Cybersecurity Law.
La Direttiva NIS2 introduce la responsabilità personale diretta del management. Se sei CTO o amministratore, il rischio non è solo per l'azienda — è per te.
I servizi
NIS2 Gap Analysis
Verifica assoggettamento, identificazione degli obblighi specifici e roadmap di conformità con priorità operative.
Incident Response Plan
Sviluppo del piano di risposta agli incidenti con procedure di notifica all'ACN entro 24h/72h.
Board Training (4h)
Sessione formativa obbligatoria per CTO, CEO e CDA. Responsabilità personale, obblighi e scenari pratici.
Supply Chain Security
Assessment dei fornitori ICT critici, clausole contrattuali di sicurezza e gestione del rischio di terze parti.
Contrattualistica Cyber
SLA tecnici, clausole di responsabilità e limitazione, indemnity per incidenti di sicurezza nei contratti con clienti e fornitori.
Crisis Management
Supporto legale durante un data breach o incidente NIS2: notifiche, comunicazione con autorità e gestione delle conseguenze.
NIS2: sei soggetto?
Sei potenzialmente soggetto a NIS2 se rispetti i seguenti criteri:
1. Settore
Operi in energia, trasporti, finanza, sanità, infrastrutture digitali, ICT, PA, spazio, oppure fornisci marketplace, motori di ricerca o social network.
2. Dimensioni
Hai 50+ dipendenti oppure fatturato annuo > 10M€. Le due condizioni sono alternative, non cumulative.
3. Tipologia
Soggetto essenziale (Allegato I) o soggetto importante (Allegato II). Determina il livello sanzionatorio applicabile.
Attenzione: anche i fornitori ICT di soggetti NIS2 possono essere soggetti indirettamente agli obblighi di sicurezza della supply chain. Se il tuo cliente principale è una banca, un ospedale o una utility, devi verificare.
Le sanzioni
Soggetti Essenziali
€10M
o 2% del fatturato mondiale totale annuo, se superiore
+ possibile sospensione temporanea dalla carica per i dirigenti
Soggetti Importanti
€7M
o 1,4% del fatturato mondiale totale annuo, se superiore
+ obblighi di notifica pubblica degli incidenti
Domande frequenti
Entro quando devo essere conforme a NIS2?
Il D.Lgs. 138/2024 è in vigore. Le aziende soggette devono registrarsi presso l'ACN (Agenzia per la Cybersicurezza Nazionale) entro il termine stabilito dal decreto e implementare le misure di sicurezza. Non c'è un "grace period" indefinito: le sanzioni possono scattare da subito per le violazioni più gravi.
Come si notifica un incidente NIS2?
NIS2 prevede una notifica a cascata: entro 24 ore dall'identificazione dell'incidente si trasmette un pre-alert all'ACN; entro 72 ore una notifica dettagliata; entro 1 mese un rapporto finale con analisi delle cause e misure adottate. Gli incidenti significativi devono essere notificati anche agli utenti colpiti.
NIS2 si applica anche alle startup?
Le micro e piccole imprese (meno di 50 dipendenti e fatturato inferiore a 10M€) sono generalmente escluse. Tuttavia, possono essere incluse dall'ACN su base individuale se forniscono servizi critici. Alcune categorie specifiche (DNS provider, TLD registry, operatori di data center) sono soggette indipendentemente dalle dimensioni.
Inizia dalla Gap Analysis
Un'ora di assessment per capire se sei soggetto a NIS2, quali obblighi hai e da dove iniziare.
Richiedi la consulenza →