Statistiche Conformità NIS2 2026: oltre 50 dati su ambito, sanzioni e preparazione
La Direttiva NIS2 rappresenta la revisione più significativa della regolamentazione sulla cybersicurezza nella storia dell'Unione Europea. Sostituisce la Direttiva NIS originale del 2016, ampliando il proprio ambito di applicazione da poche centinaia di operatori di servizi essenziali per Stato membro a circa 160.000 entità in tutta l'UE.
Questa pagina raccoglie statistiche verificate sull'ambito di applicazione della NIS2, lo stato di recepimento, il quadro sanzionatorio, la preparazione alla conformità, i costi e il contesto più ampio della cybersicurezza che la direttiva intende affrontare. Ogni dato è corredato dalla fonte ufficiale, proveniente da agenzie dell'UE, organismi di regolamentazione e rapporti di settore verificati.
Ambito di applicazione e portata della NIS2
La NIS2 ha ampliato drasticamente il numero di organizzazioni soggette ai requisiti di cybersicurezza dell'UE. La Direttiva NIS originale copriva un insieme ristretto di operatori di servizi essenziali. La NIS2 si applica a qualsiasi media o grande impresa operante in 18 settori designati.
| Dato statistico | Fonte |
|---|---|
| ~160.000 entità nell'UE rientrano nell'ambito NIS2 | European Commission Impact Assessment |
| 18 settori coperti (11 essenziali + 7 importanti) | Direttiva NIS2, Allegati I e II |
| Si applica alle medie imprese (50+ dipendenti o fatturato EUR 10M+) e alle grandi imprese (250+ dipendenti o fatturato EUR 50M+) | European Commission NIS2 FAQ |
| Solo la Germania: ~29.500+ aziende interessate | Stima BSI, tramite DLA Piper |
| Finlandia: ambito ampliato da ~1.100 entità sotto la NIS1 a ~5.500 sotto la NIS2 (aumento di 5 volte) | Secomea NIS2 country tracker |
11 settori ad alta criticità (Allegato I - Entità essenziali)
- Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
- Trasporti (aereo, ferroviario, marittimo, stradale)
- Settore bancario
- Infrastrutture dei mercati finanziari
- Sanità (ospedali, laboratori, aziende farmaceutiche, dispositivi medici)
- Acqua potabile
- Acque reflue
- Infrastrutture digitali (IXP, DNS, registri TLD, cloud, data centre, CDN)
- Gestione dei servizi ICT (B2B - fornitori di servizi gestiti, fornitori di servizi di sicurezza gestiti)
- Pubblica amministrazione (governo centrale)
- Spazio
7 altri settori critici (Allegato II - Entità importanti)
- Servizi postali e di corriere
- Gestione dei rifiuti
- Prodotti chimici (fabbricazione, produzione, distribuzione)
- Settore alimentare (produzione, lavorazione, distribuzione)
- Manifattura (dispositivi medici, computer, elettronica, macchinari, veicoli a motore)
- Fornitori digitali (marketplace online, motori di ricerca, social network)
- Organizzazioni di ricerca
Stato di recepimento della NIS2
Il termine per il recepimento della NIS2 nel diritto nazionale degli Stati membri era il 17 ottobre 2024. La maggior parte degli Stati membri non ha rispettato questa scadenza.
| Dato statistico | Fonte |
|---|---|
| 20 dei 27 Stati membri dell'UE hanno completato il recepimento entro il 1 gennaio 2026 | Wavestone NIS2 Transposition Tracker |
| Il 7 maggio 2025, la Commissione Europea ha inviato pareri motivati a 19 Stati membri per mancata notifica del recepimento completo | Skadden; Goodwin Law |
| Scadenza per il recepimento: 17 ottobre 2024 | Direttiva NIS2, Articolo 41 |
Paesi che hanno completato il recepimento della NIS2
| Paese | Data di recepimento |
|---|---|
| Croazia | 15 febbraio 2024 (primo paese) |
| Lettonia | 1 settembre 2024 |
| Belgio | 18 ottobre 2024 |
| Italia | 16 ottobre 2024 |
| Lituania | 17 ottobre 2024 |
| Grecia | 27 novembre 2024 |
| Slovacchia | 1 gennaio 2025 |
| Ungheria | Gennaio 2025 |
| Slovenia | 19 giugno 2025 |
| Repubblica Ceca | 1 novembre 2025 |
| Germania | 6 dicembre 2025 |
Fonte: Wavestone NIS2 Transposition Tracker (aggiornamento gennaio 2026)
Paesi con legislazione approvata ma quadro normativo in fase di completamento
Svezia, Danimarca, Austria, Portogallo, Malta, Finlandia, Estonia, Romania, Cipro (9 paesi)
Paesi ancora in fase di bozza
Lussemburgo, Francia, Spagna, Paesi Bassi, Polonia, Bulgaria (6 paesi)
Fonte: Wavestone NIS2 Transposition Tracker
Sanzioni e multe NIS2
La NIS2 introduce un quadro sanzionatorio a più livelli basato sulla classificazione delle entità. A differenza del GDPR, che prevede un unico massimale, la NIS2 distingue tra entità essenziali e importanti.
