NIS2 per PMI Italiane: Cosa Devi Fare Entro il 2026 per Essere Conforme

La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024 ed entrata in vigore nell'ottobre 2024, impone obblighi di cybersecurity a imprese e pubbliche amministrazioni nei settori critici. Le PMI rientrano nell'ambito NIS2 se operano in settori essenziali o importanti (energia, trasporti, sanita, infrastrutture digitali, manifattura avanzata) e hanno almeno 50 dipendenti o 10 milioni di euro di fatturato. Le micro-imprese sotto 10 dipendenti e 2 milioni di euro sono generalmente escluse. Le sanzioni per non conformita arrivano fino a 10 milioni di euro o il 2% del fatturato globale. Qui trovi cosa fare concretamente per adeguarti.

In oltre 30 progetti di sicurezza informatica che abbiamo seguito per PMI italiane, il problema ricorrente non e la mancanza di budget: e la mancanza di chiarezza. I titolari hanno sentito parlare di NIS2, sanno che ci sono sanzioni pesanti, ma non sanno se la direttiva si applica alla loro azienda ne da dove iniziare. Questa guida risponde a entrambe le domande.

---

Autore: Pedro Corgnati, Fondatore di SystemForge — Sviluppatore Full-Stack con esperienza in progetti di sicurezza informatica e compliance per PMI italiane.

---

Cos'e la Direttiva NIS2 e perche riguarda anche le PMI

Dal NIS1 al NIS2: cosa cambia

La prima direttiva NIS (2016) riguardava solo i grandi operatori di servizi essenziali e aveva un'applicazione disomogenea tra i paesi UE. La NIS2 amplia drasticamente il perimetro: piu settori, soglie dimensionali piu basse, obblighi piu stringenti e sanzioni significativamente piu alte.

Il cambiamento piu rilevante per le PMI: la NIS2 non si limita piu ai giganti dell'energia o delle telecomunicazioni. Include manifattura avanzata, gestione rifiuti, servizi postali, produzione alimentare e fornitori digitali. Molte PMI italiane rientrano in questi settori senza saperlo.

Recepimento italiano: D.Lgs. 138/2024 e ACN

L'Italia ha recepito la NIS2 con il Decreto Legislativo 138/2024. L'autorita competente e l'ACN (Agenzia per la Cybersicurezza Nazionale), che gestisce le registrazioni, i controlli e le sanzioni. Le aziende incluse devono registrarsi sul portale ACN entro le scadenze progressive definite dall'autorita.

Scadenze e timeline per le PMI italiane

Il D.Lgs. 138/2024 e in vigore da ottobre 2024. Le registrazioni sul portale ACN sono iniziate nel 2025 per i soggetti piu grandi. Le PMI incluse devono verificare la propria posizione e avviare il percorso di adeguamento senza attendere l'ultima scadenza. L'adeguamento completo alle misure di sicurezza richiede mesi di lavoro: iniziare ora e la strategia corretta.

La tua azienda rientra nella NIS2?

Settori essenziali (Allegato I) — alta criticita

Energia (elettricita, petrolio, gas, idrogeno), trasporti (aereo, ferroviario, marittimo, stradale), banche e infrastrutture dei mercati finanziari, sanita (ospedali, laboratori, produttori di dispositivi medici), acqua potabile, acque reflue, infrastrutture digitali (DNS, cloud, data center, CDN), e spazio.

Settori importanti (Allegato II) — media criticita

Servizi postali e corrieri, gestione rifiuti, produzione e distribuzione di sostanze chimiche, produzione e lavorazione di alimenti, manifattura (dispositivi medici, computer, elettronica, macchinari, veicoli a motore), fornitori di servizi digitali (marketplace, motori di ricerca, social network), e ricerca.

