Sanzioni NIS2: quanto rischia la tua azienda (e i dirigenti)

Lettura 9 min · AstraLoop Studio

La domanda che ti stai facendo è semplice: se la mia azienda non è a posto con la NIS2, quanto pago? La risposta breve è che rischi fino a 10 milioni di euro o il 2% del fatturato annuo mondiale (si applica l'importo più alto). Ma la parte che spaventa di più i titolari e i consigli di amministrazione con cui parliamo non è la cifra. È il fatto che, per la prima volta in modo esplicito, la responsabilità ricade sulle persone che dirigono l'azienda, non solo sull'azienda come entità astratta.

È questo il vero cambio di paradigma della direttiva NIS2 (Direttiva UE 2022/2555, recepita in Italia con il D.Lgs. 138/2024). Il management non può più dire "se ne occupa l'IT". La legge dice il contrario: gli organi di amministrazione e direttivi approvano le misure di gestione del rischio, vigilano sulla loro attuazione e rispondono delle violazioni. In questo articolo vediamo gli importi reali, cosa significa concretamente "responsabilità personale" e come queste sanzioni si confrontano con quelle già note del GDPR e con quelle in arrivo dell'AI Act. Se prima di leggere gli importi vuoi capire il quadro completo dei controlli da mettere in campo, parti da questa guida all'audit di sicurezza informatica per le PMI.

Illustrazione di una poltrona dirigenziale su una bilancia contrapposta a uno scudo, a simboleggiare la responsabilità personale del management sotto la NIS2

Gli importi delle sanzioni NIS2: quanto rischia davvero l'azienda

La NIS2 divide i soggetti obbligati in due categorie, con massimali diversi. La distinzione conta, perché determina la tua esposizione economica.

CategoriaChi rientra (esempi)Sanzione massima
Soggetti essenzialiEnergia, sanità, banche, infrastrutture digitali, trasporti, acquaFino a 10 milioni € o 2% del fatturato mondiale (il maggiore)
Soggetti importantiManifatturiero, alimentare, chimico, servizi digitali, gestione rifiuti, posteFino a 7 milioni € o 1,4% del fatturato mondiale (il maggiore)

Occhio a un dettaglio che molti sottovalutano: il criterio "l'importo più alto tra i due" cambia tutto. Per una PMI con fatturato limitato è il tetto in valore assoluto (10 o 7 milioni) a pesare. Per un gruppo con centinaia di milioni di ricavi, la percentuale sul fatturato mondiale può superare di gran lunga il tetto fisso. Non è pensata per essere simbolica.

Prima di allarmarti sulle cifre, però, devi verificare una cosa: se la NIS2 si applica davvero alla tua azienda. Non tutte rientrano, e i criteri di dimensione e settore sono precisi. Abbiamo dedicato un approfondimento a come capire se la tua azienda è soggetta alla NIS2, che ti conviene leggere prima di preoccuparti degli importi.

Non è solo la multa: le altre misure a disposizione delle autorità

Ridurre la NIS2 alla sola sanzione pecuniaria è un errore. L'Autorità nazionale competente (in Italia l'ACN, Agenzia per la Cybersicurezza Nazionale) può disporre anche misure che, per un'azienda operativa, fanno più male della multa:

  • Ordini vincolanti e istruzioni per adeguarsi entro un termine preciso;
  • Audit di sicurezza obbligatori a spese dell'azienda;
  • Sospensione temporanea di certificazioni o autorizzazioni necessarie all'attività;
  • Divieto temporaneo, per le persone fisiche a livello dirigenziale, di esercitare funzioni di gestione in caso di violazioni reiterate.

Quest'ultimo punto è il ponte verso il tema che rende la NIS2 diversa da tutto ciò che c'era prima.

La responsabilità personale del management: cosa cambia davvero

Il D.Lgs. 138/2024 stabilisce che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti sono tenuti ad approvare le misure di gestione dei rischi di cybersicurezza e a sovrintendere alla loro attuazione. Tradotto in linguaggio operativo: il CEO e il CdA hanno un obbligo attivo, documentabile, che non possono scaricare per intero sul responsabile IT o su un fornitore esterno.

Questo genera tre conseguenze concrete che ogni titolare dovrebbe avere chiare.

1. La delega non ti protegge come pensi

Puoi (e devi) affidare l'esecuzione tecnica a chi ha le competenze. Ma la responsabilità di supervisione resta in capo agli organi direttivi. Se l'azienda subisce un incidente grave ed emerge che il management non ha approvato misure adeguate, non le ha finanziate o ha ignorato le segnalazioni, la responsabilità diventa personale. Non basta dire "ho un IT manager".

2. L'obbligo di formazione riguarda anche i vertici

La direttiva impone che i membri degli organi di gestione seguano una formazione specifica sui rischi di cybersicurezza, per poter valutare e comprendere le misure e i loro impatti. Non è un corso per tecnici: è formazione per decisori, perché un consiglio che approva un piano di sicurezza deve capire cosa sta approvando. Su questo, un buon punto di partenza è capire come si struttura la formazione del personale sui rischi digitali, incluse le nuove minacce basate sull'AI.