| Tipo di entità | Multa massima | Fonte |
|---|---|---|
| Entità essenziali | EUR 10.000.000 o 2% del fatturato annuo globale (il valore più alto) | Direttiva NIS2, Articolo 34 |
| Entità importanti | EUR 7.000.000 o 1,4% del fatturato annuo globale (il valore più alto) | Direttiva NIS2, Articolo 34 |
| Gli Stati membri possono fissare sanzioni superiori a queste soglie, ma non inferiori | Direttiva NIS2, Articolo 34 |
Confronto sanzioni NIS2 vs GDPR
| Regolamento | Multa massima | Soglia sul fatturato |
|---|---|---|
| GDPR | EUR 20.000.000 | 4% del fatturato globale |
| NIS2 (entità essenziali) | EUR 10.000.000 | 2% del fatturato globale |
| NIS2 (entità importanti) | EUR 7.000.000 | 1,4% del fatturato globale |
Responsabilità personale del management
La NIS2 introduce la responsabilità diretta degli organi direttivi. I membri del consiglio di amministrazione e i dirigenti apicali possono essere ritenuti personalmente responsabili per la non conformità. In caso di grave negligenza, le autorità competenti possono imporre un divieto temporaneo di esercizio di funzioni dirigenziali.
Fonte: DLA Piper NIS2 Directors' Personal Liability Analysis
Preparazione alla conformità NIS2
I dati sulla preparazione alla conformità dipingono un quadro preoccupante. Una quota significativa delle organizzazioni interessate non conosce la NIS2 o non è preparata per i suoi requisiti.
| Dato statistico | Fonte |
|---|---|
| Il 38% delle entità manifatturiere non conosce la NIS2 | ENISA NIS Investments 2024 |
| Il 40% delle entità di gestione delle acque reflue non conosce la NIS2 | ENISA NIS Investments 2024 |
| L'89% delle organizzazioni dichiara di aver bisogno di personale aggiuntivo per la conformità NIS2 | ENISA NIS Investments 2024 |
| Il 30% delle organizzazioni non ha effettuato alcuna valutazione di sicurezza negli ultimi 12 mesi | ENISA NIS Investments 2025 |
| Il 63% delle PMI non ha effettuato alcuna valutazione di sicurezza | ENISA NIS Investments 2025 |
| Il 28% delle organizzazioni impiega oltre 3 mesi per applicare patch alle vulnerabilità critiche | ENISA NIS Investments 2025 |
| Oltre il 50% delle PMI impiega oltre 3 mesi per applicare patch ai sistemi critici | ENISA NIS Investments 2025 |
| Il 43% delle entità di gestione dei servizi ICT non dispone di un programma di test di sicurezza | ENISA NIS Investments 2025 |
| L'82% delle organizzazioni ha riportato un impatto positivo sulla cybersicurezza dalla conformità NIS1 | WALLIX, citando studio ENISA |
Costi di conformità NIS2
Il costo di implementazione della NIS2 varia significativamente in base alla dimensione dell'entità, alla maturità esistente e al settore. La valutazione d'impatto della Commissione Europea e le analisi indipendenti forniscono le seguenti stime.
