Sanzioni NIS2 ex art. 38 (d.lgs. 138/2024) — il playbook di risposta

Questo playbook scatta nel momento in cui arriva un segnale di enforcement di ACN per un soggetto nel perimetro NIS2 ai sensi del d.lgs. 138/2024, che recepisce la Direttiva (UE) 2022/2555. Concretamente, scatta su uno qualsiasi di:

• Una ispezione o richiesta di informazioni da ACN (vigilanza proattiva *ex ante* per i soggetti essenziali; reattiva *ex post* per i soggetti importanti, di solito dopo un incidente o una segnalazione).
• Una notifica di conclusioni preliminari — la comunicazione scritta con cui ACN ritiene che tu sia non conforme.
• Una autovalutazione che fa emergere un gap mentre si avvicina una scadenza dura.

Cosa non è in scope qui: la cadenza di notifica incidenti (pre-notifica 24h, notifica 72h, report finale 1 mese) — coperta dal playbook timeline incidenti NIS2 Title 13. Questo playbook riguarda il binario *di vigilanza e sanzionatorio*, che gira su un proprio clock e proprie evidenze.

Il calendario 2026 che alimenta questo binario: registrazione e rinnovo sulla piattaforma ACN (gen–feb), aggiornamento annuale dei dati (apr–mag), categorizzazione di servizi e attività entro il 30 giugno 2026, e la scadenza del 31 ottobre 2026 per le misure di sicurezza di base (37 misure / 87 requisiti per i soggetti importanti; 43 misure / 116 requisiti per i soggetti essenziali, secondo la determinazione ACN sulle misure di sicurezza). Da ottobre 2026 ACN entra nella fase di ispezione formale (vedi il calendario 2026 di vigilanza e audit NIS2 di ACN). Manca uno di questi e diventi candidato per il binario di enforcement descritto sotto.

L'art. 38 del d.lgs. 138/2024 fissa i tetti pecuniari:

• Soggetti essenziali: fino a €10.000.000 o al 2% del fatturato mondiale annuo totale, a seconda di quale sia il valore più alto.
• Soggetti importanti: fino a €7.000.000 o all'1,4% del fatturato mondiale annuo totale, a seconda di quale sia il valore più alto.

La multa pecuniaria raramente è l'esito peggiore. Per i soggetti essenziali non conformi che non rimediano dopo una diffida, ACN può ordinare la sospensione temporanea — parziale o totale — di attività o servizi: un blocco operativo del servizio erogato tramite i sistemi informativi coinvolti.

La responsabilità è personale. Ai sensi dell'art. 23, l'organo di amministrazione ha tre doveri non delegabili: approvare le misure di sicurezza, sovrintendere alla loro implementazione, e completare una formazione dedicata. Il test di responsabilità non è se un amministratore abbia personalmente ordinato un controllo carente — è se abbia adeguatamente vigilato sull'implementazione. Come misura accessoria, ACN può sospendere gli amministratori dalle loro funzioni finché non sono adottate misure correttive. Per questo un verbale del board che approva le misure, con una cadenza di vigilanza documentata, è esso stesso evidenza portante — la sua assenza è un rilievo a sé.

ACN non può sanzionarti di sorpresa. La sequenza ha gate definiti, ciascuno dei quali è un'occasione per agire:

1. Notifica preliminare. ACN comunica le proprie conclusioni preliminari — le carenze contestate e la base giuridica.
2. Finestra di osservazioni. Hai un periodo ragionevole — *non inferiore a 15 giorni* — per presentare osservazioni scritte ed evidenze a supporto.
3. Diffida. Se ACN mantiene il rilievo, emette un ordine di portare il soggetto in conformità entro una scadenza specificata.
4. Enforcement. Solo in caso di inottemperanza alla diffida ACN procede alle misure interdittive (sospensione attività, sospensione amministratori) e alla sanzione pecuniaria.