Soglie dimensionali: chi e incluso e chi e escluso

Dimensione impresa	Dipendenti	Fatturato	Stato NIS2
Grande	250+	50M+ €	Inclusa (Allegato I e II)
Media	50–249	10–50M €	Inclusa (Allegato I e II)
Piccola	< 50	< 10M €	Generalmente esclusa
Micro	< 10	< 2M €	Esclusa (salvo designazione ACN)

Eccezione importante: l'ACN puo designare come soggetti NIS2 anche imprese sotto le soglie dimensionali se le ritiene critiche per il settore.

La supply chain NIS2: quando ti coinvolge anche se non sei nel settore diretto

Anche una PMI fuori dal perimetro diretto della NIS2 puo essere coinvolta tramite la supply chain. Se sei fornitore di un soggetto essenziale o importante, il tuo committente puo richiederti attestazioni di conformita, misure di sicurezza specifiche e audit periodici come condizione contrattuale. Questa e la NIS2 indiretta e colpisce migliaia di PMI italiane che non rientrano formalmente nella direttiva.

Obblighi NIS2 per le aziende incluse

Gestione del rischio di sicurezza informatica

L'azienda deve adottare politiche documentate per la gestione del rischio informatico. Non basta avere un antivirus e un firewall: serve un processo strutturato che identifichi, valuti e mitighi i rischi. La documentazione deve essere aggiornata e disponibile in caso di controllo ACN.

Misure tecniche minime richieste

La NIS2 richiede misure proporzionate al rischio: gestione delle vulnerabilita e patch management, controllo degli accessi con autenticazione multi-fattore (MFA), cifratura dei dati in transito e a riposo, backup regolari e testati, segmentazione della rete, e monitoraggio degli eventi di sicurezza.

Notifica degli incidenti: tempi e modalita

In caso di incidente informatico significativo, l'azienda deve notificare l'ACN entro 24 ore con un'allerta iniziale, entro 72 ore con una notifica dettagliata, ed entro 30 giorni con una relazione finale completa. Un ritardo nella notifica e gia una violazione.

Responsabilita del management

La NIS2 introduce la responsabilita personale dei vertici aziendali. Il CDA, l'amministratore delegato o il titolare che non adotta misure adeguate puo essere ritenuto personalmente responsabile. I dirigenti devono ricevere formazione sulla cybersecurity e approvare le politiche di gestione del rischio.

Registro dei fornitori e supply chain security

L'azienda deve valutare la sicurezza dei propri fornitori critici, documentare le valutazioni e includere clausole di sicurezza nei contratti. La supply chain e il vettore di attacco piu comune per le PMI: un fornitore compromesso puo compromettere anche la tua azienda.

Caso reale: PMI manifatturiera del Veneto con 65 dipendenti

Una PMI manifatturiera che produce componenti elettronici per il settore automotive, 65 dipendenti, fatturato di 12 milioni di euro. Rientrava nella NIS2 come soggetto importante (Allegato II, manifattura elettronica) ma non ne era consapevole fino a quando un cliente tedesco non ha richiesto attestazioni di conformita.

Abbiamo condotto un gap assessment che ha rivelato: nessuna policy di gestione del rischio documentata, password condivise tra reparti, backup non testati da 18 mesi, nessun MFA attivo, e zero formazione dei dipendenti sulla sicurezza. Il piano di adeguamento ha richiesto 4 mesi e un investimento di 22.000 euro per il primo anno, inclusa formazione, implementazione MFA, backup strutturato e documentazione completa.

Come SystemForge risolve questo

SystemForge supporta le PMI italiane nell'adeguamento NIS2 con un approccio in tre fasi.

Fase 1 — Assessment (2-4 settimane). Verifichiamo se la tua azienda rientra nel perimetro NIS2, conduciamo un gap assessment sulla tua postura di sicurezza attuale e produciamo un report con le lacune e le priorita di intervento. Costo: 1.500-3.000 euro.

Fase 2 — Implementazione tecnica (4-12 settimane). Implementiamo le misure tecniche necessarie: MFA per tutti gli accessi critici, backup strutturato con test periodico, gestione delle vulnerabilita e patch management, segmentazione della rete, e monitoraggio eventi di sicurezza. Costo: 5.000-20.000 euro a seconda dell'infrastruttura.

