SCADENZA: 1 OTTOBRE 2026

La tua azienda è
conforme
alla NIS2?

Scansione gratuita in pochi minuti. Scopri le vulnerabilità del tuo sito e il loro impatto sulla conformità alla Direttiva NIS2 (D.Lgs. 138/2024).

Verifica ora Non sei sicuro se la NIS2 si applica? Fai la verifica →

CONTESTO NORMATIVO La Direttiva NIS2 in Italia

Il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024, recepisce la Direttiva europea NIS2 (EU 2022/2555) nell'ordinamento italiano. La normativa impone nuovi obblighi di cybersecurity per migliaia di aziende ed enti pubblici.

La conformità completa è richiesta entro il 1 ottobre 2026. L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità competente per la vigilanza e l'applicazione.

Le sanzioni per la non conformità possono raggiungere fino a €10 milioni o il 2% del fatturato annuo mondiale per i soggetti essenziali, e €7 milioni o l'1,4% del fatturato per i soggetti importanti. L'Art. 23 del D.Lgs. 138/2024 prevede inoltre la responsabilità personale degli organi di gestione.

Anche le PMI nella catena di fornitura di soggetti essenziali o importanti possono essere coinvolte dagli obblighi della NIS2.

AMBITO DI APPLICAZIONE Chi deve adeguarsi?

Soggetti Essenziali (Allegato I)
  • Energia (elettricità, gas, petrolio, idrogeno)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Bancario e infrastrutture dei mercati finanziari
  • Sanità (ospedali, laboratori, farmaceutica)
  • Acqua potabile e acque reflue
  • Infrastrutture digitali (DNS, IXP, cloud, data center)
  • Gestione servizi ICT B2B
  • Pubblica Amministrazione centrale
  • Spazio
Soglia: 250+ dipendenti o fatturato >€50M
Soggetti Importanti (Allegato II)
  • Servizi postali e corrieri
  • Gestione rifiuti
  • Fabbricazione (dispositivi medici, elettronica, macchinari)
  • Produzione e distribuzione alimentare
  • Produzione chimica
  • Servizi digitali (marketplace, motori di ricerca, social)
  • Ricerca scientifica
Soglia: 50+ dipendenti o fatturato >€10M
Attenzione PMI: Anche se la tua azienda è sotto queste soglie dimensionali, potresti rientrare nell'ambito di applicazione se fai parte della catena di fornitura di un soggetto essenziale o importante. La NIS2 estende gli obblighi di sicurezza lungo tutta la supply chain.
Verifica se la NIS2 si applica alla tua azienda →

COPERTURA Come Quascan ti aiuta

La scansione gratuita di Quascan copre 6 delle 10 misure previste dall'Art. 21(2) del D.Lgs. 138/2024. Ecco il mapping tra i nostri 8 scanner e i requisiti NIS2:

Scanner Art. 21 NIS2 Requisito
Security Headers Art. 21(2)(e) Sicurezza dei sistemi informatici e di rete, inclusa la gestione delle vulnerabilità
SSL/TLS Art. 21(2)(h) Politiche e procedure relative all'uso della crittografia e della cifratura
DNS Security Art. 21(2)(e) Sicurezza nell'acquisizione e manutenzione dei sistemi informatici e di rete
Technology Art. 21(2)(e) Gestione e divulgazione delle vulnerabilità
Info Disclosure Art. 21(2)(i) Politiche di controllo degli accessi e gestione degli asset
Cookie Security Art. 21(2)(h) Politiche relative all'uso della crittografia
Subdomain Enum Art. 21(2)(i) Gestione degli asset e controllo della superficie d'attacco
Email Security Art. 21(2)(e)(h) Sicurezza di rete e politiche crittografiche
6 su 10 misure coperte — La scansione Quascan verifica automaticamente la conformità per le misure (e), (h) e (i) dell'Art. 21(2). Le restanti misure (risk assessment, incident handling, business continuity, supply chain security) richiedono un audit organizzativo complementare.