3. Chi ti fornisce servizi entra nel tuo perimetro

La NIS2 impone di valutare la sicurezza della supply chain. I dati parlano chiaro: circa il 30% delle violazioni coinvolge una terza parte, e le compromissioni della catena di fornitura sono aumentate di quattro volte in cinque anni. Se un tuo fornitore software viene bucato e da lì passa l'attacco, la domanda dell'autorità sarà una sola: avevi valutato quel fornitore? Il management deve poter dimostrare di sì.

Illustrazione astratta di tre colonne di altezza crescente che rappresentano il confronto tra le sanzioni di NIS2, GDPR e AI Act

NIS2, GDPR e AI Act: come si confrontano le sanzioni

Molti imprenditori conoscono già il GDPR e associano "sanzione europea" a quel regime. È utile mettere i tre quadri normativi fianco a fianco, perché non si escludono a vicenda: possono cumularsi sullo stesso evento. Un data breach che nasce da misure di sicurezza inadeguate può violare insieme la NIS2 (misure) e il GDPR (protezione dei dati personali).

NormaCosa proteggeSanzione massimaResponsabilità personale?
NIS2 (Dir. UE 2022/2555 / D.Lgs. 138/2024)Sicurezza di reti e sistemi informativi10 mln € o 2% fatturato mondialeSì, esplicita sugli organi direttivi
GDPR (Reg. UE 2016/679)Dati personali20 mln € o 4% fatturato mondialeIndiretta (in Italia via responsabilità civile o penale collegata)
AI Act (Reg. UE 2024/1689)Sistemi di intelligenza artificiale35 mln € o 7% fatturato mondialeSull'impresa, con obblighi di governance interna

Tre osservazioni pratiche su questa tabella.

Il GDPR ha il tetto percentuale più alto tra i due "storici". Il 4% del fatturato mondiale resta il massimale più temuto per le violazioni sui dati personali, gestito in Italia dal Garante per la protezione dei dati personali. Se vuoi capire come le due norme si intrecciano nel dettaglio, l'approfondimento su cos'è un data breach secondo il GDPR chiarisce quando scatta l'obbligo di notifica al Garante entro 72 ore.

L'AI Act ha il massimale assoluto più elevato. Il Regolamento UE 2024/1689 prevede fino a 35 milioni o il 7% del fatturato mondiale per le violazioni più gravi (le pratiche vietate). La sua fase operativa entra nel vivo nel 2026, con l'ACN tra le autorità di vigilanza in Italia. Per un quadro completo degli obblighi in arrivo, vedi la guida agli obblighi dell'AI Act per le PMI nel 2026.

La NIS2 è l'unica che nomina i dirigenti. Sul piano del massimale astratto è "la più bassa" delle tre, ma è l'unica che sposta il rischio dalla persona giuridica alla persona fisica in modo diretto. Per un amministratore, è questa la differenza che conta.

Le scadenze che determinano quando scatta il rischio

Una sanzione presuppone un obbligo già in vigore. Il calendario NIS2 italiano è scaglionato, e conoscerlo ti dice esattamente da quando sei esposto. Gli obblighi di notifica degli incidenti e la registrazione dei soggetti sono già operativi nelle prime fasi, mentre le misure di sicurezza di base hanno il loro termine di adeguamento nel corso del 2026. Abbiamo mappato le date rilevanti nell'articolo sulle scadenze NIS2 del 2026, così eviti di scoprire un termine scaduto quando ormai è troppo tardi.

Il punto chiave: la notifica degli incidenti significativi ha tempistiche strette (un pre-allarme entro 24 ore, una notifica entro 72 ore). Non notificare, o notificare in ritardo, è a sua volta una violazione sanzionabile. Non serve nemmeno che tu abbia "colpa" nell'incidente: la mancata notifica è un illecito autonomo.

Vuoi capire se la tua azienda è esposta e quali misure ti coprono davvero dalla responsabilità NIS2? Richiedi un'analisi di conformità con noi: partiamo dal tuo caso concreto, non da un modello generico.

Come si riduce concretamente il rischio di sanzione

La buona notizia è che le autorità valutano lo sforzo. Nel decidere se e quanto sanzionare si tiene conto della gravità, della durata, dei precedenti e soprattutto delle misure adottate per prevenire e attenuare il danno. Un'azienda che può dimostrare di aver fatto le cose per bene parte da una posizione radicalmente diversa da chi non ha fatto nulla. Ecco i passi che, nella nostra esperienza sul campo, spostano davvero l'ago.