Fase 3 — Documentazione e governance (2-4 settimane). Produciamo la documentazione richiesta: politiche di gestione del rischio, procedure di notifica incidenti, registro dei trattamenti dei fornitori, piano di formazione dei dipendenti, e procedura di disaster recovery. Costo: 3.000-8.000 euro.

Il costo totale per una PMI media (50-100 dipendenti) varia tra 10.000 e 30.000 euro nel primo anno. E un investimento, ma paragonato alla sanzione massima di 7-10 milioni di euro e al costo medio di un attacco ransomware in Italia (115.000 euro secondo il rapporto Clusit 2024), e un'assicurazione ragionevole.

Hai dubbi sulla NIS2 per la tua azienda? Prenota un assessment gratuito: verifichiamo se sei incluso e ti proponiamo un piano di adeguamento concreto.

Costi stimati per l'adeguamento NIS2 per PMI

Assessment iniziale: 500-3.000 euro

Il gap assessment verifica la postura di sicurezza attuale e identifica le lacune rispetto ai requisiti NIS2. Per PMI piccole con infrastruttura semplice: 500-1.000 euro. Per PMI medie con sistemi piu complessi: 1.500-3.000 euro.

Misure tecniche di base: 5.000-25.000 euro

Implementazione MFA: 2.000-8.000 euro. Penetration test: 3.000-10.000 euro. Backup e disaster recovery strutturato: 2.000-10.000 euro. SIEM e monitoraggio eventi: 3.000-15.000 euro/anno. Le misure si sovrappongono e il costo totale e inferiore alla somma delle singole voci.

Formazione dipendenti: 1.000-5.000 euro

La formazione sulla sicurezza informatica per tutti i dipendenti e obbligatoria nella NIS2. Include: riconoscimento phishing, gestione password sicura, procedure di segnalazione incidenti, e regole per l'uso di dispositivi personali. Piattaforme di security awareness training costano 3-8 euro/dipendente/anno.

Consulenza e documentazione: 3.000-10.000 euro

La produzione delle policy, delle procedure e dei registri richiesti dalla NIS2 richiede competenza specifica. Un consulente specializzato costa 500-1.000 euro/giorno. La documentazione completa per una PMI media richiede 5-10 giorni di lavoro.

Costo totale stimato per una PMI media

Per una PMI di 50-100 dipendenti con infrastruttura IT standard: 10.000-40.000 euro nel primo anno. I costi ricorrenti negli anni successivi si riducono a 3.000-10.000 euro/anno per manutenzione, aggiornamenti e formazione.

Sanzioni NIS2 in Italia

Soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato globale

Per le aziende classificate come soggetti essenziali (settori Allegato I), le sanzioni massime sono le piu alte della normativa cybersecurity europea. L'ACN puo anche sospendere temporaneamente certificazioni o autorizzazioni.

Soggetti importanti: fino a 7 milioni di euro o 1,4% del fatturato globale

Per i soggetti importanti (settori Allegato II), le sanzioni sono leggermente inferiori ma comunque significative. Per una PMI con 15 milioni di euro di fatturato, la sanzione massima e 210.000 euro (1,4% del fatturato).

Responsabilita personale del management

La novita piu rilevante: la NIS2 prevede responsabilita personale per i vertici aziendali che non hanno adottato misure adeguate. Il titolare, il CDA o l'amministratore delegato possono essere sanzionati direttamente. Questo rende l'adeguamento NIS2 una priorita per il management, non solo per l'IT.

Come iniziare: i primi 5 passi per la conformita NIS2

1. Verifica se la tua azienda rientra nel perimetro NIS2 (settore + soglie dimensionali).
2. Conduci un gap assessment sulla tua postura di sicurezza attuale.
3. Implementa le misure tecniche urgenti: MFA per tutti gli accessi critici, backup testato, e patch management.
4. Produci la documentazione minima: policy di gestione del rischio, procedura di notifica incidenti, registro dei fornitori.
5. Forma i dipendenti sulla sicurezza informatica e registra le sessioni formative.

