Direttiva (UE) 2022/2555 · D.Lgs. 138/2024

NIS2 Compliance per aziende italiane.

La NIS2 impone obblighi stringenti a migliaia di organizzazioni italiane. Fortgale guida enterprise e infrastrutture critiche verso la piena conformità, con SOC 24·7·365, MDR e Threat Intelligence proprietaria.

Richiedi un assessment Scopri l'MDR →

10 M€Sanzione massima

24hNotifica preavviso

2026Anno verifiche ACN

Fortgale · NIS2 Tracker

D.Lgs. 138/2024

Sanzione SE

10 M€

Sanzione SI

7 M€

Preavviso

24h

Notifica

72h

StepSevObbligoSt.

Feb 25OKRegistrazione ACNDONE

2025WIPImplementazione misure minimeSOC

2025WIPSupply chain risk assessmentCTI

2026!!Verifiche ispettive ACNAUD

Conformità · NIS2

D.Lgs. 138/2024

Direttiva (UE) 2022/2555

ACN registered

GDPR-aligned

Standard cyber

ISO/IEC 27001

ISO 9001

MITRE ATT&CK

Come Fortgale supporta NIS2

Non solo consulenza: estensione operativa del vostro presidio.

Quattro pilastri operativi: gap assessment, monitoraggio continuo, supporto notifica, governance documentata.

01 ·

Gap Assessment NIS2

Analisi dello stato attuale rispetto agli obblighi NIS2: identificazione dei gap, prioritizzazione degli interventi e piano di adeguamento con timeline e responsabilità.

02 ·

SOC 24·7·365

SOC italiano operativo a Milano che presidia l'infrastruttura ogni ora. Capacità di rilevare e contenere le minacce prima che causino danno significativo notificabile.

03 ·

Supporto notifica ACN

In caso di incidente significativo gestiamo l'intero processo: preavviso 24h, notifica 72h, rapporto finale 30 giorni. Documentazione audit-ready.

Proof · stakes della NIS2

Quattro numeri che impongono il percorso.

10 M€

Sanzione massima
soggetti essenziali (2% fatturato)

7 M€

Sanzione massima
soggetti importanti (1,4% fatturato)

24·72·30

Finestra di notifica
ore · ore · giorni

2026

Anno delle prime
verifiche ispettive ACN

Roadmap normativa

Quattro tappe · 2024 → 2026.

Dalla registrazione ACN alle verifiche ispettive. La scadenza operativa è già passata: chi non si è adeguato è in esposizione significativa.

Ott. 2024

Recepimento italiano

D.Lgs. 138/2024. Nasce l'obbligo di registrazione presso ACN e si avvia il regime di applicazione.

Feb. 2025

Scadenza registrazione ACN

Censimento dei soggetti essenziali e importanti. Identificazione dei servizi critici erogati.

2025

Implementazione misure minime

MFA, backup sicuri, gestione vulnerabilità, formazione, supply chain risk. Documentazione audit-ready.

2026

Verifiche ispettive ACN

Anno critico: ACN avvia le prime verifiche. Compliance sostanziale richiesta, non solo formale.

10 M€

o 2 % fatturato globale

Soggetti essenziali · violazione più grave

7 M€

o 1,4 % fatturato globale

Soggetti importanti

24h

preavviso al CSIRT Italia

Termine perentorio · nessuna deroga

Responsabilità personale del management. La NIS2 introduce la responsabilità diretta degli organi direttivi. In caso di violazione grave, i dirigenti possono essere sospesi dall'esercizio delle proprie funzioni manageriali da ACN.

Sei obblighi NIS2

Cosa è richiesto, nel concreto.

Sei aree di adempimento operativo. Fortgale copre tutte e sei con strumenti, processi e governance documentata.

Gestione del rischio cyber

Identificazione, valutazione e mitigazione continuativa dei rischi informatici con metodologia documentata e revisione periodica.

Rilevamento & risposta

Capacità di rilevare, analizzare e contenere gli incidenti in tempo reale, con procedure documentate e SLA misurabili.

Notifica degli incidenti

Notifica ad ACN entro 24h (preavviso), 72h (notifica completa) e 30 giorni (rapporto finale). Procedure interne testate.

Continuità operativa

Piani di Business Continuity e Disaster Recovery testati, backup sicuri e procedure di ripristino documentate.

Sicurezza supply chain

Verifica e gestione della sicurezza informatica di fornitori e partner tecnologici. Due diligence cyber documentata.

Controllo degli accessi

MFA, IAM, accessi privilegiati just-in-time, principio del minimo privilegio, audit trail completo degli accessi.

Chi è soggetto

Soggetti essenziali e importanti.

Due categorie con regimi di vigilanza differenziati. Anche le PMI rientrano se forniscono servizi critici o se la loro compromissione ha effetti a cascata.

Settori essenziali · controlli più stringenti

Essenziale · 10 M€

Energia

Elettricità, gas, idrogeno, petrolio.

