, in un controllo, "lo facciamo" senza prove vale zero. Devi poter dimostrare ciò che fai.

Cosa fare in concreto:

• Verificare con certezza se sei soggetto essenziale o importante, e se rientri nel perimetro (molti ci rientrano per soglie dimensionali o perché fornitori di settori critici, e non lo sanno).

• Registrarti o aggiornare la registrazione nella finestra, designare il punto di contatto e il Referente CSIRT.

• Costruire un minimo ma reale corredo di evidenze: policy di analisi del rischio, inventario degli asset, registro degli incidenti, prova documentata dei test di ripristino dei backup, registro della formazione fatta.

Un modo rapido per orientarti: se la tua azienda supera le soglie della media o grande impresa e opera in uno dei settori degli allegati al decreto, oppure se sei un fornitore rilevante di chi ci opera, con ogni probabilità sei nel perimetro. Nel dubbio si verifica, non si dà per scontato di esserne fuori.

L'errore più comune ha due facce. La prima: convincersi di non essere nel perimetro e non registrarsi, quando invece lo si è, magari come fornitore di un'azienda regolata. La seconda: fare le cose ma non documentarle, e quindi non poterle dimostrare quando serve. In NIS2 la prova conta quanto il fatto.

Mossa 2. Costruisci ora il processo di notifica incidenti, prima di averne bisogno

Dal 15 gennaio 2026 l'obbligo di notifica è pienamente operativo. I tempi sono stretti e decorrono da quando hai evidenza dell'incidente: pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese. La notifica mancata o tardiva è di per sé una violazione sanzionabile ai sensi dell'art. 25. In altre parole: anche se l'attacco non era colpa tua, gestirne male la notifica ti espone comunque. E la relazione finale entro un mese non è una formalità: deve ricostruire causa, impatto e misure adottate, e si scrive bene solo se durante l'incidente hai raccolto i dati giusti, cosa che richiede di nuovo monitoraggio e tracciamento.

Cosa fare in concreto:

• Mettere nero su bianco chi dichiara che c'è un incidente, chi notifica al CSIRT Italia, con quali dati, su quale canale, e come si ricostruisce la cronologia degli eventi.

• Assicurarsi di avere la detection necessaria per avere evidenza in tempo. Non puoi notificare entro 24 ore un incidente di cui ti accorgi lunedì mattina.

• Provare il processo almeno una volta con una simulazione (un'esercitazione a tavolino), prima che serva davvero.

Esempio concreto. Incidente sabato sera. Con monitoraggio attivo e un processo chiaro, la pre-notifica parte entro le 24 ore e gestisci la cosa con ordine. Senza, te ne accorgi lunedì, sei già oltre i termini, e per giunta stai improvvisando la procedura nel momento peggiore.

L'errore più comune è avere il processo solo sulla carta, scritto una volta e mai provato, oppure non avere la detection a monte. Un piano di notifica senza la capacità di accorgersi dell'incidente è un piano che parte già in ritardo.

Mossa 3. Porta la sicurezza in consiglio e proteggi il management

Il D.Lgs. 138/2024 rende gli organi di amministrazione e direttivi responsabili: approvano le misure di gestione del rischio, sovrintendono alla loro attuazione, devono seguire una formazione. Nei casi gravi rischiano la sospensione dalle funzioni. Detto in modo diretto: proteggere l'azienda dalle sanzioni significa anche proteggere le persone che la guidano.

Cosa fare in concreto:

• Portare NIS2 in consiglio di amministrazione almeno una volta, e mettere a verbale l'approvazione delle misure, l'assegnazione delle responsabilità e del budget.

• Far seguire ai vertici la formazione prevista, e tenerne traccia documentale.

• Trattare questi atti come parte delle evidenze: dimostrano la diligenza dell'organo di gestione, e sono esattamente ciò che fa la differenza in un controllo o dopo un incidente.

La formazione, in particolare, non è un adempimento da spuntare: serve a mettere chi decide in condizione di capire cosa approva e perché. Mezza giornata fatta bene, con esempi reali di incidenti del settore, vale più di un attestato preso tanto per averlo.

L'errore più comune è il board che firma un documento preparato dall'IT senza un coinvolgimento reale, senza alcuna traccia di una discussione, di un'approvazione consapevole o della formazione. In quel caso la responsabilità personale resta tutta lì, scoperta.

Le tre mosse insieme

C'è una capacità che sta sotto tutte e tre: saper accorgersi degli incidenti e rispondere. Senza, non puoi notificare nei tempi (mossa 2), le tue misure di gestione del rischio restano incomplete (mossa 1) e il management resta esposto perché non può dimostrare di aver messo in piedi qualcosa che funziona (mossa 3). È il motivo per cui, nella pratica, la capacità di detection e response gestita è quasi sempre il primo investimento concreto che chiude più fronti insieme.

Cosa fare adesso

Evitare le sanzioni NIS2 c'entra meno con la carta e più con due cose: essere davvero in grado di gestire un incidente, e poterlo dimostrare. La registrazione e le evidenze ti mettono in regola formalmente, il processo di notifica ti fa rispettare i tempi, il coinvolgimento del board protegge le persone. Ma tutto poggia sulla capacità di vedere e reagire.

Prenota una call di 30 minuti con un esperto AmagisTech. Verifichiamo a che punto sei sulle tre mosse, dove la tua azienda e il tuo management sono più esposti, e quali priorità conviene chiudere prima del 31 ottobre 2026.