Cos'è la NIS2 e Cosa Rischia la Tua Azienda nel 2026
Guida completa alla Direttiva NIS2 per PMI italiane: chi è obbligato, cosa prevede il D.Lgs. 138/2024, sanzioni fino al 2% del fatturato e come adeguarsi.
Molti imprenditori hanno sentito parlare della NIS2 come di "quella direttiva europea sulla cybersicurezza". Pochi, però, hanno capito cosa cambia davvero per la loro azienda, chi è obbligato ad adeguarsi, e soprattutto cosa succede se non lo fanno. Questa guida risponde a tutte e tre le domande, senza giri di parole e con i numeri reali.
La Direttiva (UE) 2022/2555, nota come NIS2, è entrata in vigore a livello europeo il 16 gennaio 2023 ed è stata recepita in Italia con il D.Lgs. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024. Da quella data, per migliaia di aziende italiane la cybersicurezza non è più una scelta: è un obbligo di legge con sanzioni concrete.
Da NIS a NIS2: Perché È Cambiato Tutto
La prima direttiva NIS (2016) era considerata dagli addetti ai lavori un provvedimento "di facciata": obblighi vaghi, applicazione disomogenea tra gli Stati membri, nessuna vera standardizzazione. La NIS2 nasce per correggere questi difetti in modo radicale.
Tre sono le novità strutturali rispetto al predecessore:
1. La platea si è enormemente allargata. La NIS originale copriva un numero ristretto di operatori di servizi essenziali. La NIS2 introduce un meccanismo automatico basato su soglie dimensionali e settori merceologici: se la tua azienda supera certi parametri e opera in determinati settori, sei dentro, senza bisogno di notifiche individuali da parte delle autorità.
2. Gli obblighi sono diventati prescrittivi. Non basta più dimostrare di "aver adottato misure adeguate". La direttiva elenca misure minime obbligatorie che ogni soggetto deve implementare, dalla gestione del rischio alla continuità operativa, dalla sicurezza della supply chain alla gestione degli incidenti.
3. Le sanzioni sono proporzionali al fatturato. Questo cambia tutto. Una multa di 100.000 euro è marginale per un grande gruppo industriale, ma devastante per una PMI con 8 milioni di fatturato. Il legislatore europeo ha scelto deliberatamente di ancorare le sanzioni al fatturato globale, rendendo il rischio economico reale per ogni dimensione aziendale.
Chi È Obbligato: Le Soglie Dimensionali
Il D.Lgs. 138/2024 identifica due categorie di soggetti obbligati. L'appartenenza a una categoria dipende dalla combinazione di due variabili: la dimensione aziendale e il settore di attività.
Le Soglie Dimensionali
| Categoria | Dipendenti | Fatturato annuo | Totale di bilancio |
|---|---|---|---|
| Medie imprese | da 50 a 249 | da 10M a 50M euro | fino a 43M euro |
| Grandi imprese | 250 o piu | oltre 50M euro | oltre 43M euro |
Le microimprese (meno di 10 dipendenti, fatturato sotto 2M euro) e le piccole imprese (meno di 50 dipendenti) sono generalmente escluse, salvo eccezioni per settori particolarmente critici come le infrastrutture di comunicazione elettronica o i registri dei nomi di dominio di primo livello.
Attenzione: il calcolo dei dipendenti e del fatturato segue i criteri europei per le PMI (Raccomandazione 2003/361/CE). Se la tua azienda fa parte di un gruppo, i parametri si calcolano a livello consolidato.
I Settori Interessati: Allegato I e Allegato II
Il D.Lgs. 138/2024 distingue i settori in due allegati, che corrispondono direttamente alle due categorie di soggetti obbligati.
