La direttiva NIS2 (UE 2022/2555) è stata recepita in Italia con il D.Lgs 138/2024 entrato in vigore il 16 ottobre 2024. Le PMI italiane in scope hanno avuto un anno (fino al 17 ottobre 2025) per registrarsi presso l’ACN (Agenzia per la Cybersicurezza Nazionale) e devono adempiere progressivamente agli obblighi tecnici e organizzativi nel 2025-2027. Le sanzioni amministrative sono significative (fino a 10 M€ per soggetti essenziali, 7 M€ per soggetti importanti) ma soprattutto comportano responsabilità personale degli amministratori.
Questa guida operativa è la risorsa unica di riferimento per il responsabile compliance (CISO, DPO, IT manager) di una PMI italiana che deve gestire la conformità NIS2 nel 2026. Copre perimetro applicativo, scadenze, art. 21 misure tecniche specifiche, ruoli organizzativi richiesti, rapporto con ACN, sanzioni, audit, sovrapposizione con GDPR. Per la visione di alto livello su timeline e perimetro vedi anche NIS2 timeline e perimetro.
Questa guida è aggiornata a maggio 2026. La normativa NIS2 evolve — verificare ACN per aggiornamenti.
Indice
- Cos’è NIS2 e perché importa
- Chi è in scope NIS2 (perimetro applicativo)
- Scadenze operative 2025-2027
- Art. 21 misure tecniche minime obbligatorie
- Sanzioni e responsabilità personale degli amministratori
- Ruoli organizzativi richiesti
- Rapporto con ACN: registrazione e notifiche
- Sovrapposizione con GDPR e AI Act
- Roadmap di conformità per una PMI italiana
- Checklist NIS2 in 30 punti
Cos’è NIS2 e perché importa
NIS2 (Network and Information Security 2) è la direttiva europea che sostituisce la NIS1 del 2016. Estende drasticamente il perimetro delle entità obbligate alla cyber security: passa da circa 600 aziende italiane (NIS1) a stimati 18.000-25.000 enti (NIS2). Per la prima volta entrano nel perimetro molte PMI italiane mid-market.
Le tre differenze principali rispetto a NIS1:
- Perimetro ampliato: nuovi settori (food, manifattura digitale, gestione rifiuti, servizi postali, ricerca, social media, datacenter, MSP/ICT, ecc.) e soglia dimensionale più bassa (50 dipendenti o 10 M€ fatturato).
- Obblighi tecnici puntuali: l’art. 21 elenca 10 misure tecniche minime specifiche (in NIS1 erano principi generici).
- Sanzioni significative + responsabilità personale: amministratori personalmente responsabili (non solo l’ente).
L’obiettivo politico è rendere l’ecosistema digitale europeo significativamente più resiliente verso attacchi cyber che hanno crescito di 5-7x dal 2018.
Chi è in scope NIS2 (perimetro applicativo)
NIS2 distingue due categorie:
| Categoria | Soglia | Settori |
|---|---|---|
| Soggetti essenziali | Grandi imprese (>250 dipendenti o >50 M€ fatturato) o medie imprese in settori critici | Energy, transport, banking, finanza, healthcare, acqua potabile, scarico acque, infrastrutture digitali, PA, spazio |
| Soggetti importanti | Medie imprese (50-250 dipendenti, 10-50 M€ fatturato) in settori specifici | Servizi postali, gestione rifiuti, manifattura (chimica, farmaceutica, automotive, elettronica), food, providers digitali, ricerca |
Soglia dimensionale chiave per la PMI italiana: 50 dipendenti o 10 M€ fatturato è il cut-off per entrare nello scope (per i settori applicabili). Sotto questa soglia, NIS2 non si applica direttamente — ma può applicarsi indirettamente come fornitore di un’entità in scope (cfr. art. 21 comma 2 lettera d).
Settori inclusi nelle PMI italiane più frequenti:
- Manifattura (chimica, farmaceutica, automotive, elettronica, dispositivi medici, food processing)
- Healthcare privato (case di cura, laboratori analisi, cliniche)
- MSP/system integrator IT (in quanto provider digitali)
- Software house / ISV (se serve clienti in settori critici)
- Food processing (manifattura alimentare, packaging food, distribuzione)
- Gestione rifiuti (raccolta, trasporto, smaltimento)
- Trasporti (logistica, autotrasporti, hub intermodali)
Per autovalutare lo scope: l’ACN ha pubblicato un tool di self-assessment e linee guida settoriali. In caso di dubbio, registrarsi è prudente — il rischio di non-registrarsi mentre in scope è sanzionato.
