norppa.io
Guide

Guida NIS2 · 8 min

Sanzioni e multe NIS2: quanto, chi è responsabile e come evitarle

NIS2 dà alle autorità di vigilanza strumenti concreti: sanzioni basate sul fatturato, ordini vincolanti e, per i soggetti essenziali, il potere di sospendere temporaneamente una certificazione o vietare a un dirigente di esercitare la propria funzione. Questa guida spiega cosa sono le sanzioni, chi è personalmente responsabile, come differisce la vigilanza per i soggetti essenziali e importanti, e il modo pratico per evitare guai: attuate le misure dell'articolo 21, paragrafo 2, e conservate prove continue e datate di farlo.

Punti chiave

  • Le multe massime sono basate sul fatturato: fino a 10 M€ o il 2 % del fatturato annuo mondiale per i soggetti essenziali, e 7 M€ o l'1,4 % per i soggetti importanti, a seconda di quale sia maggiore.
  • L'organo di gestione deve approvare e vigilare sulle misure di sicurezza (art. 20) e può essere ritenuto personalmente responsabile; per i soggetti essenziali, le autorità possono vietare temporaneamente a un dirigente di esercitare la propria funzione (art. 32, par. 5).
  • Le multe sono l'ultima risorsa: l'esposizione quotidiana sono gli ordini vincolanti, gli audit e il costo di dimostrare la diligenza. Un monitoraggio continuo e comprovato della supply chain è l'assicurazione più economica.

Cosa coprono le sanzioni NIS2

NIS2 (direttiva (UE) 2022/2555) è recepita nel diritto nazionale da ciascuno Stato membro, quindi gli importi e le procedure esatti sono fissati a livello nazionale, ma la direttiva fissa i minimi delle multe amministrative massime e gli strumenti di applicazione. Le sanzioni sono legate al mancato rispetto degli obblighi di un soggetto: le misure di gestione del rischio dell'articolo 21, paragrafo 2, gli obblighi di notifica degli incidenti dell'articolo 23, la registrazione e la cooperazione con le autorità.

Fondamentale: NIS2 non riguarda solo il denaro. L'articolo 32 (soggetti essenziali) e l'articolo 33 (soggetti importanti) conferiscono alle autorità competenti poteri graduali, dagli avvertimenti alle istruzioni vincolanti fino a, per i soggetti essenziali, la sospensione e i divieti di gestione. La multa fa notizia; le misure operative sono ciò che la maggior parte dei soggetti incontrerà davvero.

Le multe massime

Soggetti essenziali

Fino a 10.000.000 € o il 2 % del fatturato annuo mondiale totale (esercizio precedente), a seconda di quale sia maggiore.

Operatori più grandi in settori ad alta criticità: energia, trasporti, banche, infrastrutture dei mercati finanziari, salute, acqua potabile e reflue, infrastruttura digitale, gestione dei servizi TIC, pubblica amministrazione, spazio.

Soggetti importanti

Fino a 7.000.000 € o l'1,4 % del fatturato annuo mondiale totale (esercizio precedente), a seconda di quale sia maggiore.

Altri soggetti medi e grandi nei settori coperti, inclusi i servizi postali e di corriere, la gestione dei rifiuti, i prodotti chimici, gli alimenti, la fabbricazione, i fornitori digitali e la ricerca.

Questi sono massimali fissati dalla direttiva (art. 34). Le multe effettive sono decise a livello nazionale e devono essere effettive, proporzionate e dissuasive, tenendo conto della gravità, della durata e della vostra cooperazione. Confermate le regole esatte del recepimento del vostro Paese con una consulenza qualificata.

Responsabilità personale e della dirigenza

NIS2 mette deliberatamente la cybersicurezza sul tavolo del consiglio. Ai sensi dell'articolo 20, l'organo di gestione deve approvare le misure di gestione del rischio cibernetico, vigilare sulla loro attuazione e può essere ritenuto responsabile delle inadempienze. I membri degli organi di gestione devono inoltre seguire una formazione e ci si aspetta che offrano una formazione analoga al loro personale.

Per i soggetti essenziali, l'articolo 32, paragrafo 5, va oltre: quando altre misure di applicazione hanno fallito, le autorità competenti possono sospendere temporaneamente una certificazione o un'autorizzazione e vietare temporaneamente a una persona a livello di amministratore delegato o rappresentante legale di esercitare funzioni dirigenziali. Questa esposizione personale è il motivo per cui la governance NIS2 raggiunge ora il vertice dell'organizzazione.