Allegato I - Settori ad Alta Criticità (soggetti essenziali e importanti):
- Energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento)
- Trasporti (aereo, ferroviario, marittimo, su strada)
- Settore bancario e infrastrutture dei mercati finanziari
- Settore sanitario (ospedali, laboratori, ricerca farmaceutica, produttori di dispositivi medici critici)
- Acqua potabile e acque reflue
- Infrastrutture digitali (DNS, IXP, cloud computing, data center, CDN, fiduciarie, reti di comunicazione elettronica)
- Gestione dei servizi ICT (MSP, MSSP)
- Pubblica amministrazione (centrale e regionale)
- Spazio
Allegato II - Altri Settori Critici:
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione (dispositivi medici, computer, macchinari, veicoli a motore, apparecchiature elettriche)
- Fornitori di servizi digitali (marketplace online, motori di ricerca, social network)
- Ricerca (soggetti di ricerca)
Il testo integrale degli allegati e i criteri di classificazione sono disponibili sul portale ufficiale dell'ACN all'indirizzo https://www.acn.gov.it/portale/nis2.
Soggetti Essenziali vs Soggetti Importanti: La Differenza Che Conta
Non tutti i soggetti obbligati hanno lo stesso regime. Il D.Lgs. 138/2024 distingue tra soggetti essenziali e soggetti importanti, e questa distinzione ha conseguenze dirette sulle sanzioni e sull'intensità dei controlli.
| Caratteristica | Soggetti Essenziali | Soggetti Importanti |
|---|---|---|
| Provenienza | Grandi imprese nei settori Allegato I + medie imprese in settori specifici ad alta criticità | Medie imprese nei settori Allegato I e II + grandi imprese Allegato II |
| Vigilanza ACN | Proattiva e periodica (audit, ispezioni anche senza segnalazioni) | Reattiva (scatta dopo un incidente o una segnalazione) |
| Sanzione massima | 10.000.000 euro o 2% del fatturato mondiale annuo | 7.000.000 euro o 1,4% del fatturato mondiale annuo |
| Responsabilita organo gestione | Esplicita e personale per i vertici | Esplicita e personale per i vertici |
La vigilanza proattiva per i soggetti essenziali significa che l'ACN puo condurre audit periodici anche in assenza di incidenti o violazioni segnalate. Per i soggetti importanti, i controlli vengono tipicamente attivati da eventi specifici. In entrambi i casi, tuttavia, i vertici aziendali (CDA, AD, DG) rispondono personalmente del rispetto degli obblighi.
Questa responsabilita personale dei dirigenti e una delle novita piu significative rispetto al passato: la cybersicurezza non puo piu essere delegata interamente all'IT o a un consulente esterno senza una supervisione reale da parte del management.
Cosa Prevede la Direttiva: Gli Obblighi Concreti
L'articolo 24 del D.Lgs. 138/2024 (che recepisce l'articolo 21 della Direttiva UE 2022/2555) elenca le misure tecniche e organizzative minime che ogni soggetto obbligato deve adottare. Non si tratta di una lista di desiderata: sono obblighi prescrittivi.
1. Gestione del Rischio Cyber
L'azienda deve condurre una valutazione del rischio formale e documentata, identificando gli asset critici (sistemi informativi, dati, infrastrutture), le minacce rilevanti e le vulnerabilita esistenti. La valutazione non e un esercizio una tantum: deve essere aggiornata periodicamente e ogni volta che cambiano le condizioni operative o si verificano incidenti significativi.
2. Politiche di Sicurezza delle Informazioni
Devono esistere politiche scritte, approvate dall'organo di gestione, che disciplinino almeno: gestione degli accessi, uso accettabile dei sistemi, classificazione delle informazioni, gestione delle patch e aggiornamenti di sicurezza, protezione degli endpoint.
3. Gestione degli Incidenti
Ogni soggetto obbligato deve predisporre un processo strutturato per rilevare, classificare, contenere e notificare gli incidenti di sicurezza. La notifica all'ACN dei "incidenti significativi" e obbligatoria entro tempistiche precise:
- 24 ore dalla rilevazione: pre-notifica iniziale (allerta rapida)
- 72 ore dalla rilevazione: notifica completa con valutazione iniziale della gravita
- 1 mese dall'incidente: relazione finale con analisi delle cause e misure adottate
I criteri per definire un incidente "significativo" sono dettagliati nel Regolamento di esecuzione (UE) 2024/2690 della Commissione europea, che ha valenza diretta in tutti gli Stati membri.
