Il 2026 è l’anno in cui le scadenze normative IT si accavallano: misure base NIS2 entro l’autunno, DORA pienamente operativo, obblighi AI Act ad agosto, ispezioni del Garante, e i nuovi incentivi sulla digitalizzazione. Il problema per una PMI non è il singolo regolamento: è la vista d’insieme. Questa guida mette in fila chi è soggetto a cosa e — soprattutto — come gli strumenti Microsoft che probabilmente hai già aiutano a essere conforme.
ℹ️ Disclaimer: contenuto informativo aggiornato a giugno 2026, non sostituisce una consulenza legale, fiscale o assicurativa. Le scadenze e i testi normativi possono cambiare: verifica sempre le fonti ufficiali.
La domanda giusta: a cosa sono soggetto?
Non tutte le norme valgono per tutti. Ecco la sintesi.
NIS2 (cybersicurezza) — D.lgs 138/2024
- Chi: soggetti “essenziali” e “importanti” in settori critici (energia, trasporti, sanità, fornitori digitali, manifattura di prodotti critici, ecc.) sopra certe soglie dimensionali. Molte PMI non sono soggette direttamente — ma lo sono come fornitrici di chi lo è (vedi NIS2 ed effetto filiera).
- Cosa: registrazione sulla piattaforma ACN, misure di gestione del rischio, notifica incidenti (early warning 24h, notifica 72h), responsabilità degli organi direttivi.
- Quando: l’elenco dei soggetti è stato definito; le misure di sicurezza di base vanno adottate progressivamente nel 2026.
- Approfondimento: guida operativa NIS2 e cosa rischia chi è in ritardo.
DORA (resilienza operativa digitale)
- Chi: entità finanziarie (banche, assicurazioni, SIM…) e i loro fornitori ICT (software house, MSP, SaaS). Se servi un cliente finance, DORA ti riguarda di riflesso.
- Cosa: gestione del rischio ICT, test di resilienza, registro dei fornitori, clausole contrattuali obbligatorie, gestione incidenti.
- Quando: applicabile dal 17 gennaio 2025; il 2026 è l’anno dei controlli e dell’allineamento della filiera.
AI Act (intelligenza artificiale)
- Chi: chi sviluppa o usa sistemi di IA (anche Copilot e agenti) in azienda, con obblighi proporzionati al rischio.
- Cosa: divieti sulle pratiche vietate (già in vigore), trasparenza, obblighi per i sistemi ad alto rischio.
- Quando: applicazione scaglionata, con tappe rilevanti nel 2026. In Italia si aggiunge la Legge 132/2025 sull’IA (incluso l’obbligo di trasparenza verso il cliente sull’uso dell’IA in alcune professioni). Approfondisci: AI Act e scadenze 2026 e l’enforcement in Italia.
GDPR (protezione dati) — sempre attivo
- Chi: tutti. Nel 2026 il Garante mantiene l’attenzione su data breach, marketing, e uso dell’IA sui dati personali.
- Cosa: base giuridica, misure tecniche e organizzative, notifica violazioni 72h, registro trattamenti.
Conservazione digitale a norma (AgID)
- Chi: chi ha obblighi di conservazione (es. fatture elettroniche): anche i privati quando la legge lo impone.
- Cosa: conservazione a norma ≠ semplice backup; serve un processo conforme alle Linee Guida AgID.
Il filo conduttore: gli stessi controlli soddisfano più norme
La buona notizia: NIS2, DORA, GDPR e cyber insurance chiedono in gran parte gli stessi controlli di base. Implementarli una volta copre più fronti:
- Identità e accessi → MFA, accessi condizionali, privilegio minimo con Microsoft Entra ID. È il primo requisito di NIS2 e delle polizze cyber.
- Protezione endpoint e email → Microsoft Defender (EDR/XDR, anti-phishing).
- Gestione e patch dei dispositivi → Microsoft Intune.
- Protezione e classificazione dei dati → Microsoft Purview (sensitivity labels, DLP) per GDPR/NIS2.
- Backup e continuità → backup M365 + disaster recovery con RPO/RTO definiti.
- Logging e rilevamento → Microsoft Sentinel per chi ha bisogno di un SIEM/SOC.
- Residenza dei dati → EU Data Boundary e, dove serve, Microsoft Cloud for Sovereignty.
Un buon indicatore di sintesi è il Microsoft Secure Score: è anche il “proof-of-controls” che assicuratori e auditor chiedono.
Da dove partire (in pratica)
- Capisci il perimetro: sei soggetto diretto, fornitore, o “solo” GDPR? Spesso le PMI scoprono di esserlo come fornitrici.
- Fai un assessment: confronta i controlli attuali con quelli richiesti con il tool NIS2 self-assessment gratuito (12 domande, punteggio e gap per area).
- Chiudi i gap prioritari: MFA, EDR, backup off-line, gestione patch, formazione del personale.
- Documenta: policy, registro fornitori, piano di risposta agli incidenti.
Come ti aiutiamo
SynSphere accompagna le PMI nell’adeguamento tecnico: mappa dei controlli, hardening dello stack Microsoft e monitoraggio continuo come parte dell’assistenza cybersecurity gestita. Richiedi un assessment di compliance o approfondisci con il percorso formativo Security.