| Dato statistico | Fonte |
|---|---|
| Costo totale di implementazione a livello UE: EUR 31,2 miliardi all'anno (0,31% del fatturato dei settori interessati) | Frontier Economics |
| Entità essenziali già conformi alla NIS1: costo medio di adeguamento ~EUR 107.000 | Tarlogic |
| Entità importanti che partono da zero: costo medio ~EUR 180.000 | Tarlogic |
| Entità importanti con il 27% di implementazione esistente: costo medio ~EUR 131.000 | Tarlogic |
| Le aziende prevedono un aumento della spesa in cybersicurezza fino al 22% nei primi anni | Valutazione d'impatto ENISA, tramite WALLIX |
| Budget mediano UE per la cybersicurezza (2025): EUR 1,5 milioni | ENISA NIS Investments 2025 |
| Quota del budget IT allocata alla cybersicurezza: 9% nel 2023, in aumento rispetto al 7,1% nel 2022 | ENISA NIS Investments 2024 |
| Il budget mediano per la sicurezza informatica è raddoppiato da EUR 0,7M a EUR 1,4M tra il 2022 e il 2023 | ENISA NIS Investments 2024 |
| Il 70% delle organizzazioni indica la conformità normativa come principale fattore di investimento | ENISA NIS Investments 2025 |
| Il 34% delle PMI non riesce a richiedere budget aggiuntivo per la conformità NIS2 | ENISA NIS Investments 2025 |
Requisiti di segnalazione degli incidenti NIS2
La NIS2 introduce un quadro di segnalazione degli incidenti in tre fasi con tempistiche rigorose, inasprendo significativamente i requisiti della Direttiva NIS originale.
| Fase di segnalazione | Scadenza | Finalità |
|---|---|---|
| Preallarme | Entro 24 ore dalla presa di conoscenza | Allerta iniziale all'autorità competente |
| Notifica completa | Entro 72 ore | Valutazione dettagliata di gravità e impatto |
| Rapporto finale | Entro 1 mese | Analisi delle cause, mitigazione, impatto transfrontaliero |
Fonte: Direttiva NIS2, Articolo 23
Statistiche sugli incidenti sotto la NIS1
| Dato statistico | Fonte |
|---|---|
| 188 incidenti segnalati dalle autorità nazionali di 26 Stati membri dell'UE e 2 paesi EFTA (riepilogo annuale 2024) | ENISA CIRAS |
| Il 55% delle entità di infrastrutture digitali soggette a segnalazione nazionale non ha avuto incidenti da segnalare | ENISA NIS Investments 2024 |
Maturità settoriale nell'ambito NIS2
La valutazione NIS360 di ENISA mappa i settori in base alla loro maturità in materia di cybersicurezza rispetto alla loro criticità. Questo rivela quali settori sono più a rischio di non conformità.
Settori più maturi (maturità corrispondente alla criticità)
- Elettricità
- Telecomunicazioni
- Settore bancario
Settori nella "zona a rischio" (criticità superiore alla maturità)
- Gestione dei servizi ICT
- Spazio
- Pubblica amministrazione
- Trasporto marittimo
- Sanità
- Gas
Fonte: ENISA NIS360 2024
Modello di supervisione
| Tipo di entità | Approccio di supervisione |
|---|---|
| Entità essenziali | Supervisione proattiva (ex-ante) e reattiva (ex-post) |
| Entità importanti | Solo supervisione reattiva (ex-post - solo dopo un incidente o evidenza di non conformità) |
Fonte: European Commission NIS2 FAQ
Panorama delle minacce alla cybersicurezza nell'UE
Le seguenti statistiche dal rapporto ENISA Threat Landscape forniscono il contesto sul perché la NIS2 fosse necessaria.
