Per prepararsi alla NIS2 nel 2026, le PMI italiane devono seguire 8 passi: (1) verificare se si rientra nel perimetro NIS2, (2) mappare gli asset digitali, (3) condurre una valutazione del rischio, (4) implementare le misure di sicurezza minime, (5) definire le procedure per la gestione degli incidenti, (6) formare il personale e il management, (7) gestire la sicurezza della supply chain, (8) registrarsi sulla piattaforma ACN. La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, è entrata in vigore nella sua forma definitiva: i soggetti che non si adeguano rischiano sanzioni fino al 2% del fatturato annuo mondiale per i soggetti essenziali e fino all'1,4% per i soggetti importanti.
Chi è soggetto alla NIS2 in Italia: il perimetro per le PMI
La NIS2 non si applica indistintamente a tutte le imprese. Il primo filtro è dimensionale, il secondo settoriale. Le microimprese (meno di 10 dipendenti e fatturato inferiore a 2 milioni di euro) e le piccole imprese (meno di 50 dipendenti e fatturato inferiore a 10 milioni di euro) sono generalmente escluse — salvo che operino in infrastrutture critiche o in settori specifici come DNS, TLD, cloud e data center, dove le soglie non si applicano.
| Settore | Classificazione | Esempi di soggetti |
|---|---|---|
| Energia (elettricità, gas, petrolio, teleriscaldamento, idrogeno) | Essenziale | Operatori di rete, distributori, fornitori |
| Trasporti (aereo, ferroviario, marittimo, stradale) | Essenziale | Aeroporti, porti, gestori infrastrutture |
| Settore bancario e infrastrutture finanziarie | Essenziale | Banche, sedi di negoziazione, CCP |
| Sanità (ospedali, laboratori, R&S, farmaceutica) | Essenziale | Ospedali, produttori di dispositivi medici critici |
| Acqua potabile e acque reflue | Essenziale | Gestori reti idriche |
| Infrastrutture digitali e ICT (cloud, CDN, DNS, TLD) | Essenziale | Cloud provider, registri TLD, IXP |
| Pubblica amministrazione (centrale e regionale) | Essenziale | Ministeri, enti regionali |
| Spazio | Essenziale | Operatori infrastrutture spaziali terrestri |
| Servizi postali e corrieri | Importante | Operatori postali, corrieri espressi |
| Gestione rifiuti | Importante | Raccolta, trattamento, smaltimento rifiuti |
| Chimica (produzione, fabbricazione, distribuzione) | Importante | Produttori sostanze chimiche pericolose |
| Alimentare (produzione, trasformazione, distribuzione) | Importante | Produttori e trasformatori con >50 dip. |
| Manifattura (medici, elettronica, macchinari, autoveicoli) | Importante | Produttori dispositivi medici, semiconduttori |
| Fornitori digitali (marketplace, motori ricerca, social) | Importante | Grandi piattaforme online |
| Ricerca | Importante | Organizzazioni di ricerca |
Passo 1 — Verificare se si è soggetti alla NIS2
Il punto di partenza è una verifica formale del perimetro. Controlla: (a) i criteri dimensionali (dipendenti e fatturato), (b) il settore di attività rispetto agli allegati I e II del D.Lgs. 138/2024, (c) se l'azienda fa parte di un gruppo con soglie consolidate, (d) se opera in infrastrutture critiche indipendentemente dalla dimensione. L'ACN (Agenzia per la Cybersicurezza Nazionale) ha pubblicato una procedura di autovalutazione sulla propria piattaforma.
Passo 2 — Mappare gli asset digitali
Prima di valutare i rischi, è necessario sapere cosa si possiede. La mappatura degli asset include: hardware (server, workstation, dispositivi IoT, apparati di rete), software (applicazioni gestionali, ERP, sistemi OT/SCADA se presenti), dati (classificati per criticità e localizzazione), servizi cloud e connessioni esterne, e accessi di terze parti (fornitori con accesso ai sistemi). Senza questa mappa, qualsiasi valutazione del rischio è incompleta.
