NIS2 Compliance Management

Normativa

Panoramica Direttiva NIS2

La Direttiva (UE) 2022/2555 (NIS2) stabilisce misure per un elevato livello comune di cibersicurezza nell'Unione Europea. Recepita in Italia con il D.Lgs. 138/2024, in vigore dal 17 ottobre 2024, individua l'ACN come autorità nazionale competente. Gli obblighi operativi per le misure di sicurezza sono entrati in vigore a partire dal 1° gennaio 2025. L'ACN ha pubblicato i requisiti tecnici con la Determinazione 164179/2025 che definisce i 43 controlli per i Soggetti Essenziali (Allegato 2) e i 36 controlli per i Soggetti Importanti (Allegato 1).

Soggetti Essenziali

Soggetti Essenziali (SE)

Grandi imprese e amministrazioni che operano in settori ad elevata criticità per la società e l'economia. Soggetti a ispezioni proattive e obblighi più stringenti.

Settori inclusi:

Energia · Trasporti · Bancario · Infrastrutture mercati finanziari · Sanitario · Acqua potabile · Acque reflue · Infrastrutture digitali · Pubblica Amministrazione · Spazio

⚠

Sanzioni fino a 10.000.000 € o 2% del fatturato globale

Soggetti Importanti

Soggetti Importanti (SI)

Medie imprese nei medesimi settori dei SE, più settori aggiuntivi. Soggetti a supervisione reattiva e a un set ridotto di misure obbligatorie.

Settori aggiuntivi:

Servizi postali · Gestione rifiuti · Produzione chimica · Industria alimentare · Fabbricazione (vari settori) · Fornitori digitali · Ricerca

⚠

Sanzioni fino a 7.000.000 € o 1,4% del fatturato globale

Framework ACN

16 Ambiti di Sicurezza

I controlli ACN sono organizzati in 16 ambiti tematici, allineati al NIST CSF 2.0 e ai CIS Controls v8.1.

Gestione del rischio

Ruoli e responsabilità

Affidabilità risorse umane

Conformità e audit

Gestione rischi supply chain

Gestione degli asset

Gestione vulnerabilità

Continuità operativa

Autenticazione e accessi

Sicurezza fisica

Formazione e consapevolezza

Sicurezza dei dati

Sviluppo sistemi

Protezione reti

Monitoraggio eventi

Risposta incidenti

Scadenze

Timeline Adeguamento NIS2 – D.Lgs. 138/2024

Le scadenze si articolano su più livelli e differiscono tra Soggetti Essenziali e Importanti. È fondamentale monitorare le scadenze per evitare sanzioni e garantire la conformità progressiva.

Dic 2024

Apertura Piattaforma ACN

Completato

17 Gen 2025

Registrazione DNS / Cloud / Data Center

Completato

28 Feb 2025

Registrazione Generale ACN

Completato

31 Mar 2025

Pubblicazione Elenco Soggetti ACN

Completato

31 Mag 2025

Designazione PoC e CSIRT Italia

Completato

Gen 2026 →

Obbligo Notifica Incidenti 24h / 72h / 30gg

Attivo ora

Apr – Mag 2026

Verifica Annuale Portale ACN

In corso

Ott 2026

Scadenza Misure di Sicurezza SE (Allegato 2)

Scadenza critica

Fine 2026

Audit ACN Soggetti Essenziali

Futuro

Dic 2027

Adeguamento completo Soggetti Importanti

Futuro

Confronto Obblighi SE vs SI

Obbligo	SE	SI
Registrazione ACN	✓ Feb 2025	✓ Feb 2025
Notifica incidenti 24h/72h	✓ Gen 2026	✓ Gen 2026
43 Misure sicurezza (All. 2)	✓ Ott 2026	-
36 Misure sicurezza (All. 1)	-	✓ Dic 2027
Audit ACN periodici	✓ Obbligatorio	Solo su richiesta
Sanzioni massime	10M€ / 2%	7M€ / 1,4%

Prossima scadenza critica

Ottobre 2026

43 Misure di Sicurezza – Allegato 2 – Soggetti Essenziali

Piattaforma

Strumenti della Piattaforma

La piattaforma NormaShield si compone di due strumenti integrati e complementari che guidano l'organizzazione dall'assessment iniziale alla pianificazione del rischio.