Scadenze operative 2025-2027
| Scadenza | Obbligo |
|---|---|
| 17 gennaio 2025 | Trasposizione tecnica completa direttiva NIS2 in legge italiana (avvenuta con D.Lgs 138/2024) |
| 17 ottobre 2024 | Entrata in vigore D.Lgs 138/2024 |
| 17 aprile 2025 | Apertura piattaforma ACN per la registrazione dei soggetti in scope |
| 17 ottobre 2025 | Scadenza registrazione presso ACN per soggetti essenziali e importanti già operativi |
| 17 ottobre 2025 | Inizio applicazione obblighi tecnici art. 21 |
| 17 gennaio 2026 | Prima notifica annuale dei dati aggiornati ad ACN |
| 17 ottobre 2026 | Prima audit di compliance ACN potenzialmente attivo |
| 17 ottobre 2027 | Conformità completa di tutti gli obblighi art. 21 atteso a regime |
Il punto chiave operativo: nel 2026 le PMI italiane in scope devono essere già registrate presso ACN e devono avere implementato (o pianificato) le 10 misure art. 21.
Art. 21 misure tecniche minime obbligatorie
L’art. 21 del D.Lgs 138/2024 elenca 10 misure tecniche minime che ogni soggetto in scope deve implementare. Sintesi operativa:
1. Politiche di analisi del rischio e sicurezza informatica
Documento formale che identifica gli asset critici, le minacce rilevanti, le contromisure. Aggiornato almeno annualmente. Per una PMI italiana: documento 10-30 pagine prodotto da CISO interno o consulente esterno. Include: inventario asset (server, endpoint, applicazioni), mappa minacce settoriali, risk matrix probabilità × impatto, contromisure prioritizzate.
2. Gestione degli incidenti
Procedura formale per identificare, contenere, eradicare e ripristinare in caso di incident cyber. Include: piano di response, ruoli (incident commander, comunicazioni, legal, tech response), runbook per scenari tipici, post-mortem documentato. Per una PMI italiana: documento procedurale 5-10 pagine + simulazione (tabletop exercise) annuale.
3. Continuità operativa e gestione delle crisi
Business Continuity Plan + Disaster Recovery Plan formali. Include RTO/RPO per servizi critici, backup immutable, sito alternativo (cloud o secondario), procedura attivazione. Per una PMI italiana: BCP con copertura M365 + ERP + dati produzione, test ripristino annuale documentato. Vedi backup Microsoft 365.
4. Sicurezza della supply chain
Valutazione del rischio cyber dei fornitori critici (MSP IT, cloud provider, vendor software business-critical). Include: clausole contrattuali, audit periodici, gestione end-of-life. Per una PMI italiana: assessment fornitori critici (5-10 vendor principali), questionario security, clausole NIS2 nei nuovi contratti.
5. Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
Security by design nel ciclo di sviluppo software (anche custom interno). Include: secure coding, vulnerability management, gestione patch. Per una PMI italiana: policy patch management documentata, vulnerability scan periodico, secure development se software custom è prodotto internamente.
6. Valutazione dell’efficacia delle misure
Misurare l’efficacia delle contromisure implementate. Include: penetration test, vulnerability assessment, audit security, metriche KPI security. Per una PMI italiana: pen test annuale (esterno), VA trimestrale (interno con tool), report mensile metriche al management.
7. Pratiche di base di igiene cyber e formazione
Formazione cyber per tutti i dipendenti. Include: awareness training, phishing simulation, password management, gestione dispositivi mobile. Per una PMI italiana: training annuale obbligatorio (2-4 ore/dipendente), phishing simulation trimestrale, policy device aziendali documentata.
8. Crittografia e gestione delle chiavi
Crittografia di dati a riposo e in transito. Include: TLS 1.2+ per traffico, encryption disk endpoint, key management. Per una PMI italiana: TLS 1.3 su web + email, BitLocker su tutti gli endpoint Windows, FileVault su Mac, gestione chiavi via M365 / Azure Key Vault.
9. Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
Identity & Access Management formale. Include: MFA, principio least-privilege, joiners-movers-leavers, gestione privileged accounts. Per una PMI italiana: MFA su tutti gli account (obbligatorio admin), Conditional Access (Entra ID P1+), procedura disabilitazione account ex-dipendenti entro 24h. Vedi confronto Entra ID vs Okta.
10. Uso di soluzioni di autenticazione multifattore o di autenticazione continua
MFA mandatory per tutti gli accessi privilegiati e per accessi remoti. Include: phishing-resistant MFA per admin (FIDO2, Authenticator), authentication continua dove possibile. Per una PMI italiana: MFA Microsoft Authenticator (free), FIDO2 token per gli admin, niente SMS-based MFA (vulnerabile a SIM swap).
