What is the NIS2 Directive?

NIS2 (Directive 2022/2555) is the EU's updated cybersecurity regulation. It replaces the original NIS Directive and significantly expands the scope of organisations that must comply with cybersecurity requirements. It covers essential and important entities across 18 sectors.

When is the NIS2 deadline?

NIS2 entered into force on January 16, 2023. Member states had until October 17, 2024 to transpose it into national law. Many countries missed this deadline — Germany's NIS2UmsuCG entered into force on December 6, 2025. Affected entities must comply from the date their national law takes effect.

Who is affected by NIS2?

NIS2 applies to essential entities (energy, transport, banking, health, water, digital infrastructure, ICT service management, public administration, space) and important entities (postal services, waste management, chemicals, food, manufacturing, digital providers, research). Generally: organisations with 50+ employees or €10M+ annual turnover in these sectors.

What are the penalties for NIS2 non-compliance?

Essential entities face fines up to €10 million or 2% of global annual turnover (whichever is higher). Important entities face fines up to €7 million or 1.4% of global annual turnover. Management can be held personally liable.

What does NIS2 require for websites and digital services?

NIS2 Art. 21 requires risk-based security measures including: encryption in transit (HTTPS/TLS), access control, incident detection and reporting (24h early warning, 72h notification), supply chain security, business continuity, and regular security assessments. SiteGuardian monitors these technical requirements continuously.

Direttiva UE 2022/2555

Conformità NIS2.
Monitoraggio continuo, evidenze documentate.

La direttiva NIS2 obbliga le organizzazioni di 18 settori ad attuare misure di cybersicurezza — con sanzioni fino a 10 M€. Le leggi nazionali stanno entrando in vigore in tutta l'UE.

Direttiva UE

In vigore

Dal 16 gennaio 2023

Recepimento nazionale

In corso

Scadenza: 17 ottobre 2024

Germania (NIS2UmsuCG)

In vigore

Dal 6 dicembre 2025

Le entità interessate devono conformarsi dalla data di entrata in vigore della propria legge nazionale. Verificate lo stato di recepimento del vostro paese.

Scansiona il tuo sito ora Verificate quali regole si applicano

La NIS2 si applica a voi?

NIS2 si applica alle entità essenziali e importanti in 18 settori. Se la vostra organizzazione ha più di 50 dipendenti o un fatturato superiore a 10 M€ in uno di questi settori, probabilmente rientrate nell'ambito di applicazione.

Energia

Essenziale

Trasporti

Essenziale

Banche

Essenziale

Sanità

Essenziale

Infrastruttura digitale

Essenziale

Servizi ICT

Essenziale

Chimica

Importante

Manifattura

Importante

Servizi postali

Importante

Cloud / SaaS

Importante

Alimentare

Importante

Ricerca

Importante

Il costo della non conformità

Entità essenziali

€10M

o il 2 % del fatturato annuo globale

a seconda di quale importo sia più elevato

Entità importanti

€7M

o l'1,4 % del fatturato annuo globale

a seconda di quale importo sia più elevato

La direzione può essere ritenuta personalmente responsabile ai sensi dell'Art. 20 della NIS2.

Cosa richiede la NIS2 — e cosa monitora SiteGuardian

L'Art. 21 della NIS2 definisce 10 misure di gestione del rischio di cybersicurezza. SiteGuardian monitora continuamente quelle tecniche.

Art. 21(2)(a)

Analisi dei rischi e politiche di sicurezza

Monitorato

SiteGuardian fornisce un punteggio continuo della postura di sicurezza, validazione DNSSEC, verifica della divulgazione delle vulnerabilità (security.txt), occultamento della versione del server e un registro di audit immutabile con rilevamento di manomissione tramite catena di hash.

Art. 21(2)(b)

Gestione degli incidenti

Monitorato

SiteGuardian rileva gli incidenti in tempo reale, supporta i flussi di segnalazione conformi a NIS2 (allerta precoce 24h, notifica 72h, relazione finale 30 giorni) e genera rapporti di incidente precompilati per il vostro CSIRT nazionale.

Art. 21(2)(c)

Continuità operativa

SiteGuardian monitora la disponibilità da più regioni e segnala le interruzioni. La gestione dei backup, i piani di disaster recovery e la gestione delle crisi richiedono misure organizzative.

Art. 21(2)(d)

Sicurezza della catena di approvvigionamento

Monitorato

SiteGuardian classifica i monitor in infrastruttura propria, fornitori e partner. Valuta la postura di sicurezza dei fornitori, verifica l'applicazione di DMARC/SPF/DKIM e traccia il rischio di concentrazione nella catena di fornitura su 5 livelli di maturità.