Strumento 1 di 2

NIS2 Compliance Assessment

Lo strumento NIS2_Assessment consente di condurre una valutazione sistematica della conformità dell'organizzazione rispetto ai 43 controlli dell'Allegato 2 (Soggetti Essenziali) e ai 36 controlli dell'Allegato 1 (Soggetti Importanti) del D.Lgs. 138/2024, basati sul framework NIST CSF 2.0.

Registrazione dati cliente (ragione sociale, settore NIS2, classificazione SE/SI)
Valutazione stato di 43 controlli ACN (Non Avviato / In Corso / Completato / N/A)
Dashboard KPI con contatori completamento, gap e scadenze
Grafici radar e barre per avanzamento per funzione NIST CSF
Timeline scadenze adeguamento interattiva
Filtri per funzione NIST, stato, priorità e ricerca libera
Esportazione JSON della sessione per utilizzo in CIS RAM Dashboard
Generazione Report PDF professionale

Strumento 2 di 2

CIS RAM Assessment Dashboard

Lo strumento NIS2_CISRAM_Result raccoglie i risultati dell'assessment e li elabora attraverso la metodologia CIS Risk Assessment Method (CIS RAM v2.1), producendo una valutazione quantitativa del rischio informatico e un piano di remediation prioritizzato.

Importazione JSON dall'Assessment per analisi automatica
Calcolo rischio inerente e residuo per ciascun controllo (scala 1–25)
Matrice CIS RAM probabilità × impatto con soglia di tolleranza IG3
Score per funzione NIST CSF 2.0 con confronto target IG3
Registro completo controlli con filtri multipli
Piano azioni prioritarie (P1/P2) con roadmap 12 mesi
Analisi copertura Implementation Group (IG1/IG2/IG3)
Esportazione report PDF stampabile

Strumento di Autovalutazione

Scopri la tua categoria NIS2

Rispondi a tre semplici domande per capire se la tua organizzazione rientra nel perimetro NIS2 e quale categoria le si applica secondo il D.Lgs. 138/2024.

Dati dell'Organizzazione

Ragione Sociale * Campo obbligatorio

Partita IVA / C.F. P.IVA: 11 cifre · C.F.: 16 caratteri

Sede Legale

Referente / Compilatore

Email Referente Inserire un indirizzo email valido

Ruolo / Qualifica

1

Settore

2

Dimensioni

3

Criteri speciali

4

Risultato

In quale settore opera principalmente la tua organizzazione?

Seleziona il settore che meglio descrive le attività prevalenti dell'organizzazione.

Allegato I Settori ad Alta Criticità - maggiore esposizione al perimetro NIS2

⚡

Energia

Elettricità, gas, petrolio, idrogeno

🚢

Trasporti

Aereo, ferroviario, marittimo, stradale

🏦

Settore Bancario

Enti creditizi e istituti bancari

📈

Mercati Finanziari

Sedi di negoziazione, CCP, depositari

🏥

Settore Sanitario

Ospedali, laboratori, R&S farmaceutica

💧

Acqua Potabile

Fornitura e distribuzione acqua

🌊

Acque Reflue

Raccolta e trattamento acque reflue

🌐

Infrastrutture Digitali

DNS, cloud, CDN, data center, IXP

💻

Gestione Servizi ICT (B2B)

MSP, MSSP, provider ICT gestiti

🏛️

Pubblica Amministrazione

Amministrazioni centrali dello Stato

🛸

Spazio

Operatori infrastrutture spaziali

Allegato II Altri Settori Critici - perimetro esteso

📮

Servizi Postali

Corrieri, distribuzione pacchi

♻️

Gestione Rifiuti

Raccolta, trattamento, smaltimento

🧪

Sostanze Chimiche

Produzione, fabbricazione, distribuzione

🍎

Produzione Alimentare

Produzione, trasformazione, distribuzione

🏭

Fabbricazione

Dispositivi medici, computer, macchinari, veicoli

🛒

Fornitori Digitali

Marketplace, motori di ricerca, social network

🔬

Ricerca

Organismi di ricerca scientifica

⬜

Altro settore

Non presente negli elenchi NIS2

Qual è la dimensione della tua organizzazione?