Sanzioni e responsabilità personale degli amministratori
Le sanzioni amministrative previste dal D.Lgs 138/2024:
| Categoria | Sanzione massima |
|---|---|
| Soggetti essenziali | Fino a 10 M€ o 2% fatturato annuo globale (il maggiore) |
| Soggetti importanti | Fino a 7 M€ o 1.4% fatturato annuo globale (il maggiore) |
| Violazioni informative (mancata notifica) | Fino a 250.000 € |
Aspetto critico: responsabilità personale degli amministratori. L’art. 38 del D.Lgs prevede:
- Sospensione dell’incarico fino a 6 mesi se l’amministratore non implementa le misure NIS2 ripetutamente
- Responsabilità civile personale per danni causati da non-conformità
- Possibili profili di responsabilità penale in caso di dolo o colpa grave nella violazione
Questo è il punto che genera attenzione nei consigli di amministrazione 2025-2026: NIS2 non è più “un problema tecnico dell’IT manager”, è una responsabilità del board.
Ruoli organizzativi richiesti
NIS2 richiede strutturazione organizzativa specifica:
CISO (Chief Information Security Officer)
Figura raccomandata ma non strettamente obbligatoria per PMI. Per soggetti essenziali di dimensioni significative diventa di fatto necessaria. Per PMI italiane medie spesso ruolo “frazionale” o esternalizzato (vCISO). Responsabilità: governance security, reporting al CdA, interfaccia con ACN.
DPO (Data Protection Officer)
Già obbligatorio per molte PMI sotto GDPR. Sotto NIS2 il DPO non sostituisce il CISO ma può lavorare in tandem (GDPR + NIS2 sovrapposti su privacy + security).
Responsabile NIS2 / Contact point ACN
Persona designata come punto di contatto con ACN per registrazione, notifiche, audit. Obbligatorio designarlo all’atto della registrazione presso ACN. Può coincidere con il CISO o essere figura dedicata.
Comitato sicurezza (se applicabile)
Per organizzazioni complesse, comitato multi-funzione (CISO + DPO + Legal + IT + Operations) che si riunisce trimestralmente per governance security. Non strettamente obbligatorio NIS2 ma best practice consolidata.
Rapporto con ACN: registrazione e notifiche
L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità di vigilanza italiana NIS2. Tre interazioni principali con ACN:
Registrazione (one-time)
Da effettuare entro il 17 ottobre 2025 per chi era già in scope al recepimento. Per nuovi soggetti che entrano in scope dopo (es. crescono oltre soglia), registrazione entro 3 mesi dall’evento.
Procedura: piattaforma ACN online, compilazione modulo con dati aziendali + perimetro + responsabile NIS2 + contatto incident response. Conferma in 30-60 giorni.
Notifica incident
Obbligatoria per incident significativi (impatto disservizio servizio essenziale, comprensione dati personali, perdita finanziaria > soglia). Tempistica:
- Early warning: entro 24 ore dalla rilevazione (preavviso senza dettagli)
- Notifica: entro 72 ore (descrizione incident + impatto stimato + mitigation)
- Rapporto finale: entro 1 mese (root cause analysis + lessons learned)
Audit ACN
Audit di compliance NIS2 attivati gradualmente dal 2026. ACN può richiedere:
- Documentazione policy/procedure (art. 21)
- Evidenza implementazione misure (log, configurazioni, training records)
- Audit on-site con campionamento controlli
Best practice: mantenere “evidence file” aggiornato con tutti i documenti richiesti.
Sovrapposizione con GDPR e AI Act
NIS2 non sostituisce GDPR né AI Act, si aggiunge. Convergenza pratica:
| Aspetto | GDPR | NIS2 | AI Act |
|---|---|---|---|
| Ambito | Dati personali | Resilienza cyber | Sistemi AI |
| Autorità | Garante Privacy | ACN | AGID + Garante (futuro AI Office UE) |
| Sanzioni | 20 M€ / 4% fatturato | 10 M€ / 2% fatturato | 35 M€ / 7% fatturato (per AI rischio inaccettabile) |
| Notifica incident | 72h (data breach) | 24h early warning + 72h notifica | Variabile per livello rischio |
| Sovrapposizioni | Trattamenti AI = GDPR + AI Act | Incident AI in azienda = NIS2 + AI Act | Trattamento dati personali in AI = GDPR + AI Act |
Per il responsabile compliance di una PMI italiana, il pattern consolidato è:
- Pacchetto documentale unico che soddisfa tutti e tre (registro trattamenti, policy security, policy AI, registro fornitori, ecc.)
