NIS2 per le PMI: chi è obbligato e quali sono le 10 aree di riferimento

In breve

La NIS2 (Direttiva UE 2022/2555, recepita in Italia con il D.Lgs. 138/2024) alza l'asticella della cybersicurezza per migliaia di aziende. Non riguarda solo le grandi imprese: si applica ai soggetti che operano in settori critici e superano le soglie dimensionali (almeno 50 dipendenti oppure oltre 10 milioni di euro di fatturato), ma coinvolge anche le PMI sotto soglia attraverso la catena di fornitura. Chi rientra deve presidiare 10 aree di sicurezza (art. 21), essere in grado di notificare gli incidenti ad ACN entro 24 ore / 72 ore / 1 mese, e avere le misure di base operative entro il 31 ottobre 2026. Chi non si adegua rischia sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale e la responsabilità personale degli amministratori. In questo articolo vediamo chi è obbligato, le 10 aree nel dettaglio, le scadenze e come costruire una roadmap sostenibile. Alla fine trovi un assessment gratuito per capire in 12 minuti dove sei.

NIS2: non è (solo) un problema dei grandi

Quando si parla di NIS2, la reazione più comune di un imprenditore di una PMI è: "riguarda le multinazionali, non la mia azienda da 60 persone". È una convinzione pericolosa, per due motivi.

Il primo: la soglia di applicazione è molto più bassa di quanto si pensi. Bastano 50 dipendenti oppure 10 milioni di euro di fatturato in un settore critico per rientrare nel perimetro. Sono numeri da piccola-media impresa, non da grande gruppo.

Il secondo, ancora più sottovalutato: anche se la tua azienda è sotto soglia, la NIS2 ti raggiunge lo stesso se sei fornitore di un'azienda obbligata. La direttiva impone infatti ai soggetti NIS2 di mettere in sicurezza la propria catena di fornitura, il che significa che i tuoi clienti più strutturati inizieranno a chiederti requisiti di sicurezza contrattuali, audit e clausole di notifica degli incidenti. Non essere pronti significa, molto concretamente, perdere gare e contratti.

La NIS2, in altre parole, sta diventando il nuovo standard de facto della cybersicurezza B2B in Europa. E come è già successo con l'AI Act, arrivare impreparati alle scadenze è una scelta che si paga.

Cos'è la NIS2 e chi la fa rispettare

La NIS2 è la Direttiva (UE) 2022/2555, che sostituisce la precedente direttiva NIS del 2016 ampliandone enormemente la portata: più settori, più soggetti, obblighi più stringenti e, soprattutto, sanzioni vere.

In Italia è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. L'autorità competente è l'ACN, Agenzia per la Cybersicurezza Nazionale, mentre le notifiche degli incidenti vanno al CSIRT Italia.

L'obiettivo non è "fare carte": è elevare la resilienza informatica del sistema produttivo. Per questo la NIS2 ragiona per gestione del rischio e responsabilità del vertice, non per checklist burocratiche. Vediamo cosa significa concretamente.

1. A chi si applica: sei nel perimetro?

La NIS2 riguarda moltissime realtà, pubbliche e private: in tutto 18 settori e oltre 80 tipologie di organizzazioni. Ma per un'impresa privata la domanda è semplice e si gioca su due fattori insieme: in che settore operi e quanto sei grande.

I settori critici (imprese private) sono in due allegati:

• Allegato I, settori ad alta criticità (da cui derivano in prevalenza i soggetti essenziali): energia, trasporti, banche e mercati finanziari, sanità, acqua potabile e acque reflue, infrastrutture digitali, gestione dei servizi ICT, spazio.
• Allegato II, altri settori critici (da cui derivano in prevalenza i soggetti importanti): servizi postali e corrieri, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, produzione e distribuzione di alimenti, fabbricazione (dispositivi medici, prodotti informatici ed elettronici, macchinari, autoveicoli), fornitori di servizi digitali, ricerca.