| Dato statistico | Fonte |
|---|---|
| 4.875 incidenti di cybersicurezza analizzati tra luglio 2024 e giugno 2025 | ENISA Threat Landscape 2025 |
| DDoS e hacktivismo rappresentano circa l'80% di tutti gli incidenti registrati | ENISA Threat Landscape 2025 |
| Solo il 2% degli attacchi DDoS hacktivisti ha causato un'effettiva interruzione del servizio | ENISA Threat Landscape 2025 |
| Il phishing rappresenta circa il 60% di tutti i tentativi di intrusione | ENISA Threat Landscape 2025 |
| Oltre l'80% delle campagne di phishing utilizza contenuti generati o potenziati dall'IA | ENISA Threat Landscape 2025 |
| Il 53,7% degli incidenti ha preso di mira entità essenziali come definite dalla NIS2 | ENISA Threat Landscape 2025 |
| 42.595 nuove vulnerabilità divulgate - un aumento del 27% rispetto all'anno precedente | ENISA Threat Landscape 2025 |
| 82 varianti di ransomware utilizzate contro organizzazioni dell'UE | ENISA Threat Landscape 2025 |
| Le 3 principali varianti di ransomware: Akira (11,6%), SafePay (10,1%), Qilin (7,5%) | ENISA Threat Landscape 2025 |
| Il 90% delle organizzazioni prevedeva un aumento dei cyberattacchi nel 2024 | ENISA NIS Investments 2024 |
Settori più colpiti
| Settore | Quota di incidenti |
|---|---|
| Pubblica amministrazione | 19% |
| Trasporti | 11% |
| Finanza | 9% |
| Infrastrutture digitali | 8% |
Fonte: ENISA Threat Landscape 2025
Sicurezza della catena di fornitura nell'ambito NIS2
La NIS2 impone la sicurezza della catena di fornitura come una delle 10 misure obbligatorie di gestione del rischio ai sensi dell'Articolo 21. Questo riflette la crescente minaccia di attacchi basati sulla catena di fornitura in tutta Europa.
| Dato statistico | Fonte |
|---|---|
| Il 90% delle organizzazioni dichiara di disporre di pratiche di gestione del rischio della catena di fornitura | ENISA NIS Investments 2025 |
| Il 47% delle organizzazioni teme la compromissione di terze parti come principale minaccia futura | ENISA NIS Investments 2025 |
| Lo sfruttamento delle vulnerabilità rappresenta il 21% degli incidenti, molti dei quali attraverso componenti della catena di fornitura | ENISA Threat Landscape 2025 |
Forza lavoro nel campo della cybersicurezza nell'UE
La conformità alla NIS2 richiede professionisti qualificati in cybersicurezza. L'attuale carenza di talenti in tutta Europa rende questo uno degli aspetti più impegnativi della conformità.
| Dato statistico | Fonte |
|---|---|
| Deficit di competenze in cybersicurezza nell'UE: 299.000 professionisti | ENISA NIS Investments 2025 |
| L'Europa conta circa 1,4 milioni di professionisti della cybersicurezza ma ne necessita circa 1,8 milioni (carenza di circa 424.000) | Source Group International |
| Il 75% delle organizzazioni fatica ad attrarre talenti nel campo della cybersicurezza | ENISA NIS Investments 2025 |
| Il 71% delle organizzazioni fatica a trattenere il personale di cybersicurezza | ENISA NIS Investments 2025 |
| Il 76% del personale di cybersicurezza non possiede qualifiche formali o formazione certificata | ENISA NIS Investments 2024 |
| Il 59% delle PMI fatica a reclutare talenti nel campo della cybersicurezza | ENISA NIS Investments 2024 |
| Rapporto personale cybersicurezza/IT: 10,6% | ENISA NIS Investments 2025 |
| FTE IT dedicati alla cybersicurezza: 11,1% (quarto anno consecutivo di calo) | ENISA NIS Investments 2024 |
| Gap previsto della forza lavoro in cybersicurezza in Germania: fino a 106.000 lavoratori | Net Group |
| Gap globale della forza lavoro in cybersicurezza: 4,8 milioni di posizioni vacanti (2024), un aumento del 19% rispetto all'anno precedente | ISC2 |
| Il 52% delle organizzazioni afferma che la preoccupazione principale è "non avere il personale giusto" contro il 48% che indica "non avere abbastanza personale" | ISC2 |
Le 10 misure minime di sicurezza NIS2
L'Articolo 21 della Direttiva NIS2 richiede alle entità di implementare almeno queste 10 categorie di misure di sicurezza:
- Politiche di analisi dei rischi e di sicurezza dei sistemi informativi
- Procedure di gestione degli incidenti
- Continuità operativa e gestione delle crisi (inclusa la gestione dei backup e il ripristino di emergenza)
- Sicurezza della catena di fornitura (compresi gli aspetti relativi alla sicurezza dei rapporti tra le entità e i loro fornitori diretti o prestatori di servizi)
- Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete (inclusa la gestione e la divulgazione delle vulnerabilità)
- Politiche e procedure per valutare l'efficacia delle misure di gestione del rischio di cybersicurezza
- Pratiche di igiene informatica di base e formazione in cybersicurezza
- Politiche e procedure relative all'uso della crittografia e, ove appropriato, della cifratura
- Sicurezza delle risorse umane, politiche di controllo degli accessi e gestione degli asset
- Uso dell'autenticazione a più fattori o dell'autenticazione continua, comunicazioni vocali, video e testuali protette e sistemi di comunicazione di emergenza protetti
Fonte: Direttiva NIS2, Articolo 21(2)
Date chiave e cronologia NIS2
| Data | Evento |
|---|---|
| 27 dicembre 2022 | Pubblicazione della NIS2 nella Gazzetta Ufficiale dell'Unione Europea |
| 16 gennaio 2023 | Entrata in vigore della NIS2 |
| 17 ottobre 2024 | Scadenza per il recepimento della NIS2 nel diritto nazionale degli Stati membri |
| 18 ottobre 2024 | La NIS2 diventa applicabile negli Stati membri che hanno recepito nei tempi |
| 7 maggio 2025 | La Commissione Europea emette pareri motivati nei confronti di 19 Stati membri inadempienti |
| 17 aprile 2025 | Scadenza per gli Stati membri per stabilire un elenco delle entità essenziali e importanti |
Domande frequenti
D: Quante aziende sono interessate dalla NIS2?