Non rimandare: l'adeguamento richiede mesi di lavoro e l'ACN ha gia iniziato le verifiche. Inizia dal gap assessment per capire dove sei e quanto tempo ti serve.

Errori piu comuni nell'adeguamento NIS2

Pensare che "non mi riguarda" senza verificare. Molte PMI manifatturiere, alimentari e logistiche rientrano nella NIS2 senza saperlo. Il perimetro e molto piu ampio della NIS1. Verifica sempre.

Comprare tecnologia senza governance. Installare un firewall avanzato senza avere policy documentate, senza formazione dei dipendenti e senza procedure di incident response non rende conformi alla NIS2. La direttiva richiede un approccio organizzativo, non solo tecnologico.

Ignorare la supply chain. Anche se la tua azienda non rientra direttamente, i tuoi clienti soggetti NIS2 possono richiederti attestazioni di conformita. Essere preparati diventa un vantaggio competitivo.

Affidare tutto all'IT senza coinvolgere il management. La NIS2 prevede responsabilita personale dei vertici aziendali. Il management deve approvare le policy e ricevere formazione. Non e delegabile all'ufficio IT.

Per approfondire la protezione dei dati connessa alla NIS2, leggi anche la nostra panoramica sulle misure di cybersecurity per PMI e l'articolo sugli incentivi fiscali per la digitalizzazione delle PMI 2026 che include i crediti Transizione 5.0 per i progetti di sicurezza informatica.

Conclusione

La NIS2 e la normativa cybersecurity piu impattante per le PMI italiane degli ultimi anni. Se la tua azienda rientra nel perimetro, l'adeguamento non e opzionale. Il costo medio per una PMI e tra 10.000 e 40.000 euro nel primo anno, una frazione della sanzione massima e del costo medio di un incidente informatico. Inizia dal gap assessment per capire dove sei.

Non sai se la tua azienda rientra nella NIS2? Prenota un assessment gratuito: analizziamo la tua situazione e ti proponiamo un piano di adeguamento concreto con tempi e costi chiari.

Domande Frequenti

La mia PMI deve rispettare la NIS2?

Dipende da settore e dimensioni. Se hai piu di 50 dipendenti o fatturi piu di 10 milioni di euro, e operi in energia, sanita, trasporti, manifattura avanzata, digitale o altri settori elencati negli allegati I e II, sei incluso. Anche le PMI fuori perimetro possono essere coinvolte come fornitrici di soggetti NIS2.

Quali sono le sanzioni per la mancata conformita NIS2?

Per soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato globale. Per soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato. La NIS2 prevede anche responsabilita personale per i vertici aziendali.

Cosa devo implementare concretamente per essere conforme NIS2?

Policy di gestione del rischio documentate, MFA per accessi critici, gestione vulnerabilita, backup testati e disaster recovery, formazione del personale, procedure di notifica incidenti e valutazione sicurezza dei fornitori. Non e solo tecnologia: serve documentazione e governance.

Quanto costa adeguarsi alla NIS2 per una PMI di 50 persone?

Stima per il primo anno: gap assessment 1.000-2.000 euro, MFA e gestione accessi 3.000-6.000 euro, backup e disaster recovery 3.000-8.000 euro, formazione 1.500-3.000 euro, consulenza e documentazione 2.000-5.000 euro. Totale: 10.000-25.000 euro.

La NIS2 richiede una certificazione specifica?

No, non obbliga a ISO 27001 per la maggior parte dei soggetti. Ma avere ISO 27001 dimostra all'ACN un sistema di gestione della sicurezza strutturato e riduce il rischio sanzionatorio. La documentazione del processo di gestione del rischio e comunque obbligatoria.

Entro quando devo adeguarmi alla NIS2?

Il D.Lgs. 138/2024 e in vigore da ottobre 2024. Le registrazioni ACN sono iniziate nel 2025. Non aspettare l'ultima scadenza: l'adeguamento completo richiede 3-6 mesi di lavoro. Inizia con un gap assessment per definire tempi e priorita.