Art. 21(2)(e)

Sviluppo sicuro

SiteGuardian monitora la qualità della Content Security Policy, rileva le direttive unsafe-inline/unsafe-eval e verifica gli header di sicurezza contro gli attacchi di iniezione. I processi SDLC sicuri richiedono misure organizzative.

Art. 21(2)(f)

Valutazione dell'efficacia

Monitorato

SiteGuardian traccia il vostro punteggio di conformità nel tempo, genera report di tendenza a 90 giorni e fornisce confronti prima/dopo per misurare l'efficacia dei vostri miglioramenti di sicurezza.

Art. 21(2)(g)

Igiene informatica e formazione

Monitorato

SiteGuardian monitora continuamente l'igiene cyber tecnica: applicazione HTTPS, HSTS, header di sicurezza, MFA e hardening DNS. I programmi di formazione e sensibilizzazione richiedono misure organizzative oltre al monitoraggio automatizzato.

Art. 21(2)(h)

Crittografia e cifratura

Monitorato

SiteGuardian verifica l'applicazione di TLS 1.2+, rileva protocolli obsoleti e suite di cifratura deboli, controlla il forward secrecy (PFS), monitora la validità dei certificati SSL e verifica la predisposizione al precaricamento HSTS.

Art. 21(2)(i)

Controllo degli accessi e gestione degli asset

SiteGuardian impone l'MFA (TOTP/SSO) su tutti gli account, fornisce il controllo degli accessi basato sui ruoli e mantiene un inventario degli asset di tutti i servizi monitorati. Le politiche di sicurezza HR richiedono misure organizzative.

Art. 21(2)(j)

Autenticazione multifattore

Monitorato

SiteGuardian richiede TOTP o Google SSO per l'accesso alla piattaforma, monitora lo stato MFA di tutti i membri del team e verifica i canali di comunicazione crittografati (TLS, DANE, MTA-STS) per il trasporto e-mail.

Iniziate a prepararvi oggi

Scansionate il vostro sito web per vedere a che punto siete. SiteGuardian associa ogni risultato agli articoli NIS2 — così sapete esattamente cosa correggere.

Scansione di sicurezza gratuita Visualizza i piani di conformità

Gratuito per sempre per 1 monitor. Nessuna carta di credito richiesta.

Domande frequenti

Cos'è la Direttiva NIS2?

NIS2 (Direttiva 2022/2555) è il regolamento UE aggiornato sulla cybersicurezza che sostituisce la Direttiva NIS originale. Amplia significativamente l'ambito di applicazione a 18 settori e introduce requisiti più rigorosi per la segnalazione degli incidenti, la gestione dei rischi e la sicurezza della catena di approvvigionamento.

Quando entra in vigore la NIS2?

NIS2 è entrata in vigore il 16 gennaio 2023. Gli Stati membri avevano tempo fino al 17 ottobre 2024 per recepirla nel diritto nazionale. Molti paesi hanno mancato questa scadenza — il NIS2UmsuCG tedesco è entrato in vigore il 6 dicembre 2025. Le entità interessate devono conformarsi dalla data di entrata in vigore della propria legge nazionale.

La NIS2 si applica alla mia azienda?

Se la vostra organizzazione ha più di 50 dipendenti o un fatturato annuo superiore a 10 M€ e opera in uno dei 18 settori elencati (energia, trasporti, banche, sanità, infrastruttura digitale, ICT, manifattura, ecc.), probabilmente rientrate nell'ambito di applicazione. Utilizzate il nostro strumento di verifica per scoprirlo.

Quali sono le scadenze per le segnalazioni?

Ai sensi dell'Art. 23 della NIS2: 24 ore per un preallarme, 72 ore per la notifica formale dell'incidente e 1 mese per il rapporto finale. SiteGuardian tiene traccia automaticamente di queste scadenze quando viene aperto un incidente.

Come aiuta SiteGuardian con la NIS2?

SiteGuardian monitora continuamente la postura di sicurezza del vostro sito web (crittografia, header, DNS, autenticazione email) e associa i risultati agli articoli NIS2. Quando si verifica un incidente, classifica l'impatto normativo e tiene traccia delle scadenze di notifica. I report di conformità documentano le vostre misure per i revisori.

Conformità NIS2. Monitoraggio continuo, evidenze documentate.

La NIS2 si applica a voi?

Il costo della non conformità

Cosa richiede la NIS2 — e cosa monitora SiteGuardian

Analisi dei rischi e politiche di sicurezza

Gestione degli incidenti

Continuità operativa

Sicurezza della catena di approvvigionamento

Sviluppo sicuro

Valutazione dell'efficacia

Igiene informatica e formazione

Crittografia e cifratura

Controllo degli accessi e gestione degli asset

Autenticazione multifattore

Iniziate a prepararvi oggi

Domande frequenti

È sicuro?

Conformità NIS2.
Monitoraggio continuo, evidenze documentate.