Chi è obbligato alla NIS2 in Italia?

In generale, le organizzazioni medio-grandi che operano in settori essenziali o importanti. La verifica va fatta incrociando soglia dimensionale, settore e ruolo nella filiera.

Una PMI piccola può ignorarla?

Non sempre. Anche fuori dal perimetro formale, clienti, partner e assicurazioni possono chiedere controlli equivalenti, soprattutto su accessi, logging e incident response.

Quali controlli hanno il maggior impatto immediato?

MFA, VPN, rimozione dei servizi esposti, log centralizzati con retention affidabile, backup testati e una procedura incidenti con ruoli chiari.

Come aiuta un firewall gestito?

Riduce la superficie esposta, applica regole coerenti, migliora la visibilità sul traffico e, se integrato con VPN e log WORM, produce evidenze molto più solide.

Normativa UE

Guida NIS2 2025-2026

Una guida pratica per capire chi rientra nella direttiva, cosa cambia davvero per le aziende italiane e quali misure servono per arrivare preparati agli obblighi operativi.

In sintesi

La NIS2 impone governance, gestione del rischio, capacità di notifica incidenti e misure tecniche verificabili. Per molte PMI il punto critico non è la teoria, ma dimostrare controlli reali su accessi, log, backup, patching, continuità operativa e ruoli decisionali.

2022/2555

Direttiva UE

D.Lgs. 138/2024

Recepimento Italia

24 ore

Notifica iniziale incidente

72 ore

Alert completo

Errore tipico

Confondere “conformità” con l’acquisto di un prodotto. NIS2 richiede un sistema di controlli, non una singola appliance.

Rischio reale

Se non rilevi un incidente in tempo, non puoi rispettare i termini di notifica. La mancanza di logging e monitoraggio diventa un problema legale oltre che tecnico.

Dove aiuta SecBox

SecBox Shield copre la parte operativa più critica: accesso remoto protetto, esposizione ridotta, log immutabili WORM, evidenze e reporting tecnico.

Che cos’è davvero la NIS2

La NIS2 è la direttiva europea che rafforza i requisiti minimi di cybersicurezza per organizzazioni considerate essenziali o importanti. Non riguarda solo la sicurezza tecnica: introduce obblighi su governance, processi, supply chain, business continuity e gestione degli incidenti.

Per un’impresa significa una cosa semplice: non basta più “avere un firewall”. Serve dimostrare che la sicurezza è organizzata, monitorata, tracciata e gestita con responsabilità precise.

Valutazione del rischio e misure proporzionate
Gestione incidenti e procedure di escalation
Sicurezza accessi, autenticazione forte e logging
Continuità operativa, backup e ripristino
Controllo della supply chain e dei fornitori critici
Ruolo diretto del management nelle decisioni di sicurezza

Chi riguarda in pratica

In Italia il perimetro dipende da due fattori: dimensione dell’organizzazione e settore. In generale, il riferimento tipico è superare 50 dipendenti oppure 10 milioni di euro di fatturato, operando in uno dei settori coperti dalla normativa.

Anche quando un’azienda non rientra formalmente tra i soggetti obbligati, può subire richieste indirette dai clienti più grandi, dai partner o da filiere già soggette a NIS2.

Energia, trasporti, sanità, acqua, banche, infrastrutture digitali
Provider IT, managed service provider, cloud, data center, software critico
Manifattura critica e organizzazioni della supply chain
Fornitori chiamati a dimostrare controlli, audit trail e tempi di reazione

Definizioni chiave da non confondere

Molte aziende inciampano sulle definizioni. Capire il lessico corretto evita progetti sbagliati e false sensazioni di conformità.

Soggetto essenziale: organizzazione con impatto sistemico più alto, esposta a supervisione e sanzioni più severe.
Soggetto importante: organizzazione comunque rilevante per continuità e resilienza, con obblighi sostanzialmente analoghi ma regime di vigilanza diverso.
Incidente significativo: evento che compromette servizi, dati, continuità o sicurezza con impatto rilevante su operazioni, clienti o filiera.
Misure tecniche e organizzative: insieme di controlli pratici, procedure, ruoli e verifiche. Non è solo documentazione.
Responsabilità degli organi di gestione: amministratori e direzione devono approvare, supervisionare e comprendere il rischio cyber.

Le misure tecniche che pesano davvero negli audit

Le aziende vengono spesso attratte da checklist generiche. Nella pratica, gli audit e le verifiche si concentrano su pochi controlli ad alta evidenza: accessi, logging, backup, segmentazione, vulnerabilità e capacità di risposta.

MFA per ogni accesso remoto e amministrativo
VPN aziendale o accesso segregato, mai servizi esposti direttamente su Internet
Log centralizzati, integri e conservati con retention verificabile
Backup offline o immutabili con test periodici di restore
Patching e vulnerability management con priorità e tracciamento
Segmentazione di rete per limitare il movimento laterale
Procedure di incident response con contatti, escalation e playbook

Notifica incidenti: la parte che crea più stress

Dal punto di vista operativo, il nodo vero è riuscire a rilevare, qualificare e notificare un incidente nei tempi previsti. Se un’azienda scopre l’evento tardi, o non ha log affidabili, la conformità si rompe subito.

Entro 24 ore: early warning o notifica iniziale
Entro 72 ore: aggiornamento più completo con prime valutazioni
Entro 1 mese: relazione finale con cause, impatti e misure correttive
Serve sapere chi decide, chi raccoglie prove e chi comunica con l’autorità

Responsabilità del management

La NIS2 non è una questione delegabile solo al reparto IT. Gli organi di gestione devono approvare le misure, ricevere formazione adeguata e supervisionare l’attuazione. Questo cambia il tono delle decisioni: la sicurezza diventa tema di board, non solo tecnico.

Quando manca ownership manageriale, gli investimenti restano bloccati, i ruoli sono ambigui e in caso di incidente nessuno sa chi autorizza containment, comunicazioni e recovery.

Roadmap pratica per una PMI

Per una PMI, l’approccio corretto è progressivo: prima si chiudono le lacune ad alto rischio, poi si organizza governance e reporting.

Mappa asset, utenti privilegiati, accessi remoti e servizi esposti
Chiudi RDP, pannelli admin e porte sensibili esposte su Internet
Attiva MFA, VPN, logging centralizzato e backup testati
Definisci ruoli, escalation e referenti 24/7
Crea un registro minimo di incidenti, eccezioni e azioni correttive
Produci evidenze periodiche: report, retention log, test di restore, change log

Timeline operativa

Subito

Capire se l’azienda rientra nel perimetro, identificare i servizi critici e nominare un referente chiaro.

Prime 2-4 settimane

Ridurre l’esposizione: MFA, VPN, segmentazione, chiusura porte esposte, centralizzazione dei log, verifica backup.

Entro 60-90 giorni

Formalizzare incident response, contatti H24, policy minime, processi di patching e criteri di escalation.

Continuativo

Report, review periodiche, test di restore, controllo fornitori critici e aggiornamento delle evidenze.

Passo successivo

Trasforma la compliance in controlli concreti

SecBox Shield aiuta a ridurre esposizione, controllare gli accessi, rendere i log audit-ready e produrre evidenze tecniche riutilizzabili in audit e verifiche.

View Shield Plans Read the NIS2 checklist