Quando si parla di NIS2, molti imprenditori italiani pensano automaticamente alle grandi aziende, alle banche, alle infrastrutture critiche. E invece no. La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, ha allargato enormemente il perimetro dei soggetti obbligati, coinvolgendo migliaia di piccole e medie imprese che fino a ieri non si preoccupavano di compliance sulla cybersicurezza.
La domanda che sento piu spesso dai titolari di PMI e sempre la stessa: "Ma davvero riguarda anche me?" La risposta, nella maggior parte dei casi, e si. Le sanzioni arrivano fino al 2% del fatturato annuo mondiale. Non esattamente spiccioli per una media impresa italiana.
Quali PMI rientrano nel perimetro NIS2
Il criterio dimensionale e il primo filtro. Se la tua azienda ha piu di 50 dipendenti oppure un fatturato superiore a 10 milioni di euro, sei potenzialmente nel perimetro. Ma il criterio dimensionale da solo non basta — serve che l'azienda operi in uno dei 18 settori individuati dalla normativa.
- Medie imprese: 50-249 dipendenti OPPURE fatturato tra 10 e 50 milioni di euro
- Grandi imprese: 250+ dipendenti OPPURE fatturato superiore a 50 milioni
- Eccezione micro/piccole: provider DNS, registri TLD, cloud e data center rientrano anche sotto soglia
- Gruppi societari: i criteri si valutano a livello consolidato
I settori che coinvolgono le PMI italiane
Non tutte le PMI sono uguali davanti alla NIS2. Un'azienda manifatturiera con 80 dipendenti che produce componenti per l'automotive rientra come "soggetto importante". Un'agenzia di comunicazione con 60 persone, probabilmente no. I settori rilevanti includono manifattura di dispositivi medici, elettronica, macchinari, autoveicoli, chimico, alimentare, gestione rifiuti e servizi postali.
Gli obblighi concreti per le PMI
Per una PMI, la NIS2 non richiede di diventare Fort Knox. Richiede pero di passare da un approccio "speriamo che non succeda nulla" a uno strutturato e documentato. Il salto culturale, per molte aziende italiane, e tutt'altro che banale.
- Registrazione ACN — iscriversi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale
- Nomina punto di contatto — designare un referente per le comunicazioni con l'ACN
- Risk assessment — valutazione formale dei rischi informatici, documentata e aggiornata
- Misure di sicurezza — protezioni tecniche e organizzative proporzionate al rischio
- Gestione incidenti — procedure per rilevare, contenere e notificare gli incidenti
- Formazione — il management deve seguire formazione specifica in cybersicurezza
- Supply chain — valutare e monitorare la sicurezza dei fornitori critici
Budget realistico: quanto costa adeguarsi
Il grande spauracchio per le PMI e sempre il budget. Ma l'adeguamento NIS2 per una PMI non richiede necessariamente cifre a sei zeri. Ecco una stima realistica basata sulla dimensione aziendale.
| Dimensione | Budget stimato | Include |
|---|---|---|
| 50-100 dip. | 15.000-40.000 EUR | Risk assessment, policy, formazione base |
| 100-150 dip. | 40.000-80.000 EUR | Precedente + SOC esterno, incident response |
| 150-250 dip. | 80.000-150.000 EUR | Precedente + SIEM, pentest, consulenza |
Il costo dell'adeguamento e quasi sempre inferiore al costo di una sanzione o, peggio ancora, di un attacco ransomware che blocca la produzione per settimane. Una PMI manifatturiera di Brescia ha recentemente stimato in 2,3 milioni di euro il danno di un fermo produttivo di 12 giorni causato da un ransomware. L'adeguamento NIS2 le sarebbe costato circa 60.000 euro.
Strategia pratica in 4 fasi
Fase 1 (mese 1-2): Capire dove sei. Mappa sistemi informatici, dati trattati, fornitori con accesso ai tuoi sistemi. Spesso basta guardare con occhi critici per scoprire che meta dei dipendenti usa la stessa password per tutto.
Fase 2 (mese 2-3): Prioritizzare. MFA costa quasi zero e blocca l'80% degli attacchi basati su credenziali rubate. Un backup testato ti salva dal ransomware. La formazione base riduce il rischio phishing. Queste tre cose coprono una fetta enorme del rischio.
Fase 3 (mese 3-6): Documentare. La NIS2 vuole che le cose siano scritte. Non basta avere un firewall — serve una policy che dice perche c'e, chi lo gestisce, come viene aggiornato. Il risk assessment deve essere un documento formale. Il piano incidenti deve essere scritto, condiviso e testato.
Fase 4 (continuo): Mantenere. L'adeguamento non e un progetto con una fine. Risk assessment rivisto annualmente, formazione ripetuta, test di sicurezza rifatti. Budget annuale di mantenimento: 20-30% dell'investimento iniziale.
Errori comuni delle PMI
- Delegare tutto all'IT — la governance e responsabilita del CdA, non del reparto tecnico
- Comprare tecnologia senza strategia — un SIEM e inutile se nessuno lo monitora
- Ignorare la supply chain — i fornitori sono l'anello debole
- Trattare la compliance come progetto una tantum — la NIS2 richiede manutenzione continua
- Aspettare le ispezioni — meglio essere pronti prima che l'ACN bussi alla porta
Incentivi e agevolazioni disponibili
Esistono agevolazioni per le PMI che investono in cybersecurity. Il Piano Nazionale per la Cybersicurezza prevede fondi specifici. Alcune Regioni hanno bandi per la digitalizzazione sicura. Il credito d'imposta per innovazione tecnologica puo coprire parte degli investimenti. Merita un'analisi prima di pianificare il budget.
La NIS2 puo sembrare un fardello, ma e un'opportunita. Le aziende che si adeguano prima partecipano a gare che richiedono standard elevati, attraggono clienti esigenti e, soprattutto, sono protette contro le minacce informatiche che ogni anno costano miliardi alle imprese italiane.