Le soglie dimensionali: di norma rientri se hai almeno 50 dipendenti oppure un fatturato/bilancio annuo superiore a 10 milioni di euro. Le aziende grandi (≥250 dipendenti o >50M€) sono tipicamente essenziali; le medie tendono a essere importanti.

E se sei piccolo, un ente pubblico o un fornitore?

La regola "settore + dimensione" non è tutta la storia. Tieni a mente tre casi che riguardano da vicino le PMI:

• Sei una PA o una società pubblica? Le pubbliche amministrazioni e le società a controllo pubblico, partecipate o in house rientrano per categoria (nel decreto sono gli Allegati III e IV), spesso a prescindere dalla dimensione. Per i Comuni l'obbligo scatta sopra i 100.000 abitanti.
• Gestisci un servizio critico, anche se sei piccolo? Chi offre servizi come domini internet (DNS), firme e identità digitali (servizi fiduciari) o reti di telecomunicazioni rientra anche se è una micro o piccola impresa. E l'ACN può comunque inserire altri soggetti che ritiene critici.
• Sei fornitore di un'azienda più grande? È la porta da cui entra la maggior parte delle PMI: il tuo cliente obbligato deve mettere in sicurezza la sua catena di fornitura e inizierà a chiederti requisiti di sicurezza nei contratti. Non rientrare "direttamente" non vuol dire esserne fuori.

Soggetti essenziali vs importanti

La differenza sta soprattutto nei controlli: i soggetti essenziali vengono verificati in modo proattivo, anche prima che accada qualcosa; gli importanti, di norma, solo dopo un problema o una segnalazione. Ma attenzione: gli obblighi di sicurezza dell'art. 21 valgono per tutti e due. Cambia quanto sei controllato e l'entità delle sanzioni, non cosa devi fare.

In pratica: se operi in un settore degli allegati e superi le soglie, sei dentro. Se sei una società a controllo pubblico o un ente, guarda gli Allegati III e IV. Se sei sotto soglia ma fornisci aziende strutturate, preparati comunque: la pressione arriverà dai contratti. Nel dubbio, il nostro assessment gratuito ti dà una classificazione orientativa in pochi minuti.

2. Le scadenze del 2026 che devi avere in agenda

La NIS2 in Italia non è "un'unica data": è un percorso graduale. L'ACN ha pubblicato l'elenco dei soggetti NIS il 31 marzo 2025 (oltre 20.000 organizzazioni, di cui più di 5.000 essenziali). Da quel momento decorrono i termini, scanditi così nel 2026.

• 15 gennaio 2026, la notifica degli incidenti diventa pienamente operativa: pre-allerta entro 24 ore, notifica entro 72 ore, relazione finale entro 1 mese.
• 1 gennaio – 28 febbraio 2026, finestra annuale di registrazione e aggiornamento dei dati sul portale ACN (punti di contatto, referente CSIRT).
• 1 maggio – 30 giugno 2026, comunicazione e categorizzazione di attività e servizi sulla piattaforma ACN.
• 31 ottobre 2026, scadenza decisiva: tutte le misure di sicurezza di base devono essere operative.

La logica di fondo è quella dei due termini che scattano dalla comunicazione di inclusione nell'elenco: 9 mesi per attivare i meccanismi di notifica degli incidenti e 18 mesi per implementare le misure di sicurezza di base. Tradotto: chi è stato inserito nel 2025 arriva alla piena operatività delle misure proprio entro fine ottobre 2026. Non è molto tempo per chi parte da zero.

3. Le 10 aree di riferimento della NIS2 (art. 21)

Il cuore della NIS2 è l'articolo 21, che elenca le 10 misure minime di gestione del rischio. Niente panico: non devi diventare esperto di ognuna. Trattale come una checklist e, per ciascuna, fatti una sola domanda, «sono coperto o no?», poi guarda la prima mossa concreta (la trovi alla voce In pratica). Eccole, in chiave PMI.