Scopri come si posizionano davvero i tuoi fornitori

Avvia la prova gratuita Vedi report di esempio

7 giorni gratuiti · senza carta di credito · disdici quando vuoi

Gli strumenti di applicazione (oltre le multe)

Prima o accanto a una multa, le autorità possono applicare una serie di misure vincolanti (art. 32 e 33). In pratica, ecco ciò che con più probabilità affronterete:

  • Avvertimenti e istruzioni vincolanti per porre rimedio a carenze specifiche entro un termine.
  • Ordini di conformarsi, di informare i clienti interessati di una minaccia significativa o di attuare le raccomandazioni dell'audit.
  • Audit di sicurezza obbligatori e ispezioni in loco, a vostre spese.
  • Designazione di un responsabile del monitoraggio che vigili sulla vostra conformità per un periodo determinato.
  • Divulgazione pubblica della violazione e ordini di rendere pubblici aspetti dell'incidente.
  • Solo per i soggetti essenziali: sospensione temporanea della certificazione o autorizzazione e un divieto temporaneo di gestione (art. 32, par. 5).

La vigilanza differisce per categoria

I soggetti essenziali sono soggetti a vigilanza proattiva (ex ante) e reattiva (ex post) ai sensi dell'articolo 32: audit regolari e mirati, ispezioni in loco, scansioni di sicurezza e richieste di informazioni possono avvenire indipendentemente dal sospetto di un problema.

I soggetti importanti sono vigilati solo ex post ai sensi dell'articolo 33: le autorità agiscono quando vi sono prove o indizi di non conformità, di solito dopo un incidente o un reclamo. In ogni caso, spetta a voi dimostrare che erano in atto misure adeguate, cosa molto più semplice con registri continui che con un'istantanea annuale.

Fonti: Direttiva (UE) 2022/2555 (NIS2), articoli 20, 32, 33 e 34 Gli importi massimi delle multe sono fissati dalla direttiva; i recepimenti nazionali fissano le regole e le procedure esatte. Questa guida è un'informazione generale, non una consulenza legale.

Come norppa.io riduce la vostra esposizione

La maggior parte delle sanzioni si riconduce a due lacune: misure inadeguate ai sensi dell'articolo 21, paragrafo 2 (in particolare la sicurezza della supply chain), e l'incapacità di dimostrare la diligenza su richiesta. norppa.io affronta entrambe monitorando in continuo ogni dominio fornitore e associando ogni rilievo all'articolo NIS2 che lo riguarda.

Poiché ogni ciclo di monitoraggio viene registrato, disponete di una traccia di audit continua e datata, esattamente la prova che la vigilanza ai sensi degli articoli 32 e 33 richiede, anziché un'istantanea puntuale. È ciò che trasforma «intendevamo farlo» in «ecco il registro», ed è l'assicurazione più economica contro le multe e gli ordini di cui sopra.

Non ancora pronti a iniziare? Ricevete lo stato NIS2 del vostro Paese

Vi invieremo lo stato di recepimento NIS2 del vostro Paese (autorità, legge nazionale, date chiave) e una checklist sintetica di due diligence dei fornitori. Un'email, poi aggiornamenti NIS2 occasionali.

Non condividiamo mai la vostra email. Disiscrizione con un clic. Conservata nell'UE.

Dimostrate la diligenza della vostra supply chain

Vedete un report fornitore di esempio (rilievi, prove e mappatura degli articoli NIS2) in circa due minuti.

Avvia la prova gratuita Vedi report di esempio

7 giorni gratuiti · senza carta di credito · disdici quando vuoi

Guarda la dashboard di esempio

Ultima revisione: 19 giugno 2026

Questa guida fornisce informazioni generali sul diritto dell'UE, non consulenza legale. NIS2 entra in vigore tramite la legge di recepimento nazionale di ciascuno Stato membro dell'UE, che può differire nei dettagli. Verifica gli obblighi che ti riguardano con la tua autorità competente o un consulente legale.

Guide correlate

Come conformarsi a NIS2: una roadmap passo dopo passo

I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilite se NIS2 vi riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain vi coinvolge anche senza designazione.

NIS2 per i fornitori: non siete designati, ma i vostri clienti sì

La maggior parte delle aziende non viene mai designata ai sensi di NIS2, ma molte devono comunque conformarsi. Come l'obbligo sulla catena di approvvigionamento di un cliente soggetto (articolo 21, paragrafo 2, lettera d) ricade su di voi, cosa chiederà e come rispondere in modo credibile.

NIS2 e il requisito della supply chain: cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

NIS2 Art. 21(2): checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il vostro obbligo.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il vostro SGSI, e le lacune che restano

Se avete la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi

In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.

Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain

Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.

Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)

Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.