Essenziale · 10 M€

Trasporti

Ferroviario, aereo, marittimo, stradale.

Essenziale · 10 M€

Banche & Finanza

Banche, mercati finanziari, infrastrutture critiche FS.

Essenziale · 10 M€

Sanità & Farmaceutica

Strutture sanitarie, biotech, distribuzione farmaceutica.

Essenziale · 10 M€

Acqua

Acqua potabile, acque reflue, gestione idrica.

Essenziale · 10 M€

Infrastrutture digitali

Cloud, DNS, IXP, TLD, data center.

Essenziale · 10 M€

Spazio & Difesa

Operatori spazio, contractor difesa.

Essenziale · 10 M€

Pubblica Amministrazione

PA centrale e locale, enti pubblici.

Settori importanti · regime sanzionatorio differenziato

Importante · 7 M€

Manifatturiero

Automotive, meccanica, chimica ad alta criticità.

Importante · 7 M€

Servizi postali

Postali, corriere, logistica.

Importante · 7 M€

Gestione rifiuti

Trattamento, smaltimento, riciclo.

Importante · 7 M€

Servizi digitali

Marketplace, motori di ricerca, social network.

Importante · 7 M€

GDO

Grande distribuzione organizzata, alimentare.

Importante · 7 M€

Ricerca & istruzione

Università, centri di ricerca avanzata.

Importante · 7 M€

Supply chain

Fornitori critici di soggetti essenziali.

Importante · 7 M€

Assicurazioni

Compagnie, broker, riassicurazione.

Difesa integrata

NIS2 è il framework. I servizi Fortgale lo rendono operativo.

Presidio operativo

SOC gestito 24·7·365

Riduce il tempo di rilevamento e garantisce conformità ai requisiti di notifica entro 24/72/30.

Scopri il SOC →

Detection & Response

Managed Detection & Response

Copre gli obblighi di monitoraggio continuo e risposta agli incidenti. Triage in <15 min, contenimento ~11 min.

Scopri MDR →

Notifica incidente

NIS2 · Notifica incidente

Approfondimento operativo sulle scadenze 24h / 72h / 30gg: contenuti, canali, sanzioni, decision tree.

Approfondisci →

FAQ

Tutto quello che serve sapere prima di iniziare il percorso NIS2.

Cos'è la Direttiva NIS2 e cosa cambia rispetto alla NIS?

La NIS2 (Direttiva UE 2022/2555) è la revisione della direttiva NIS del 2016 e amplia notevolmente il perimetro di applicazione, passando da poche decine a migliaia di organizzazioni soggette in Italia. Introduce obblighi più stringenti, sanzioni significativamente più alte (fino a 10 milioni di euro), responsabilità personale del management e requisiti espliciti per la sicurezza della supply chain.

Come faccio a sapere se la mia azienda è soggetta alla NIS2?

Si verificano due criteri: il settore (essenziale o importante secondo l'elenco allegato alla direttiva) e la dimensione (medie imprese con oltre 50 dipendenti o 10M€ di fatturato, o grandi imprese). Alcune eccezioni si applicano indipendentemente dalla dimensione. Fortgale offre un assessment gratuito per determinare se l'organizzazione è soggetta.

Entro quando devo adeguarmi alla NIS2 in Italia?

La registrazione presso ACN aveva scadenza a febbraio 2025. L'implementazione delle misure minime è attesa nel corso del 2025. Il 2026 è l'anno delle verifiche ispettive ACN: chi non ha avviato il percorso si trova in esposizione significativa.

Qual è la differenza tra soggetti essenziali e soggetti importanti?

I soggetti essenziali operano nei settori a più alto impatto (energia, trasporti, sanità, finanza, infrastrutture digitali, spazio, PA) e sono soggetti a sanzioni fino a 10 milioni di euro. I soggetti importanti operano nei settori importanti (manifatturiero, GDO, postale, rifiuti, ricerca) e sono soggetti a sanzioni fino a 7 milioni di euro. Il regime di vigilanza ACN è più intenso per i SE.

Come Fortgale supporta concretamente il percorso di conformità NIS2?

Quattro fasi: Gap Assessment (analisi vs obblighi), Implementazione (deployment strumenti tecnologici), Monitoraggio continuo (SOC 24·7) e Gestione incidenti (supporto notifica ACN). Non solo consulenza: estensione operativa del team di sicurezza.

NIS2 e DORA si sovrappongono? Come gestirle insieme?

DORA si applica al settore finanziario (gennaio 2025) con molti requisiti sovrapposti a NIS2 (gestione del rischio ICT, test di resilienza, notifica degli incidenti). Fortgale supporta le organizzazioni finanziarie in un percorso integrato che copre entrambi i framework, evitando duplicazioni.

Inizia adesso

Il 2026 è l'anno delle verifiche. Non arrivate impreparati.

Richiedete un assessment NIS2 gratuito. In 48 ore vi diciamo esattamente dove si trova l'organizzazione e cosa fare per essere conformi entro le scadenze ACN.