NIS2: Sei in Regola? Dal 1° Gennaio Rischi Grosso (Anche Se Non Lo Sai)
La nuova direttiva europea sulla cybersecurity è già in vigore. Coinvolge oltre 20.000 aziende italiane. E forse anche la tua.
La Brutta Notizia? È Già Partita
Se gestisci un'azienda e il termine "NIS2" non ti dice nulla, abbiamo un problema. Dal 1° gennaio 2026 è scattato l'obbligo di notifica degli incidenti informatici per tutte le organizzazioni coinvolte dalla Direttiva NIS2. Entro ottobre 2026 dovranno essere implementate tutte le misure di sicurezza richieste. Non stiamo parlando di linee guida. Stiamo parlando di legge. Con sanzioni che arrivano fino a 10 milioni di euro o al 2% del fatturato globale. E la parte peggiore? Molti imprenditori non sanno nemmeno di essere coinvolti.
Cos'è la NIS2 (Spiegata Semplice)
NIS2 sta per Network and Information Security 2. È una direttiva europea sulla cybersecurity, recepita in Italia con il D.Lgs. 138/2024 ed entrata in vigore il 16 ottobre 2024. Il messaggio che arriva da Bruxelles è chiaro: se la tua azienda opera in determinati settori strategici o supera certe soglie dimensionali, devi dotarti di misure di sicurezza informatica serie, documentate e verificabili. Non è più una scelta, è un obbligo.
L'Agenzia per la Cybersicurezza Nazionale (ACN), autorità competente per l'attuazione della direttiva in Italia, ha già identificato oltre 20.000 organizzazioni che rientrano nel perimetro. Di queste, più di 5.000 sono classificate come "soggetti essenziali", ovvero realtà il cui malfunzionamento avrebbe impatti gravi sulla sicurezza nazionale e sull'economia.
Chi È Coinvolto? Probabilmente Più Aziende di Quanto Pensi
La NIS2 amplia significativamente il campo di applicazione rispetto alla precedente direttiva, estendendosi a 18 settori suddivisi in due categorie.
I settori altamente critici comprendono energia (elettricità, gas, petrolio), trasporti (aereo, ferroviario, marittimo, stradale), banche e mercati finanziari, sanità, acqua potabile e acque reflue, infrastrutture digitali come cloud e data center, Pubblica Amministrazione e persino il settore spaziale. Le aziende che operano in questi ambiti sono classificate come "soggetti essenziali" e sottostanno ai requisiti più stringenti.
Gli altri settori critici includono invece servizi postali e corrieri, gestione rifiuti, chimica, alimentare, manifattura (dispositivi medici, elettronica, macchinari, automotive), fornitori di servizi digitali e organizzazioni di ricerca. Chi opera qui rientra tra i "soggetti importanti".
Ma c'è un aspetto che molti ignorano: l'effetto supply chain. Quando un'azienda rientra nel perimetro NIS2, è obbligata a verificare la sicurezza della propria catena di fornitura. In pratica, se sei una PMI che lavora per un cliente soggetto alla normativa, quel cliente ti chiederà di dimostrare che la tua azienda è "sicura". Questionari di sicurezza, audit, certificazioni, requisiti minimi da soddisfare. Se non li rispetti, rischi di perdere il contratto.
Nel 2026 molte piccole e medie imprese stanno già ricevendo richieste di adeguamento da clienti, grandi aziende e Pubbliche Amministrazioni, anche senza essere direttamente nel perimetro della direttiva.
Cosa Devi Fare Concretamente
La NIS2 non chiede genericamente di "fare attenzione alla sicurezza". Richiede misure specifiche, documentate e verificabili, definite dalla Determinazione ACN 164179/2025 che stabilisce le specifiche di base per l'adempimento degli obblighi.
Il primo pilastro è la governance. La sicurezza informatica non è più solo "roba dell'IT": diventa responsabilità diretta del management. Gli organi di amministrazione devono approvare le misure di sicurezza, supervisionarne l'implementazione e — novità significativa — ricevere formazione specifica sui rischi cyber. Il vertice aziendale non può più delegare completamente e disinteressarsi.
Il secondo pilastro riguarda la gestione del rischio. Ogni organizzazione deve identificare, valutare e documentare i propri rischi informatici. Quali dati sono critici? Quali sistemi devono restare operativi in caso di incidente? Dove sono i punti deboli? Non basta saperlo a memoria: deve essere scritto, formalizzato e periodicamente aggiornato.
Il terzo pilastro è la notifica degli incidenti, già operativa dal 1° gennaio 2026. In caso di incidente significativo — un attacco ransomware, una violazione di dati, una compromissione dei sistemi — l'azienda deve inviare una preallerta al CSIRT Italia entro 24 ore, seguita da una notifica completa entro 72 ore e da una relazione finale dettagliata entro un mese. Se non hai un piano di risposta agli incidenti strutturato, sei già tecnicamente fuori norma.
Il quarto pilastro comprende le misure tecniche di sicurezza da implementare entro ottobre 2026: policy di gestione password e accessi, backup regolari e testati, procedure di business continuity, controllo della supply chain, formazione del personale, sistemi di monitoraggio e rilevamento delle minacce. Per i soggetti importanti si tratta di 37 misure e 87 requisiti; per i soggetti essenziali si arriva a 43 misure e 116 requisiti.
