Avvocato e consulenza NIS2 e cybersicurezza

Adempimenti NIS2, registro ACN, notifica degli incidenti significativi, policy di sicurezza e supply chain security per soggetti essenziali e importanti.

Per le imprese e gli enti che rientrano nella Direttiva NIS2 (Dir. UE 2022/2555, recepita con il D.lgs. 138/2024), la cybersicurezza non è più solo un tema tecnico: i soggetti essenziali e importanti devono adottare misure di gestione del rischio, iscriversi al registro dell'Agenzia per la Cybersicurezza Nazionale (ACN) entro le scadenze e notificare gli incidenti significativi, con responsabilità diretta degli organi di amministrazione e sanzioni in caso di inadempimento. Capire se si rientra nel perimetro e mettersi in regola richiede un'analisi puntuale.

Lo Studio Legale Calzoni offre consulenza legale NIS2 e cybersicurezza a enti pubblici, società partecipate e imprese soggette alla Direttiva NIS2 (D.lgs. 138/2024). L'avvocato esperto in NIS2 assiste i soggetti essenziali e importanti nella verifica della qualifica, nella registrazione sul portale ACN, nella redazione delle policy di sicurezza e nella gestione e notifica degli incidenti significativi, su tutto il territorio nazionale.

Cosa facciamo

• Verifica della qualifica di soggetto NIS2 (essenziale o importante)
• Registrazione e aggiornamento sul registro ACN entro le scadenze
• Redazione delle policy e procedure di sicurezza informatica
• Gestione e notifica degli incidenti significativi all'ACN (24h/72h/1 mese)
• Adempimenti di supply chain security e contratti con fornitori
• Audit di conformità NIS2 e gap analysis
• Adempimenti DORA per soggetti del settore finanziario
• Coordinamento tra DPO, CISO, IT e funzioni di compliance
• Formazione degli organi di gestione e del personale
• Difesa nei procedimenti sanzionatori ACN

Casi tipici

• Verifica della qualifica di soggetto essenziale o importante secondo gli allegati al D.lgs. 138/2024
• Registrazione e aggiornamento al registro ACN entro le scadenze fissate dalle determinazioni ACN
• Notifica di un incidente significativo all'ACN nei termini di 24/72 ore
• Redazione di policy di sicurezza, procedure operative e piano di continuità
• Adempimenti di supply chain security e revisione dei contratti con i fornitori
• Coordinamento tra DPO, CISO, IT e funzioni di compliance
• Difesa nel procedimento sanzionatorio ACN
• Adempimenti DORA per banche, intermediari e altri soggetti finanziari

Approfondimenti dallo studio su Avvocato e consulenza NIS2 e cybersicurezza

• Categorizzazione NIS2: guida operativa al modello ACN per soggetti essenziali e importanti (13 Maggio 2026)
• Fornitori rilevanti NIS2: cosa cambia con la Determinazione ACN 127437/2026 (9 Maggio 2026)
• Chi rientra e cosa prevede la NIS2 sulla cybersicurezza? (4 Maggio 2026)
• NIS2: come contestare una iscrizione errata nel registro ACN (27 Marzo 2026)
• NIS2: cosa fare entro dicembre 2025 e aprile 2026 (8 Settembre 2025)
• NIS2: differenza tra soggetto importante ed essenziale (23 Aprile 2025)

Domande frequenti

A chi rivolgersi per l'adeguamento NIS2 della propria azienda?

Per gli adempimenti NIS2 conviene rivolgersi a un avvocato esperto in cybersicurezza, che verifica se l'organizzazione rientra tra i soggetti essenziali o importanti, cura la registrazione sul portale ACN entro le scadenze e predispone policy, governance e procedure di notifica degli incidenti. Lo Studio Legale Calzoni assiste imprese ed enti su tutto il territorio nazionale. Il primo contatto è gratuito.

Serve un avvocato per gli adempimenti NIS2?

La Direttiva NIS2 impone obblighi giuridici con responsabilità in capo agli organi di gestione e sanzioni rilevanti. Un avvocato esperto aiuta a inquadrare correttamente la qualifica del soggetto, a rispettare le scadenze del registro ACN e a impostare la compliance in modo difendibile, coordinandola con eventuali obblighi 231 e privacy.

Chi deve iscriversi al registro ACN?

Sono tenuti all'iscrizione i soggetti essenziali e importanti individuati dal D.lgs. 138/2024 in base ai settori indicati negli allegati I (alta criticità: energia, trasporti, sanità, acque, infrastrutture digitali, PA centrali, spazio) e II (altri settori critici: servizi postali, gestione rifiuti, prodotti chimici, alimentari, fabbricazione, fornitori digitali, ricerca) e alla dimensione aziendale (medie e grandi imprese, con eccezioni). Le scadenze sono fissate dalle determinazioni ACN.

Entro quanto va notificato un incidente significativo?

Il D.lgs. 138/2024, in attuazione dell'art. 23 della Dir. NIS2, prevede tre fasi: pre-allarme (early warning) entro 24 ore dalla conoscenza dell'incidente significativo, notifica completa entro 72 ore con valutazione iniziale e indicatori di compromissione, relazione finale entro 1 mese con descrizione dettagliata, cause, misure adottate e impatto.

Le misure NIS2 si applicano anche ai fornitori?

Sì: l'art. 24 del D.lgs. 138/2024 impone ai soggetti destinatari di valutare e gestire i rischi della catena di fornitura (supply chain security), anche con riferimento a fornitori non direttamente regolati dalla NIS2, includendo nei contratti clausole di sicurezza, audit e cooperazione in caso di incidente.

Quali sono le sanzioni per la violazione della NIS2?

Sanzioni amministrative pecuniarie fino a 10 milioni di euro o al 2% del fatturato totale annuo mondiale (per i soggetti essenziali) e fino a 7 milioni o all'1,4% (per i soggetti importanti). È prevista la responsabilità diretta degli organi di amministrazione e direzione, con possibili misure interdittive.

NIS2 e GDPR sono coordinati?

Sì: in caso di incidente che comporti anche violazione di dati personali (data breach) si applicano cumulativamente la NIS2 e il GDPR (Reg. UE 2016/679), con notifiche distinte all'ACN (entro 24/72 ore) e al Garante Privacy (entro 72 ore ex art. 33 GDPR), e comunicazione agli interessati ex art. 34 GDPR quando ricorrano i presupposti.

Cosa è il regolamento DORA e a chi si applica?

Il Regolamento (UE) 2022/2554 (Digital Operational Resilience Act — DORA), in vigore dal 17 gennaio 2025, disciplina la resilienza operativa digitale dei soggetti finanziari (banche, assicurazioni, imprese di investimento, gestori di cripto-attività, fornitori ICT critici) imponendo gestione del rischio ICT, segnalazione degli incidenti, test di resilienza e oversight dei fornitori terzi.

NIS2 si applica anche alle PA?

Sì: il D.lgs. 138/2024 include espressamente le pubbliche amministrazioni centrali e regionali tra i soggetti destinatari, con specifiche modalità di applicazione e scadenze. Anche enti locali e società partecipate possono rientrare nell'ambito qualora svolgano attività nei settori indicati negli allegati.