R: La Commissione Europea stima che circa 160.000 entità nell'UE rientrino nell'ambito di applicazione della NIS2. Questo include le medie imprese con 50+ dipendenti o fatturato EUR 10M+ e le grandi imprese con 250+ dipendenti o fatturato EUR 50M+ che operano in uno qualsiasi dei 18 settori designati.
D: Quali sono le sanzioni massime previste dalla NIS2?
R: Le entità essenziali rischiano sanzioni fino a EUR 10.000.000 o il 2% del fatturato annuo globale, a seconda di quale valore sia più elevato. Le entità importanti rischiano sanzioni fino a EUR 7.000.000 o l'1,4% del fatturato annuo globale. Gli Stati membri possono fissare importi massimi più elevati nel proprio recepimento nazionale.
D: Quali paesi dell'UE hanno implementato la NIS2?
R: A gennaio 2026, 20 dei 27 Stati membri dell'UE hanno completato il recepimento della NIS2. La Croazia è stata la prima (febbraio 2024), seguita da Lettonia, Belgio, Italia, Lituania, Grecia, Slovacchia, Ungheria, Slovenia, Repubblica Ceca e Germania. Sei paesi sono ancora in fase di bozza, tra cui Francia, Spagna e Paesi Bassi.
D: Quanto costa la conformità alla NIS2?
R: I costi variano significativamente in base alla dimensione dell'entità e alla maturità esistente. Le entità già conformi alla NIS1 potrebbero spendere circa EUR 107.000 per adeguarsi. Le entità importanti che partono da zero affrontano un costo medio di circa EUR 180.000. Il costo totale di implementazione a livello UE è stimato in EUR 31,2 miliardi all'anno.
D: Quali sono le scadenze per la segnalazione degli incidenti NIS2?
R: La NIS2 prevede un approccio in tre fasi: un preallarme entro 24 ore dalla presa di conoscenza di un incidente significativo, una notifica completa entro 72 ore con una valutazione di gravità e impatto, e un rapporto finale entro un mese con l'analisi delle cause e le misure di mitigazione.
D: I membri del consiglio di amministrazione possono essere ritenuti personalmente responsabili ai sensi della NIS2?
R: Si. La NIS2 introduce la responsabilità diretta degli organi direttivi. I membri del consiglio di amministrazione e i dirigenti apicali possono essere ritenuti personalmente responsabili per la non conformità agli obblighi di gestione del rischio di cybersicurezza. In caso di grave negligenza, le autorità possono imporre un divieto temporaneo di esercizio di funzioni dirigenziali.
Tutte le statistiche presenti in questa pagina provengono da agenzie ufficiali dell'UE, organismi di regolamentazione e rapporti di settore verificati. Le fonti principali includono ENISA NIS Investments Reports (2024, 2025), ENISA Threat Landscape 2025, ENISA NIS360 2024, European Commission NIS2 FAQ, Wavestone NIS2 Transposition Tracker, Frontier Economics, ISC2 e il testo della Direttiva NIS2. Questa pagina viene aggiornata regolarmente quando nuovi dati sono disponibili.
Ultimo aggiornamento: marzo 2026