C'è un'eccezione: ACN può agire in via immediata, saltando questa sequenza, ove necessario per prevenire o contenere un incidente con impatto grave. Fuori da quell'eccezione, ogni gate qui sopra è una finestra che controlli tu. L'errore più costoso è trattare la notifica preliminare come un verdetto invece che come l'inizio di una difesa che hai diritto a montare.

È il documento più importante che scriverai in tutto il procedimento. La risposta alle conclusioni preliminari di ACN è dove un procedimento si ferma al costo più basso — prima di una diffida, prima di qualsiasi misura visibile all'esterno.

Obiettivo: confutare i rilievi sbagliati e, per i rilievi giusti, dimostrare che la remediation è già in corso con date.

Checklist per il fascicolo di osservazioni:

• Risposta punto per punto a ogni carenza contestata, citando il controllo specifico e l'evidenza che esiste (o il piano datato per implementarlo).
• Il verbale di approvazione del board ex art. 23 — il verbale che approva le misure di sicurezza e la cadenza di vigilanza. Se esiste, mettilo in apertura.
• La dichiarazione del perimetro asset come registrata sulla piattaforma ACN, riconciliata con l'estate reale, per mostrare che la categorizzazione è stata fatta correttamente.
• Il documento di analisi del rischio, formale e con una data di revisione, mappato sulle misure di sicurezza ACN.
• Un piano di remediation con date per ogni gap reale — un piano credibile e datato è molto più forte di una negazione.
• Un singolo punto di contatto per il procedimento, con email e telefono.

Non riempire la risposta di affermazioni di marketing sulla tua postura di sicurezza. ACN valuta evidenze, non rassicurazioni. Un'osservazione che dice "il controllo X è implementato, vedi artefatto firmato Y datato Z" batte un paragrafo di narrativa.

Se le osservazioni non hanno chiuso il procedimento, ACN emette una diffida: un ordine formale di rimediare entro una scadenza dichiarata. Rispettare quella scadenza è ciò che ferma l'escalation alle misure interdittive. Tratta la scadenza della diffida come la data più dura del procedimento.

Checklist alla ricezione della diffida:

• Leggi la scadenza esatta e lo stato richiesto esatto. La diffida specifica *cosa* significa conforme — rimedia a quella specifica, non alla tua interpretazione.
• Allestisci un tracker di remediation con una riga per misura richiesta, un owner, una target date dentro la finestra della diffida, e un link all'evidenza per riga.
• Escala all'organo di amministrazione subito. L'art. 23 lo rende un problema suo; il board deve risultare a verbale come approvante la remediation e le risorse.
• Implementa e cattura l'evidenza al momento della scrittura — ogni cambio di configurazione, ogni patch, ogni approvazione di policy, firmata e datata mentre accade, non ricostruita dopo.
• Deposita un report di remediation ad ACN prima della scadenza, con il dossier di evidenze allegato, dimostrando che lo stato richiesto è stato raggiunto.

Il failure mode qui è trattare la diffida come il momento per *iniziare* il lavoro di compliance. Quando arriva una diffida, la scadenza è corta; i soggetti che iniziano la remediation solo allora la mancano di routine e finiscono nelle misure interdittive.

Lungo tutto il procedimento, ACN consuma un unico corpo di evidenze sottostante a tre gate (ispezione, osservazioni, remediation della diffida). Tienilo pronto, firmato e datato, con chain-of-custody:

• Verbali di approvazione del board ex art. 23 (approvazione misure + cadenza di vigilanza + registri di formazione) — consumati per primi, dall'ispezione e dalle osservazioni.
• Inventario asset e servizi riconciliato con la categorizzazione sulla piattaforma ACN — consumato dalle osservazioni.
• Documento formale di analisi del rischio con storia delle revisioni, mappato sulle misure di sicurezza ACN — consumato dalle osservazioni.
• Registri di implementazione delle misure di sicurezza — evidenza per-controllo (configurazioni, policy, risultati di test) — consumati sia dalle osservazioni sia dalla remediation della diffida.
• Registri di gestione incidenti (pre-notifica entro 24h, notifica entro 72h) dove un incidente ha attivato il procedimento — consumati dalla diffida.
• Tracking delle azioni correttive con date e approvatori — consumato dal report di remediation della diffida.