4. Continuita Operativa e Gestione delle Crisi
L'azienda deve disporre di un piano di continuita operativa (Business Continuity Plan) e di un piano di ripristino in caso di disastro (Disaster Recovery Plan). Questi piani devono essere testati periodicamente, non solo scritti e archiviati. L'ACN puo richiedere evidenza dei test effettuati.
5. Sicurezza della Supply Chain
Questo e uno degli obblighi piu complessi per le PMI. L'azienda deve valutare i rischi di sicurezza introdotti dai propri fornitori e partner tecnologici, e includere requisiti di sicurezza nei contratti con terze parti che hanno accesso ai sistemi o ai dati aziendali.
Concretamente: se il vostro ERP e gestito da un fornitore esterno, se utilizzate un MSP per l'infrastruttura IT, se affidate la gestione della posta elettronica a un provider cloud, dovete verificare che questi soggetti rispettino standard di sicurezza adeguati. Non e sufficiente affidarsi a dichiarazioni generiche: servono audit, questionari di sicurezza, clausole contrattuali specifiche.
6. Sicurezza delle Risorse Umane e Formazione
Il fattore umano rimane la prima causa di incidenti informatici. La NIS2 richiede programmi di sensibilizzazione e formazione continua per tutti i dipendenti, con attenzione specifica per chi ha accesso a sistemi critici o dati sensibili.
7. Crittografia e Controllo degli Accessi
L'uso della crittografia per proteggere i dati in transito e a riposo e esplicitamente menzionato come misura minima. Analogamente, l'autenticazione a piu fattori (MFA) deve essere implementata per l'accesso ai sistemi critici e, preferibilmente, per tutti gli accessi remoti.
8. Sicurezza delle Reti e dei Sistemi Informativi
La segmentazione delle reti, il monitoraggio del traffico, la gestione delle vulnerabilita e la protezione perimetrale sono componenti essenziali del framework di sicurezza richiesto. Non basta avere un firewall: serve dimostrare che e configurato correttamente, aggiornato e monitorato.
Le Sanzioni: I Numeri Reali
Il regime sanzionatorio del D.Lgs. 138/2024 e significativamente piu severo rispetto alla normativa precedente. Le sanzioni sono amministrative pecuniarie e vengono irrogate dall'ACN.
Soggetti Essenziali
- Violazioni degli obblighi di gestione del rischio (art. 24): fino a 10.000.000 di euro o, se superiore, il 2% del fatturato mondiale annuo totale dell'esercizio precedente
- Violazioni degli obblighi di notifica degli incidenti (art. 25): fino a 10.000.000 di euro o il 2% del fatturato mondiale
Soggetti Importanti
- Violazioni degli obblighi di gestione del rischio: fino a 7.000.000 di euro o, se superiore, l'1,4% del fatturato mondiale annuo totale
- Violazioni degli obblighi di notifica: fino a 7.000.000 di euro o l'1,4% del fatturato mondiale
Esempio Concreto
Supponiamo un'azienda manifatturiera (settore Allegato II) con 120 dipendenti e 25 milioni di euro di fatturato. E classificata come soggetto importante. In caso di violazione degli obblighi di sicurezza verificata a seguito di un incidente:
- Sanzione massima: 7.000.000 di euro oppure 1,4% di 25M = 350.000 euro
- Si applica il valore piu alto: 7.000.000 di euro
Per un'azienda con 25 milioni di fatturato, una multa di questa entita e esistenzialmente rilevante.