1. Governance e gestione del rischio

È il fondamento di tutto. Devi avere policy di sicurezza e un'analisi dei rischi formalizzate, e, punto cruciale, l'organo di amministrazione (CdA, titolare, amministratore) deve essere coinvolto, formato e responsabile. La NIS2 sposta la cybersicurezza dal reparto IT alla scrivania di chi guida l'azienda. In pratica: nomina un referente, fai approvare le misure dal vertice, documenta come valuti i rischi.

2. Gestione degli incidenti

Devi saper rilevare, gestire e notificare un incidente significativo. Questo significa un processo documentato, ruoli chiari e la capacità tecnica e organizzativa di rispettare i termini 24h/72h/1 mese verso il CSIRT Italia. In pratica: prepara una procedura di incident response e i contatti già registrati sul portale ACN, prima che serva davvero.

3. Continuità operativa e gestione delle crisi

Backup, disaster recovery, business continuity e gestione delle crisi. Non basta fare i backup: devi testare il ripristino e avere un piano per continuare a operare (e comunicare) durante un attacco. In pratica: strategia di backup 3-2-1 con copie offline, RTO/RPO definiti per i sistemi critici, un piano di continuità scritto.

4. Sicurezza della supply chain

La NIS2 ti rende responsabile anche della sicurezza dei tuoi fornitori ICT critici. Devi mapparli, inserire requisiti di sicurezza nei contratti e monitorarli nel tempo. È lo stesso meccanismo che, a valle, coinvolge te se sei fornitore di altri. In pratica: un inventario dei fornitori critici, clausole contrattuali di sicurezza, una valutazione del rischio per i più importanti.

5. Sicurezza nell'acquisizione, sviluppo e manutenzione (e gestione delle vulnerabilità)

La sicurezza va integrata in come acquisti, sviluppi e mantieni i sistemi, inclusi un processo di gestione delle vulnerabilità e di divulgazione responsabile. In pratica: patch management con priorità sul rischio, scansioni periodiche, un canale per segnalare vulnerabilità, requisiti di sicurezza negli acquisti software.

6. Verifica dell'efficacia delle misure

Non basta adottare le misure: devi misurare se funzionano. Audit, metriche, revisioni periodiche e gestione delle non conformità. In pratica: un piano di audit interni, qualche KPI di sicurezza monitorato, una revisione almeno annuale delle policy.

7. Igiene informatica di base e formazione

Le basi che fermano la maggior parte degli attacchi: aggiornamenti, antivirus, password robuste, MFA, e soprattutto formazione del personale. L'anello debole resta quasi sempre la persona. In pratica: una baseline di igiene applicata a tutti i dispositivi e formazione periodica con simulazioni di phishing, un terreno dove, peraltro, si intreccia con l'obbligo di AI literacy.

8. Crittografia

Policy e uso della crittografia per proteggere i dati a riposo (server, dispositivi, backup) e in transito (TLS, VPN), con una gestione sicura delle chiavi. In pratica: cifra i dispositivi e i dati sensibili, usa connessioni cifrate ovunque, gestisci chiavi e certificati con procedure chiare.

9. Sicurezza delle risorse umane, controllo accessi e gestione degli asset

Devi sapere cosa possiedi (inventario asset), chi accede a cosa (controllo accessi con minimo privilegio) e gestire la sicurezza nei processi HR (onboarding/offboarding). In pratica: inventario aggiornato, accessi per ruolo, revoca tempestiva quando una persona esce, attenzione agli account privilegiati.

10. Autenticazione a più fattori e comunicazioni sicure

L'uso dell'MFA (meglio se resistente al phishing) sugli accessi critici, comunicazioni protette dove serve e sistemi di comunicazione di emergenza sicuri in caso di crisi. In pratica: MFA su VPN, email e sistemi critici; un canale di comunicazione alternativo per quando i sistemi normali sono compromessi.

Vuoi capire dove sei su queste 10 aree? È esattamente quello che fa il NIS2 Readiness Assessment, lo strumento gratuito costruito su questa stessa struttura: rispondi a poche domande per area e in una decina di minuti ottieni un punteggio semaforico (verde, giallo, rosso) che ti dice, nero su bianco, dove sei coperto e dove sei scoperto. È il modo più rapido per trasformare la teoria di questo articolo nella fotografia della tua azienda.

