Con la NIS2 il 2026 procede per tappe. La finestra di categorizzazione delle attività e dei servizi sulla piattaforma ACN si è chiusa a fine giugno 2026; il prossimo appuntamento — quello operativo — è fissato al 31 ottobre 2026: entro tale data i soggetti nel perimetro (essenziali e importanti) devono aver implementato le misure di sicurezza di base definite dall’Agenzia per la Cybersicurezza Nazionale.
Non è più “registrarsi” o “classificarsi”: è avere le misure attive e dimostrabili. Ed è qui che molte PMI arrivano impreparate.
Cosa significa “misure di base”
L’insieme richiesto è coerente con l’art. 24 della direttiva e con le determinazioni ACN. In pratica, per una PMI, si traduce in:
- Gestione del rischio e degli asset — sapere cosa si ha (IT e, dove presente, OT) e quali rischi corre.
- Controllo degli accessi + MFA — autenticazione a più fattori su tutti gli account, privilegi minimi.
- Backup e continuità — copie testate, piano di ripristino, resilienza.
- Gestione degli incidenti — procedura e capacità di notifica ad ACN entro 24 e 72 ore (ne abbiamo fatto un runbook operativo).
- Sicurezza di endpoint e posta — protezione, hardening, anti-phishing.
- Gestione fornitori e formazione — sicurezza nella filiera e consapevolezza del personale.
La buona notizia: gran parte di queste misure si realizza con strumenti Microsoft che molte PMI hanno già — Microsoft Defender, Intune, Entra ID, Purview — configurati correttamente. Il divario, quasi sempre, non è di licenze ma di configurazione ed evidenze.
Cosa fare adesso (piano a 90 giorni)
- Gap analysis — dove sei rispetto alle misure di base. Puoi partire dal nostro strumento gratuito di autovalutazione NIS2 per una prima fotografia.
- Prioritizzazione — chiudi prima le lacune ad alto rischio (MFA mancante, backup non testati, nessun piano incidenti).
- Implementazione — attiva/configura le misure, sfruttando la baseline Microsoft (vedi la checklist di hardening del tenant).
- Evidenze documentali — la parte che tutti sottovalutano: policy, registri, log, verbali. In caso di controllo, contano quanto le misure stesse.
Non solo scadenza: è gestione continua
La NIS2 non è un adempimento “una tantum” ma un presidio continuo (categorizzazione annuale, aggiornamento delle misure, notifiche in caso di incidente). Per questo molte PMI scelgono di appoggiarsi a un servizio gestito.
Se vuoi arrivare al 31 ottobre con le misure attive e documentate, la nostra cybersecurity gestita copre gap analysis, implementazione ed evidenze. Il quadro completo degli obblighi 2026 è nel nostro hub compliance NIS2/DORA/AI Act/GDPR. Parliamone finché c’è margine.