Se questo dossier viene assemblato a mano sotto un clock di 15 giorni o della lunghezza della diffida, il conflitto di bandwidth è immediato e la qualità si vede. La disciplina operativa che i soggetti peer riportano funzionare è tenere l'evidenza firmata in continuo invece di ricostruirla a richiesta. È il gap che il pilastro Automatic Compliance di Zero Hunt è costruito per chiudere: 32 framework mappati incluso NIS2 (con Title 13), scoring severity-weighted, mapping dei controlli cross-framework, e report firmati ECDSA con chain-of-custody by construction, esposti tramite un Trust Center con export one-click. Quando ACN chiede lo stato di un controllo a una data data, la risposta è un export di un record firmato, non una settimana-persona di riconciliazione cross-tool.

Cinque anti-pattern ricorrono nei soggetti che trasformano un rilievo recuperabile in una sanzione:

1. Trattare la notifica preliminare come un verdetto. È l'apertura di una difesa con una finestra garantita di almeno 15 giorni. I soggetti che non depositano osservazioni sostanziali rinunciano alla loro via di uscita più economica.

2. Iniziare il lavoro di compliance solo quando arriva la diffida. La scadenza della diffida è corta per design. La compliance è un programma di mesi; non si improvvisa dentro una finestra di diffida.

3. Nessun verbale di approvazione del board ex art. 23. Quando l'approvazione dell'organo di amministrazione e la cadenza di vigilanza non sono documentate, l'assenza è essa stessa un rilievo — ed espone gli amministratori personalmente alla sospensione, indipendentemente dai gap tecnici.

4. Evidenza assemblata a mano durante il procedimento. La ricostruzione manuale sotto un clock regolatorio produce artefatti inconsistenti e non firmati che si leggono come deboli. L'evidenza firmata al momento della scrittura si legge come forte.

5. Una dichiarazione di perimetro che non corrisponde alla realtà. Una categorizzazione sulla piattaforma ACN che diverge dall'estate reale è un rilievo che ACN può individuare direttamente, e mina la credibilità di tutto il resto che depositi.

Un procedimento di enforcement NIS2 raramente viaggia da solo. Lo stesso fallimento di governance che attira un procedimento ex art. 38 spesso espone il soggetto sotto regimi adiacenti:

• GDPR (Garante). Se l'incidente o la carenza sottostante coinvolge dati personali, una notifica parallela ex art. 33 e un separato procedimento del Garante girano accanto al binario ACN — con le proprie multe (fino a €20M o al 4% del fatturato) e le proprie richieste di evidenze.
• DORA (Banca d'Italia). I soggetti finanziari nel perimetro NIS2 sono anche soggetti DORA; la responsabilità dell'organo di amministrazione sotto DORA rispecchia l'art. 23, e un rilievo da un lato è visibile dall'altro. Il playbook DORA 4h/72h/1-mese copre quel binario incidenti.
• La responsabilità dell'organo di amministrazione è il filo comune. Art. 23 NIS2, governance DORA e accountability GDPR convergono tutti sullo stesso board. Documentare approvazione e vigilanza del board una volta, con evidenza firmata, soddisfa tutti e tre — l'alternativa sono tre ricostruzioni separate sotto tre clock separati.

Costruisci la base evidenze di compliance una volta ed esportala per regime. L'angolo metodologico sull'esercitare proattivamente questi scenari — così il dossier è provato prima che un supervisore lo chieda — è coperto in TLPT (Threat-Led Penetration Testing).