Sanzioni Accessorie
Oltre alle sanzioni pecuniarie, l'ACN puo disporre misure accessorie che nella pratica possono essere ancora piu impattanti:
- Sospensione temporanea delle certificazioni o autorizzazioni necessarie all'attivita
- Divieto temporaneo per i dirigenti di ricoprire funzioni manageriali (nei casi piu gravi)
- Pubblicazione della decisione di accertamento della violazione (danno reputazionale)
- Ordine di rendere pubbliche le violazioni ai clienti e ai soggetti i cui dati sono stati esposti
Quest'ultimo punto merita attenzione: l'obbligo di comunicare pubblicamente un incidente ai propri clienti puo avere conseguenze commerciali ben superiori alla sanzione pecuniaria stessa.
Il Calendario delle Scadenze 2025-2026
Il recepimento della NIS2 in Italia ha stabilito un calendario a fasi. Non tutti gli obblighi scattano contemporaneamente.
| Scadenza | Obbligo | Chi |
|---|---|---|
| 31 luglio 2025 | Registrazione sul portale ACN (Info Set A) | Tutti i soggetti obbligati |
| 31 dicembre 2025 | Notifica delle informazioni di aggiornamento (Info Set B) | Tutti i soggetti obbligati |
| 1 gennaio 2026 | Piena applicazione degli obblighi di sicurezza e notifica | Tutti i soggetti obbligati |
| Progressivo dal 2026 | Audit e ispezioni ACN | Soggetti essenziali in via prioritaria |
La registrazione sul portale ACN (https://www.acn.gov.it/portale/nis2) e il primo passo concreto che ogni azienda deve compiere. Richiede la comunicazione di dati identificativi, settore di attivita, referenti per la sicurezza e contatti operativi H24.
Attenzione: L'omessa registrazione entro le scadenze previste e gia di per se una violazione sanzionabile, indipendentemente dallo stato di adeguamento tecnico. E il caso piu frequente di sanzione nelle prime fasi di applicazione di normative simili.
Come Adeguarsi: Il Percorso in Tre Fasi
Adeguarsi alla NIS2 non significa comprare un prodotto o ottenere una certificazione. E un processo organizzativo che richiede tempo, metodologia e continuita. Un percorso realistico per una PMI si articola in tre fasi.
Fase 1: Valutazione e Classificazione (mesi 1-2)
Prima di tutto, bisogna capire se si e dentro o fuori dal perimetro NIS2, e in quale categoria. Questo richiede:
- Analisi della dimensione aziendale secondo i criteri europei (includendo eventuali societa collegate o controllate)
- Verifica del codice ATECO e mappatura con i settori degli Allegati I e II
- Determinazione della categoria (essenziale vs importante)
- Gap analysis rispetto agli obblighi applicabili
Il risultato di questa fase e un documento di classificazione che formalizza la posizione dell'azienda rispetto alla normativa.
Fase 2: Implementazione delle Misure Minime (mesi 3-9)
Una volta identificato il perimetro, si passa all'implementazione. Le aree tipicamente piu carenti nelle PMI italiane sono:
- Assenza di un processo formalizzato di gestione degli incidenti
- Mancanza di autenticazione a piu fattori per gli accessi remoti
- Backup non testati o conservati nello stesso ambiente dei dati primari
- Assenza di log centralizzati e immutabili (fondamentali per le indagini post-incidente)
- Contratti con fornitori IT privi di clausole di sicurezza
Ogni misura implementata deve essere documentata. L'ACN non valuta solo cosa hai fatto, ma anche se sei in grado di dimostrarlo con evidenze.
Fase 3: Monitoraggio Continuo e Revisione (dal mese 10 in poi)
La NIS2 non e una compliance che si raggiunge una volta e poi si dimentica. Richiede un ciclo continuo di monitoraggio, aggiornamento e verifica. Le misure tecniche devono essere mantenute aggiornate, le politiche revisionate periodicamente, il personale formato con regolarita.
In questa fase, la disponibilita di log immutabili e di sistemi di monitoraggio in tempo reale diventa critica: non solo per rilevare gli incidenti, ma per dimostrare all'ACN che il monitoraggio esiste e funziona.