Passo 3 — Condurre la valutazione del rischio
Il D.Lgs. 138/2024 richiede una valutazione formale e documentata del rischio, aggiornata periodicamente. Non basta una valutazione informale: deve identificare le minacce rilevanti (ransomware, phishing, accessi non autorizzati, guasti), valutare la probabilità e l'impatto, e definire i rischi residui accettabili. Framework di riferimento utili: ISO 27005, NIST SP 800-30, ENISA guidelines. Consulta anche la nostra guida al risk assessment per la cybersecurity.
Passo 4 — Implementare le misure di sicurezza minime
L'articolo 24 del D.Lgs. 138/2024 elenca le misure di sicurezza obbligatorie. Per le PMI, le priorità pratiche sono: autenticazione multi-fattore (MFA) su tutti gli accessi critici, backup testati e segregati (idealmente offline o in cloud separato), patch management strutturato, segmentazione della rete, cifratura dei dati sensibili, e monitoraggio degli accessi. Le misure devono essere proporzionate al rischio — una PMI manifatturiera con 60 dipendenti non ha le stesse esigenze di un operatore di infrastrutture critiche. Approfondisci le misure di sicurezza minime NIS2 per il 2026.
Passo 5 — Definire le procedure per la gestione degli incidenti
La NIS2 impone tempi di notifica molto stringenti: entro 24 ore dalla rilevazione, pre-notifica al CSIRT Italia (il team di risposta agli incidenti informatici nazionale); entro 72 ore, notifica completa; entro un mese, relazione finale. Per rispettare questi tempi, le procedure devono essere definite prima che si verifichi un incidente — non durante. Il piano deve includere: chi notifica (punto di contatto designato), a chi notificare (CSIRT e ACN), quali informazioni raccogliere, come contenere l'incidente, come comunicare internamente ed esternamente. Vedi anche il nostro articolo sul piano di risposta agli incidenti NIS2.
Passo 6 — Formare il personale e il management
La NIS2 prevede un obbligo esplicito di formazione per gli organi di amministrazione e direzione — non solo per il personale tecnico. Il management deve comprendere i rischi cyber, approvare le politiche di sicurezza e supervisionarne l'attuazione. Per il personale, la formazione deve coprire almeno: riconoscimento del phishing, uso sicuro delle credenziali, procedure in caso di incidente, e uso responsabile dei dispositivi aziendali. La formazione va documentata e ripetuta almeno annualmente. Approfondisci la formazione cybersecurity per i dipendenti.
Passo 7 — Gestire la sicurezza della supply chain
L'articolo 26 del D.Lgs. 138/2024 richiede che i soggetti NIS2 valutino i rischi legati alla catena di fornitura. In pratica: identificare i fornitori con accesso ai sistemi informatici, valutarne il livello di sicurezza (questionari, certificazioni, audit), includere clausole contrattuali sulla sicurezza, e monitorare nel tempo. I fornitori che non riescono a dimostrare un livello adeguato di sicurezza rappresentano un rischio concreto — e la responsabilità ricade anche sull'azienda cliente.
Passo 8 — Registrarsi sulla piattaforma ACN
La registrazione sul portale dell'ACN è obbligatoria per i soggetti NIS2. Nella procedura di registrazione, l'azienda dichiara il proprio settore, la propria classificazione (essenziale o importante) e designa un punto di contatto per le comunicazioni con l'Autorità. La registrazione è il presupposto per ricevere comunicazioni ufficiali, accedere alle linee guida e partecipare agli esercizi di simulazione proposti dall'ACN. Dettagli pratici nella nostra guida alla registrazione sulla piattaforma ACN.
Sanzioni NIS2: cosa rischiano le PMI
Le sanzioni previste dal D.Lgs. 138/2024 sono significative. Per i soggetti essenziali: fino a 10.000.000 € o il 2% del fatturato annuo mondiale totale (si applica il maggiore dei due). Per i soggetti importanti: fino a 7.000.000 € o l'1,4% del fatturato annuo mondiale totale. Non vengono inventiate cifre al di là di quanto previsto dalla direttiva: le sanzioni massime indicate corrispondono all'articolo 34 della Direttiva NIS2 (UE 2022/2555), recepita nel D.Lgs. 138/2024. Approfondisci le sanzioni NIS2 per le PMI in Italia nel 2026.