4. Cosa rischi se non ti adegui: sanzioni e responsabilità del board

Qui la NIS2 cambia passo rispetto al passato. Le sanzioni non sono simboliche.

• Soggetti essenziali: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, se superiore.
• Soggetti importanti: fino a 7 milioni di euro o all'1,4% del fatturato mondiale annuo.
• Mancata registrazione sul portale ACN: sanzioni fino allo 0,1% del fatturato (essenziali) o 0,07% (importanti).

Ma il vero spartiacque è un altro: la responsabilità personale degli organi di amministrazione. Il decreto stabilisce che gli organi direttivi approvano le misure, ne sovrintendono l'attuazione e rispondono delle violazioni. L'ACN può applicare la sanzione accessoria dell'incapacità a svolgere funzioni dirigenziali nel medesimo soggetto. In altre parole: la cybersicurezza diventa un tema di responsabilità degli amministratori, non più delegabile interamente all'IT o a un fornitore esterno.

È lo stesso principio che abbiamo visto emergere con la governance dei dati e dell'AI: la compliance non è più un costo da minimizzare, ma un rischio d'impresa da gestire al vertice. Vale la pena ricordare anche le buone pratiche su cosa non esporre, come spieghiamo in 7 cose che le PMI non dovrebbero caricare su ChatGPT.

5. Da dove iniziare, in pratica

Vista tutta insieme, la NIS2 può sembrare una montagna. Ma per un imprenditore il percorso si riduce a pochi passi concreti, da fare nell'ordine giusto e senza farsi prendere dal panico.

1. Capisci dove sei oggi. Prima di spendere un euro, fatti una fotografia onesta: su quali delle 10 aree sei già a posto e dove sei scoperto? È il passo più importante e anche il più veloce. Puoi farlo in dieci minuti con il NIS2 Readiness Assessment, che ti restituisce un semaforo per area e le priorità già in ordine.

2. Parti dalle aree rosse. Non devi fare tutto subito. Concentra le prime energie sulle lacune più gravi, di solito tre: backup che funzionano davvero, la capacità di accorgerti e segnalare un attacco, e l'MFA sugli accessi che contano. Sono le misure che abbassano di più il rischio con il minimo sforzo.

3. Metti il tema sul tavolo di chi decide. La NIS2 vuole che la sicurezza arrivi alla proprietà, non resti solo nell'IT. Nomina un referente, fissa un momento con la direzione e decidi un piccolo budget annuale. Senza questo passaggio, le buone intenzioni restano tali.

4. Guarda i tuoi fornitori (e i tuoi clienti). Fai l'elenco dei fornitori IT più critici e comincia a chiedere loro requisiti minimi di sicurezza. È lo stesso che, prima o poi, i tuoi clienti più grandi chiederanno a te: arrivarci preparato è un vantaggio.

5. Scrivi quello che fai. La NIS2 non premia solo l'essere sicuri, ma il poterlo dimostrare. Tieni traccia di policy, decisioni e test: in caso di controllo, è la differenza tra "ci stiamo lavorando" e "ecco le prove".

6. Trasformalo in abitudine. Sistemate le basi, il resto è manutenzione: rivedi le misure una volta l'anno, ripeti l'assessment e aggiorna il piano quando qualcosa cambia.

Non è un progetto con una data di fine: è un modo di lavorare. Ma affrontato così, un passo alla volta, è alla portata di qualsiasi PMI.

6. Da soli o con un aiuto?

Buona parte delle misure NIS2 una PMI può gestirle in casa: backup, MFA, formazione e policy di base sono alla portata di chiunque abbia un minimo di struttura. Per altre, come l'analisi del rischio, la sicurezza della supply chain o la preparazione a un controllo, servono competenze più specialistiche di governance e architettura della sicurezza.