Il Ruolo dei Fornitori di Servizi Gestiti
Un aspetto spesso sottovalutato riguarda chi fornisce servizi IT alle aziende obbligate. Se il vostro MSSP o MSP gestisce la vostra infrastruttura di rete, i vostri firewall, i vostri sistemi di backup, quel fornitore e parte del vostro perimetro di rischio NIS2.
Questo ha due implicazioni:
Per le aziende obbligate: dovete verificare che i vostri fornitori IT abbiano adeguate misure di sicurezza. Non potete esternalizzare la responsabilita.
Per gli MSP/MSSP: se gestite l'infrastruttura di soggetti obbligati, siete nel perimetro NIS2 come fornitori critici. In molti casi, gli MSP che superano le soglie dimensionali sono essi stessi soggetti obbligati (settore "Gestione dei servizi ICT" dell'Allegato I).
Il testo della Direttiva UE 2022/2555 e consultabile integralmente sul sito dell'EUR-Lex all'indirizzo https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32022L2555.
Le linee guida tecniche pubblicate dall'ENISA (Agenzia dell'Unione Europea per la Cybersicurezza) forniscono dettagli implementativi sulle misure di sicurezza raccomandate: https://www.enisa.europa.eu/topics/nis-directive.
Le Domande che Ogni Imprenditore Deve Porsi Oggi
Prima di delegare tutto a un consulente o a un fornitore IT, l'imprenditore deve rispondere personalmente a queste domande:
Siamo nel perimetro NIS2? Se la risposta e "non lo so", e gia un problema. La classificazione e un obbligo, non un'opzione.
Chi e responsabile della cybersicurezza nella nostra azienda? Non il nome del reparto IT, ma il nome di una persona fisica che risponde a voi e voi rispondete all'ACN.
Se subissimo un attacco domani, sapremmo cosa fare nelle prime 24 ore? La notifica all'ACN deve avvenire entro 24 ore dalla rilevazione di un incidente significativo. Se non esiste una procedura scritta e testata, quelle 24 ore passeranno nel caos.
I nostri backup sono davvero recuperabili? Avere un backup e diverso da avere un backup funzionante e separato dall'ambiente primario. L'ultimo test di ripristino quando lo avete fatto?
I nostri fornitori IT sono sicuri? Avete mai chiesto ai vostri fornitori di software, cloud, o servizi IT di mostrarvi le loro policy di sicurezza? La NIS2 vi obbliga a farlo.
Conclusione: Adeguarsi Non e un Costo, e una Condizione
La NIS2 non e una normativa che si puo ignorare aspettando che passi o sperando di non essere controllati. L'ACN ha ricevuto mandato e risorse per costruire un sistema di vigilanza progressivamente piu intenso. Le prime aziende a ricevere sanzioni faranno da deterrente per tutte le altre.
Allo stesso tempo, il percorso di adeguamento, se affrontato con metodo, porta benefici reali: riduzione del rischio di incidenti, migliore visibilita sulla propria infrastruttura, processi piu robusti, e una posizione commerciale migliore nei confronti di clienti e partner che stanno a loro volta verificando la sicurezza della propria supply chain.
Il 2026 e l'anno in cui la NIS2 diventa operativa a pieno regime in Italia. Le aziende che hanno iniziato il percorso nel 2025 arriveranno all'anno nuovo con una base solida. Quelle che aspettano troveranno la strada piu difficile, i fornitori piu occupati e i tempi piu stretti.
Hai bisogno di capire se la tua azienda rientra nel perimetro NIS2 e come strutturare il percorso di adeguamento?
SecBox supporta le PMI italiane con servizi gestiti di sicurezza progettati per soddisfare i requisiti tecnici della NIS2: firewall gestito con monitoraggio H24, VPN sicura per gli accessi remoti, e log WORM immutabili per la conservazione delle evidenze richiesta dall'ACN.
Contattaci per una valutazione preliminare gratuita oppure scopri il nostro piano dedicato alle PMI nella pagina SecBox Shield.