Le Sanzioni: Non È Uno Scherzo
La NIS2 introduce un regime sanzionatorio decisamente più severo rispetto alla normativa precedente, pensato per essere realmente dissuasivo.
Sul fronte economico, i soggetti essenziali rischiano multe fino a 10 milioni di euro o al 2% del fatturato mondiale annuo (si applica l'importo maggiore). Per i soggetti importanti le cifre scendono a 7 milioni di euro o all'1,4% del fatturato globale. Numeri che possono mettere in ginocchio anche aziende strutturate.
Ma le sanzioni pecuniarie sono solo una parte del problema. L'ACN può disporre la sospensione di certificazioni e autorizzazioni, bloccando di fatto parte o tutti i servizi dell'azienda finché non si adegua. Ancora più rilevante è la responsabilità personale dei dirigenti: i vertici aziendali possono essere temporaneamente sospesi dalle funzioni direttive in caso di inadempienza grave. Infine, le violazioni possono essere rese pubbliche, con conseguente danno reputazionale.
In sintesi: se non ti adegui, rischi di non poter più operare, e i tuoi amministratori rischiano la poltrona.
Le Scadenze da Segnare sul Calendario
Il percorso di adeguamento è già ampiamente avviato. La registrazione sulla piattaforma ACN doveva avvenire entro febbraio 2025, e ad aprile l'Agenzia ha comunicato alle organizzazioni il loro inserimento nell'elenco dei soggetti NIS. A maggio 2025 andava designato il Punto di Contatto aziendale.
Dal 1° gennaio 2026 è attivo l'obbligo di notifica degli incidenti significativi. Entro ottobre 2026 tutte le misure di sicurezza previste dalla normativa dovranno essere implementate e operative.
Se la tua azienda doveva registrarsi e non l'ha fatto, hai già un problema da risolvere con urgenza.
"Ma Io Sono una PMI, Non Mi Riguarda"
Questa è una delle obiezioni più frequenti, ed è quasi sempre sbagliata.
Innanzitutto, potresti rientrare direttamente nel perimetro senza saperlo. La NIS2 si applica alle medie imprese (50-250 dipendenti, fatturato tra 10 e 50 milioni di euro) e alle grandi imprese che operano nei settori indicati. Se hai un'azienda manifatturiera con 60 dipendenti, potresti essere dentro.
In secondo luogo, c'è l'effetto supply chain già descritto: i tuoi clienti soggetti alla NIS2 ti chiederanno garanzie sulla tua sicurezza informatica. Se non sei in grado di fornirle, perderai contratti.
Infine, c'è una questione di puro buon senso imprenditoriale. Indipendentemente dalla normativa, il 43% degli attacchi informatici colpisce le PMI, con un costo medio di circa 59.000 euro per incidente che può arrivare a 300.000 euro nei casi più gravi. La NIS2 non è burocrazia fine a sé stessa: è un framework strutturato per proteggerti quando — non se — arriverà il tuo turno.
Da Dove Iniziare
Se sei preoccupato, e a questo punto dovresti esserlo, ecco i primi passi da compiere.
Prima di tutto, verifica se sei nel perimetro controllando settore di attività e dimensioni aziendali. In caso di dubbio, consulta un esperto o verifica direttamente sul portale ACN. Poi fai un assessment dello stato attuale della tua sicurezza informatica per capire dove sei vulnerabile e cosa manca.
Nomina un responsabile della cybersecurity: la materia deve avere un owner chiaro, interno o esterno (esistono servizi di Virtual CISO per chi non può permettersi una figura dedicata). Documenta tutto — policy, procedure, piani di risposta — perché nella logica NIS2 ciò che non è scritto non esiste.
Forma il personale: il 58% dei dipendenti non riconosce un'email di phishing, e la formazione non è più opzionale. Prepara un piano di gestione degli incidenti che risponda alle domande fondamentali: cosa fai se domani trovi i sistemi bloccati? Chi chiami? Come comunichi? Quanto tempo hai per ripartire?
Infine, testa i backup. Averli non basta: devi essere sicuro che funzionino. Quando è stata l'ultima volta che hai fatto un restore test completo?
La NIS2 Non È un Costo. È un Investimento.
Sì, adeguarsi richiede tempo e risorse. Ma considera l'alternativa: un attacco ransomware che blocca l'azienda per settimane, una multa da milioni di euro, la perdita di clienti che non si fidano più, dirigenti sospesi dalle funzioni.
La NIS2 ti obbliga a fare quello che avresti già dovuto fare: proteggere il tuo business in modo strutturato. Le aziende che si adeguano non solo evitano sanzioni, ma guadagnano un vantaggio competitivo concreto. Diventano partner affidabili agli occhi di clienti e fornitori, riducono i rischi operativi, costruiscono quella fiducia digitale che nel 2026 è diventata un asset strategico.
In Conclusione
La NIS2 è già realtà. Dal 1° gennaio 2026 gli obblighi di notifica sono attivi, ed entro ottobre devi essere completamente a norma.
Se non sai se sei coinvolto, scoprilo subito. Se sei coinvolto e non hai fatto nulla, muoviti ora. Se pensi che non ti riguardi perché sei "piccolo", ripensaci: la supply chain non perdona, e nemmeno i cybercriminali.
La cybersecurity non è più un optional. È un requisito per restare sul mercato.
Il treno è partito. Sei a bordo?