La regola pratica è semplice: parti da ciò che puoi fare subito da solo e fatti affiancare dove non hai le competenze internamente, soprattutto per impostare il metodo giusto e non disperdere gli investimenti. Che tu scelga di farlo internamente o con un partner, la cosa che conta è non arrivare impreparato alle scadenze: un'azienda che dimostra di essere sicura non solo evita le sanzioni, ma vince più contratti, soprattutto come fornitore di soggetti NIS2.

Domande frequenti sulla NIS2 per le PMI

La NIS2 si applica davvero alla mia PMI? Si applica se operi in un settore critico (Allegato I o II del D.Lgs 138/2024) e superi le soglie dimensionali: almeno 50 dipendenti oppure oltre 10 milioni di euro di fatturato/bilancio. Il decreto copre però anche le pubbliche amministrazioni (Allegato III) e le società a controllo pubblico (Allegato IV), e alcuni soggetti rientrano a prescindere dalle dimensioni (DNS/TLD, servizi fiduciari, reti di comunicazione elettronica, unici fornitori nazionali). Anche le micro e piccole imprese possono essere coinvolte se sono fornitori critici nella supply chain di un soggetto NIS2.

Cosa cambia tra soggetti essenziali e importanti? Cambiano il tipo di vigilanza (proattiva per gli essenziali, ex-post per gli importanti) e i massimali delle sanzioni. Gli obblighi di sicurezza dell'articolo 21 valgono però per entrambe le categorie.

Quali sono le scadenze NIS2 per il 2026? Dal 15 gennaio 2026 la notifica degli incidenti è pienamente operativa (24h/72h/1 mese); tra gennaio e febbraio c'è la finestra di registrazione/aggiornamento sul portale ACN; tra maggio e giugno la categorizzazione dei servizi; entro il 31 ottobre 2026 le misure di sicurezza di base devono essere operative.

Quali sono le sanzioni della NIS2? Per i soggetti essenziali fino a 10 milioni di euro o il 2% del fatturato mondiale annuo; per gli importanti fino a 7 milioni o l'1,4%. È inoltre prevista la responsabilità personale degli organi di amministrazione, con possibile incapacità a svolgere funzioni dirigenziali.

Quali sono le 10 misure richieste dall'articolo 21? Analisi dei rischi e policy di sicurezza; gestione degli incidenti; continuità operativa; sicurezza della supply chain; sicurezza in sviluppo/acquisizione e gestione delle vulnerabilità; verifica dell'efficacia delle misure; igiene informatica e formazione; crittografia; sicurezza HR, controllo accessi e gestione asset; autenticazione a più fattori e comunicazioni sicure.

La mia azienda è fornitrice di un soggetto NIS2: cosa cambia per me? Anche se sei sotto soglia, il tuo cliente NIS2 deve mettere in sicurezza la propria catena di fornitura: ti chiederà requisiti di sicurezza contrattuali, possibili audit e obblighi di notifica degli incidenti. Prepararti ora ti permette di non perdere contratti e di differenziarti dai concorrenti.

Come faccio a capire da dove partire? Il modo più rapido è una gap analysis sulle 10 aree dell'articolo 21. Puoi farla gratuitamente con il NIS2 Readiness Assessment, che ti dà un punteggio semaforico per area e una lista di priorità da cui partire.

In sintesi

La NIS2 non è una scadenza burocratica da temere, ma un'occasione per mettere ordine nella sicurezza della tua azienda, con un metodo e delle priorità chiare. Le regole sono complesse, ma il punto di partenza per ogni imprenditore è semplice, gratuito e veloce: capire a che punto sei.

Se vuoi una fotografia concreta della tua situazione, il NIS2 Readiness Assessment è il modo più rapido per ottenerla: dieci minuti, un punteggio per ognuna delle 10 aree e una lista di priorità da cui partire. Da lì deciderai con calma cosa fare da solo e su cosa, eventualmente, farti dare una mano.

Con la NIS2 la sicurezza informatica smette di essere un costo dell'IT e diventa parte del modo in cui un'azienda si prende cura di sé.