  1. Delibera del CdA che approva le misure. Serve un atto formale, datato, che dimostri che gli organi direttivi hanno assunto la responsabilità. È il primo documento che un'autorità chiede.
  2. Analisi del rischio documentata. Non un file generico, ma una valutazione dei rischi specifici della tua realtà, aggiornata periodicamente.
  3. Misure di base implementate: gestione degli accessi, backup testati, cifratura, gestione delle vulnerabilità, piano di risposta agli incidenti.
  4. Valutazione dei fornitori critici, con clausole contrattuali sulla sicurezza e sulla notifica degli incidenti.
  5. Formazione dei vertici e del personale, tracciata e ripetuta.
  6. Test periodici (vulnerability assessment e penetration test) per verificare che le misure funzionino davvero, e non solo sulla carta. Se non hai chiara la differenza tra i due, l'articolo su vulnerability assessment e penetration test la spiega senza tecnicismi.

C'è un tema che quasi nessuno collega alla NIS2, ma che sta diventando decisivo: l'assicurabilità. Le compagnie che offrono cyber insurance chiedono sempre più spesso un audit di sicurezza come precondizione per la polizza, e in caso di sinistro verificano se le misure dichiarate erano davvero in atto. Fare l'audit non serve solo a evitare la sanzione: serve a poter trasferire il rischio residuo a un assicuratore. Ed è qui che l'investimento in sicurezza si ripaga due volte.

Il quadro va oltre la conformità: le minacce sono cambiate

Le sanzioni sono la conseguenza normativa. Ma il rischio reale è l'attacco che le motiva. Il contesto italiano è pesante: il Rapporto Clusit 2026 colloca l'Italia intorno al 10% degli incidenti mondiali, con le PMI che rappresentano circa il 72% dei bersagli. E gli attacchi sono anche più sofisticati grazie all'AI: phishing iper-realistici e truffe con voce clonata. In Lombardia una PMI ha trasferito 28.000 euro a un finto direttore finanziario "clonato" via deepfake audio. Capire come funzionano queste truffe è parte della gestione del rischio: leggi come difendersi dalla truffa del CEO con deepfake.

C'è poi un rischio silenzioso che tocca insieme NIS2, GDPR e AI Act: la Shadow AI, cioè i dipendenti che incollano dati aziendali su ChatGPT o strumenti simili senza alcun controllo. È un data leak potenziale che nessun firewall vede. Rientra a pieno titolo tra i rischi che il management deve governare, ed è esattamente il tipo di esposizione che un audit ben fatto porta alla luce.

In sintesi

Le sanzioni NIS2 per l'azienda arrivano a 10 milioni di euro o al 2% del fatturato mondiale, ma il vero salto rispetto al passato è la responsabilità personale, esplicita e non delegabile, di CEO e consiglio di amministrazione. Rispetto al GDPR (fino al 4% del fatturato) e all'AI Act (fino al 7% o 35 milioni), la NIS2 ha il massimale astratto più contenuto, ma è l'unica che mette il nome del dirigente sul documento. Il modo per ridurre concretamente il rischio esiste ed è documentabile: delibere, analisi del rischio, misure di base, valutazione dei fornitori, formazione dei vertici e test periodici. Chi lo fa non solo evita la sanzione, ma diventa anche assicurabile.

Domande frequenti

A quanto ammontano le sanzioni NIS2 per l'azienda?

Fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per i soggetti essenziali, e fino a 7 milioni o l'1,4% del fatturato per i soggetti importanti. Si applica sempre l'importo più alto tra i due.

I dirigenti rispondono personalmente delle violazioni NIS2?

Sì. Il D.Lgs. 138/2024 stabilisce che gli organi di amministrazione approvano le misure di sicurezza e vigilano sulla loro attuazione. La responsabilità di supervisione non è delegabile all'IT e, in caso di violazioni reiterate, può scattare il divieto temporaneo di esercitare funzioni dirigenziali.

Le sanzioni NIS2 sono più alte di quelle GDPR?

No. In valore massimo il GDPR arriva a 20 milioni o al 4% del fatturato mondiale, più della NIS2. La differenza è che la NIS2 introduce la responsabilità personale esplicita del management, cosa che il GDPR non prevede in modo diretto.

NIS2 e GDPR possono cumularsi sullo stesso evento?

Sì. Un data breach causato da misure di sicurezza inadeguate può violare insieme la NIS2 (misure di gestione del rischio) e il GDPR (protezione dei dati personali), con procedimenti e autorità distinti, ACN e Garante Privacy.

Cosa devo dimostrare per ridurre il rischio di sanzione?

Serve un percorso documentato: delibera del CdA che approva le misure, analisi del rischio aggiornata, misure di base implementate (backup, cifratura, gestione accessi), valutazione dei fornitori, formazione dei vertici e test periodici come vulnerability assessment e penetration test.

L'AI Act ha sanzioni più alte della NIS2?

Sì. Il Regolamento UE 2024/1689 (AI Act) prevede fino a 35 milioni di euro o il 7% del fatturato mondiale per le violazioni più gravi, il massimale più alto dei tre regimi. La fase operativa entra nel vivo nel 2026, con l'ACN tra le autorità di vigilanza in Italia.

Prima di rischiare una sanzione o una responsabilità personale, parlane con noi: ti aiutiamo a mettere nero su bianco le misure che dimostrano la tua diligenza verso NIS2, GDPR e AI Act.