La direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, non è più “qualcosa che arriverà”: dopo la fase di registrazione dei soggetti sulla piattaforma dell’ACN (Agenzia per la Cybersicurezza Nazionale) e l’avvio graduale degli adempimenti, gli obblighi sono ormai operativi. Per molte PMI italiane è il momento di passare dalla teoria alle misure concrete.
Chi rientra in NIS2
NIS2 amplia molto il perimetro rispetto alla vecchia NIS. Rientrano soggetti essenziali e importanti in numerosi settori (energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, manifattura di prodotti critici, alimentare, servizi ICT gestiti, ecc.) sopra determinate soglie dimensionali (tipicamente media impresa: ≥50 dipendenti o >10 mln € di fatturato), con alcune eccezioni che includono anche soggetti più piccoli se critici.
Punto chiave per le PMI: anche chi non rientra direttamente è spesso coinvolto lungo la catena di fornitura — i soggetti NIS2 devono gestire il rischio dei propri fornitori, e questo si traduce in requisiti contrattuali di sicurezza che ricadono sui fornitori PMI.
Gli obblighi in sintesi
| Area | Cosa richiede |
|---|---|
| Governance | Gli organi di amministrazione approvano e supervisionano le misure; responsabilità in capo al management (con possibili sanzioni personali). |
| Misure di sicurezza | Analisi del rischio, gestione incidenti, business continuity e backup, sicurezza della supply chain, cifratura, MFA, gestione degli accessi. |
| Notifica incidenti | Pre-allerta entro 24 ore, notifica entro 72 ore, relazione finale entro 1 mese all’ACN/CSIRT. |
| Registrazione | Censimento del soggetto sulla piattaforma ACN e mantenimento dei dati aggiornati. |
Cosa fare adesso (anche se sei “solo” un fornitore)
- Verifica se rientri (diretto o via supply chain) e formalizza i ruoli di responsabilità.
- Fai un assessment dello stato attuale rispetto alle misure richieste.
- Chiudi i gap base ad alto impatto: MFA ovunque, backup testati (regola 3-2-1-1-0), gestione patch, policy di sicurezza, formazione anti-phishing.
- Prepara il processo di notifica incidenti (chi fa cosa entro 24/72 ore).
- Documenta: NIS2 è anche capacità di dimostrare le misure adottate.
Molte di queste misure si appoggiano allo stack Microsoft 365 (Defender, Entra ID, Purview, Intune) già presente in azienda: il punto non è comprare nuovi strumenti, ma configurarli e governarli correttamente. Un buon punto di partenza documentale è la nostra policy di sicurezza informatica con template.
Quando ha senso un supporto
Per le PMI senza un team security interno, allinearsi a NIS2 (assessment, misure, processo di notifica, evidenze) è il caso d’uso tipico di un servizio gestito: vedi Assistenza Cybersecurity gestita. Per una valutazione del tuo posizionamento NIS2, parla con un nostro consulente.
Nota: questo articolo è informativo e non costituisce consulenza legale. L’ambito di applicazione e gli adempimenti vanno verificati sul testo del D.Lgs. 138/2024 e sulle indicazioni ufficiali dell’ACN.