ROADMAP Le scadenze

Ottobre 2024
D.Lgs. 138/2024 in vigore
Dicembre 2024 — Febbraio 2025
Registrazione piattaforma ACN
Marzo 2025
Lista definitiva soggetti ACN
Gennaio 2026
Obbligo notifica incidenti
1 Ottobre 2026
Conformità completa Art. 21-24 — misure di sicurezza obbligatorie
VERIFICA CONFORMITÀ NIS2
https://

FAQ Domande frequenti sulla NIS2

Cos'è la Direttiva NIS2?
La NIS2 (EU 2022/2555) è la direttiva europea sulla sicurezza delle reti e dei sistemi informativi, recepita in Italia con il D.Lgs. 138/2024. Sostituisce la precedente Direttiva NIS e amplia significativamente il numero di settori e soggetti obbligati ad adottare misure di cybersecurity.
A chi si applica la NIS2 in Italia?
La NIS2 si applica a soggetti essenziali (energia, trasporti, sanità, infrastrutture digitali, PA) e soggetti importanti (servizi postali, gestione rifiuti, manifattura, alimentare, chimico, servizi digitali). I criteri dimensionali sono 250+ dipendenti o €50M+ di fatturato per i soggetti essenziali e 50+ dipendenti o €10M+ per i soggetti importanti.
La NIS2 si applica alle PMI?
Sì, se l'azienda supera le soglie dimensionali (50+ dipendenti o €10M+ di fatturato) oppure se fa parte della catena di fornitura di un soggetto essenziale o importante. La NIS2 impone obblighi di sicurezza lungo tutta la supply chain, coinvolgendo anche fornitori di dimensioni ridotte.
Quali sono le sanzioni per la non conformità?
Per i soggetti essenziali: fino a €10 milioni o il 2% del fatturato annuo mondiale. Per i soggetti importanti: fino a €7 milioni o l'1,4% del fatturato. L'Art. 23 del D.Lgs. 138/2024 prevede anche la responsabilità personale degli organi di gestione e amministrazione.
Qual è la scadenza per adeguarsi?
La scadenza per la conformità completa alle misure di sicurezza (Art. 21-24) è il 1 ottobre 2026. L'obbligo di notifica degli incidenti è già in vigore da gennaio 2026.
Come faccio a sapere se la NIS2 si applica alla mia azienda?
Usa il nostro strumento gratuito di verifica: rispondi a poche domande su settore, dimensione aziendale e catena di fornitura per scoprire se la tua organizzazione potrebbe rientrare nell'ambito di applicazione del D.Lgs. 138/2024. Risultato immediato, senza registrazione.
Quascan può sostituire un audit NIS2 completo?
No, ma rappresenta un ottimo primo passo. La scansione Quascan copre automaticamente 6 delle 10 misure dell'Art. 21(2): sicurezza di rete (e), crittografia (h) e gestione asset (i). Le restanti misure (risk assessment, incident handling, business continuity, supply chain) richiedono un assessment organizzativo complementare che possiamo proporti con i nostri pacchetti di consulenza.
La scansione è intrusiva?
No. Quascan esegue esclusivamente scansioni passive, analizzando solo informazioni pubblicamente accessibili come headers HTTP, certificati SSL, record DNS e configurazioni email. Nessun test intrusivo, nessun attacco simulato, nessun impatto sulle prestazioni del sito.
Quanto costa?
La scansione e il report PDF sono completamente gratuiti. Se il report evidenzia criticità, offriamo pacchetti di remediation a partire da €2.500 che includono la risoluzione delle vulnerabilità trovate e la documentazione di conformità NIS2.

NEXT STEP Dalla scansione alla conformità

Il report Quascan è il primo passo verso la conformità NIS2. Per le aziende che necessitano di supporto nella remediation, offriamo pacchetti di consulenza a partire da €2.500 che includono la risoluzione delle vulnerabilità e la documentazione tecnica.

Prenota una consulenza gratuita → [email protected]