- Audit integrati (un solo audit copre GDPR + NIS2 + AI Act)
- DPO + CISO + responsabile AI possono coincidere o lavorare in stretto coordinamento
Per AI Act vedi guida AI Act 2026.
Roadmap di conformità per una PMI italiana
Per una PMI italiana 80 dipendenti nel settore manifattura (esempio tipico):
| Fase | Tempo | Attività | Costo indicativo |
|---|---|---|---|
| Discovery | 1-2 mesi | Verifica scope NIS2, inventario asset, gap analysis vs art. 21 | 5.000-10.000 € (consulenza esterna) |
| Documentazione | 2-3 mesi | Stesura policy security, procedure incident response, BCP, registro fornitori | 8.000-15.000 € |
| Implementazione tecnica | 6-12 mesi | MFA enforcement, Conditional Access, backup immutable, EDR, patch management, vulnerability scan | 20.000-50.000 € (incl. tooling) |
| Formazione | 2-3 mesi (parallelo) | Training awareness tutti i dipendenti + formazione tecnica IT/security | 3.000-8.000 € |
| Audit pre-conformità | 1 mese | Pen test esterno, audit documentale, validation pre-ACN | 5.000-12.000 € |
| Registrazione ACN + notifica | 1 mese | Registrazione formale, designazione responsabile, primi adempimenti | 2.000-5.000 € |
Costo totale tipico PMI 80 dipendenti: 40.000-100.000 € one-time + 15.000-30.000 €/anno ongoing (tooling, formazione, audit).
Investimento significativo, ma proporzionato alle sanzioni potenziali (fino a 7 M€) e al rischio reale di incident (ransomware medio in PMI italiana = 50-300 k€ tra riscatto, danno operativo, recovery).
Checklist NIS2 in 30 punti
Lista operativa autoverificabile per il responsabile NIS2:
Governance (1-6)
- ☐ Identificazione perimetro NIS2 (soggetto essenziale o importante)
- ☐ Registrazione presso ACN completata
- ☐ Responsabile NIS2 designato e formalizzato
- ☐ Reporting trimestrale al board su stato compliance
- ☐ Documento “Politica di sicurezza” approvato dal CdA
- ☐ Risk assessment formale annuale completato
Identità e accessi (7-12)
- ☐ MFA enforced su tutti gli account utenti
- ☐ MFA phishing-resistant (FIDO2) su admin
- ☐ Conditional Access policy attive (almeno 5 baseline)
- ☐ Procedura joiners-movers-leavers documentata
- ☐ Account dormienti disabilitati ricorrentemente
- ☐ Privileged accounts inventariati e monitorati
Protezione endpoint (13-17)
- ☐ EDR deployato su 100% endpoint (Defender for Business o equivalente)
- ☐ Disk encryption (BitLocker/FileVault) su tutti i device aziendali
- ☐ MDM policy attiva su tutti i device (Intune o equivalente)
- ☐ Patch management policy con SLA documentato (es. critici < 7gg)
- ☐ Vulnerability scan periodico (tipicamente mensile)
Backup e continuità (18-21)
- ☐ Backup immutable di tutti i dati critici (M365 + ERP + file server)
- ☐ RPO e RTO documentati per ogni servizio critico
- ☐ Test di ripristino documentato (almeno annuale)
- ☐ BCP / DRP formalizzato e testato
Incident response (22-25)
- ☐ Piano incident response documentato
- ☐ Tabletop exercise annuale completato
- ☐ Canale notifica ACN configurato (contact point)
- ☐ Runbook per scenari tipici (ransomware, phishing massivo, BEC)
Supply chain (26-28)
- ☐ Inventario fornitori critici (top 10)
- ☐ Clausole NIS2 nei nuovi contratti
- ☐ Questionario security per onboarding nuovi fornitori
Formazione (29-30)
- ☐ Training awareness security annuale completato (100% dipendenti)
- ☐ Phishing simulation trimestrale attiva
Da rivedere ogni 6 mesi. Per una PMI italiana ben strutturata, i 30 punti sono raggiungibili in 12-18 mesi con investment proporzionato.
Per un assessment NIS2 specifico sulla tua organizzazione (gap analysis vs art. 21, roadmap di conformità prioritizzata, business case quantificato), contattaci: valutazione gratuita iniziale, supporto operativo fino a conformità completa.
Vedi anche: NIS2 timeline e perimetro, Cyber security PMI italiane 2026, AI Act PMI italiane.