La classificazione NIS2 dipende dalla combinazione di dipendenti, fatturato e totale attivo di bilancio.

Numero di dipendenti

< 10

Microimpresa

10–49

Piccola impresa

50–249

Media impresa

≥ 250

Grande impresa

Fatturato annuo

≤ 2M€

Microimpresa

2–10M€

Piccola impresa

10–50M€

Media impresa

> 50M€

Grande impresa

Totale attivo di bilancio

≤ 2M€

Microimpresa

2–10M€

Piccola impresa

10–43M€

Media impresa

> 43M€

Grande impresa

La classificazione dimensionale NIS2 si basa sulla Raccomandazione CE 2003/361: è sufficiente superare uno solo dei criteri (dipendenti oppure fatturato/bilancio) per rientrare nella categoria superiore.

Verifiche aggiuntive

Alcune organizzazioni rientrano nel perimetro NIS2 indipendentemente dalle dimensioni. Rispondi alle domande seguenti.

🔑

Provider DNS, TLD o servizi fiduciari qualificati

L'organizzazione è un registro TLD, un provider DNS autoritativo, un provider di servizi fiduciari qualificati (es. firma digitale, marca temporale) o un fornitore di reti/servizi di comunicazione elettronica pubblica di grandi dimensioni?

🛡️

Unico fornitore nazionale di un servizio essenziale

L'organizzazione è l'unico fornitore a livello nazionale di un determinato servizio essenziale, oppure una sua eventuale interruzione avrebbe impatti significativi sulla sicurezza pubblica, sulla sanità pubblica o sull'ordine pubblico?

🌍

Infrastrutture critiche transfrontaliere

L'organizzazione gestisce o opera infrastrutture critiche transfrontaliere o ha un impatto significativo su altri Stati membri dell'UE?

Guida operativa

Come Utilizzare la Piattaforma

Guida operativa in 5 passi per ottenere una valutazione completa di conformità NIS2 e un piano di remediation basato su CIS RAM.

1

Apri l'Assessment

Clicca su "Assessment" nella navigazione o sul pulsante "Apri Assessment". Verrai reindirizzato allo strumento NIS2 Compliance Assessment.

2

Inserisci i Dati del Cliente

Compila la sezione "Dati Cliente" con ragione sociale, settore NIS2, classificazione (SE/SI), P.IVA, referente e data di notifica ACN.

3

Valuta i Controlli

Per ciascuno dei 43 (SE) o 36 (SI) controlli ACN, seleziona lo stato di implementazione: Non Avviato, In Corso, Completato o N/A.

4

Esporta il JSON

Clicca "Esporta" nell'header dell'Assessment per scaricare il file JSON con tutti i dati della valutazione. Questo file è l'input per il CIS RAM Dashboard.

5

Analizza in CIS RAM

Apri il CIS RAM Dashboard, clicca "Importa JSON" e carica il file esportato. La dashboard calcolerà automaticamente rischio inerente, residuo, gap e piano di remediation.

📋

Assessment

NIS2_Assessment.html

→

📦

JSON Export

nis2_assessment.json

→

📊

CIS RAM Dashboard

NIS2_CISRAM_Result.html

→

📄

Report PDF

Stampa / Download

Gestione Sessione

⚠ Reset Dati

Attenzione

Il reset cancella tutti i dati inseriti nell'Assessment inclusi stato dei controlli, dati cliente e note. L'operazione non è reversibile. I file JSON precedentemente esportati non vengono eliminati.

Utilizza questa funzione per iniziare una nuova sessione di assessment da zero. Tutti i dati attualmente presenti nell'Assessment verranno azzerati.