Una PMI manifatturiera italiana, subfornitura automotive di secondo livello, riceve a febbraio una nuova clausola contrattuale dal cliente di primo livello: "Il fornitore si impegna a ottenere la certificazione ISO/IEC 27001 entro 12 mesi, pena la sospensione dei rapporti commerciali." Non è un fenomeno isolato. È il pattern che si sta diffondendo nella supply chain italiana: silenzioso, contrattuale, non normativo. E coglie impreparate le aziende che pensavano "NIS2 non mi tocca, quindi non serve."
Lo stesso pattern è documentato pubblicamente da Confindustria, Cyberlys e Kireygroup nei settori automotive, aerospaziale, farmaceutico e GDO. La domanda concreta dell'imprenditore non è più "cos'è ISO 27001", quella la spiegano Wikipedia e gli enti di certificazione. La domanda è: quanto costa davvero, come si finanzia, e quando conviene farla.
01 ·Tre dubbi che cancellano metà delle decisioni
Nei nostri colloqui con responsabili IT e imprenditori PMI, le obiezioni a ISO 27001 si concentrano su tre frasi ricorrenti. Tutte e tre sono parzialmente fondate, ma non come sembrano.
"Non sono soggetto NIS2, quindi non mi serve"
Vero in teoria. L'art. 3 del D.Lgs. 138/2024 (NIS2 italiana) si applica a soggetti essenziali e importanti sopra determinate soglie dimensionali. Una PMI con 30 dipendenti e 8 milioni di fatturato in subfornitura meccanica probabilmente non rientra direttamente.
Falso in pratica. L'art. 21 dello stesso decreto impone ai soggetti NIS di valutare e gestire i rischi della propria catena di fornitura. Si traduce in clausole contrattuali che i grandi committenti NIS inseriscono nei contratti con i fornitori PMI. "La NIS2 prevede che le aziende non direttamente soggette alla norma ma che operano come fornitori" diventino di fatto soggette ai requisiti, attraverso il contratto, non attraverso la legge. ISO 27001 è lo standard più riconosciuto per dimostrare conformità a quei requisiti contrattuali.
"Costa troppo per una PMI"
Vero al netto. Una piccola PMI 20-50 dipendenti spende tra 16.000 e 39.000 € il primo anno tra consulenza, audit e investimenti tecnologici. Non è poco per chi fattura 3 milioni.
Falso al netto delle agevolazioni. Combinando il Voucher Cloud e Cybersecurity MIMIT 2026 (50% fondo perduto fino a 20.000 €) con l'iperammortamento sui tools tecnici, il beneficio cumulato netto può raggiungere il 60% del valore investito. Lo dimostriamo con un calcolo trasparente più avanti.
"Posso fare solo NIS2 senza ISO"
Legalmente sì. NIS2 non richiede esplicitamente la certificazione ISO 27001: bastano misure tecniche e organizzative adeguate, dimostrabili in caso di audit ACN.
Operativamente costa di più. Senza la struttura documentale e procedurale di un ISMS certificato, la dimostrazione di conformità NIS2 è più fragile, più costosa da costruire e più difficile da difendere in caso di incidente. La nuova prassi UNI/PdR 174:2025, pubblicata con il supporto diretto di ACN, riconosce ufficialmente ISO 27001 come baseline per dimostrare la conformità NIS2. Il percorso inverso non ha equivalente.
02 ·Cos'è ISO/IEC 27001:2022 (in 250 parole)
ISO/IEC 27001 è lo standard internazionale per i Sistemi di Gestione per la Sicurezza delle Informazioni (ISMS). La versione attualmente certificabile, pubblicata il 25 ottobre 2022, ha riorganizzato i controlli rispetto alla precedente versione 2013.
L'Annex A, il cuore operativo dello standard, è passato da 14 aree con 114 controlli a 4 categorie con 93 controlli: Organizational, People, Physical e Technological. La riduzione è frutto di accorpamenti, con l'aggiunta di 11 controlli completamente nuovi tra cui threat intelligence (A.5.7), sicurezza nei servizi cloud (A.5.23), gestione delle configurazioni (A.8.9), data masking (A.8.11) e prevenzione perdita dati (A.8.12).
In Italia la versione certificabile è la UNI CEI EN ISO/IEC 27001:2024, recepimento nazionale UNI dello standard internazionale.
Transizione completata, niente più alternative. Dal 31 ottobre 2025 tutti i certificati ISO 27001:2013 sono scaduti o ritirati. Una PMI che valuta oggi la certificazione parte direttamente dalla 27001:2022, senza opzioni intermedie. Riferimento: Accredia, Circolare Tecnica DC 15/2023.
I dati ISO Survey 2024 confermano il trend: in Italia le certificazioni ISO 27001 sono cresciute del 38% nel biennio 2024-2025, trainate dall'obbligo NIS2 e dalle richieste delle supply chain enterprise. Le PMI sono il segmento di maggior crescita.
03 ·Quanto costa davvero la certificazione
Il costo varia per dimensione, complessità dei processi, maturità della sicurezza preesistente e scelta dell'ente di certificazione. Si compone di consulenza implementazione, audit di certificazione (Stage 1 + Stage 2), strumenti tecnici e formazione del personale.
Tabella costi per fasce dimensionali (primo anno, 2026)
| Voce di costo | Micro (<20 dip.) | Piccola (20–50 dip.) | Media (50–250 dip.) |
|---|---|---|---|
| Consulenza implementazione ISMS | 3.000–8.000 € | 8.000–18.000 € | 30.000–60.000 € |
| Audit Stage 1 + Stage 2 | 2.500–5.000 € | 5.000–12.000 € | 12.000–25.000 € |
| Strumenti tecnici (SIEM, scanner, backup) | 1.000–3.000 € | 2.000–6.000 € | 5.000–15.000 € |
| Formazione personale | 500–1.500 € | 1.000–3.000 € | 2.000–5.000 € |
| Totale primo anno | 7.000–17.500 € | 16.000–39.000 € | 49.000–105.000 € |
Fonte: elaborazione su BullTech 2026, Cybersecurity Dome, Culture Digitali.
Il triennio dimenticato
La certificazione ISO 27001 ha ciclo di vita di 3 anni con audit di sorveglianza annuali. Gli imprenditori spesso ragionano sul primo anno; il triennio è quello che fa la differenza nel piano finanziario.
Nota critica per il manifatturiero: il costo sale significativamente quando il perimetro include sistemi OT/SCADA oltre all'IT tradizionale. I sistemi di fabbrica richiedono competenze specifiche di OT security che pochi consulenti ISO 27001 generalisti possiedono. Chiedete sempre al consulente esperienze precedenti su perimetro OT prima di firmare il contratto.
Tempi di implementazione
| Dimensione | Tempo tipico | FTE dedicato interno |
|---|---|---|
| Micro (<20 dip.) | 4–6 mesi | 10–15% di una persona |
| Piccola (20–50 dip.) | 6–9 mesi | 20–30% di una persona |
| Media (50–250 dip.) | 9–15 mesi | 50–100% di una persona (CISO/responsabile IT) |
Il rischio principale per PMI senza un responsabile IT dedicato è la sottostima delle ore interne. Il consulente esterno guida il processo, ma le evidenze le produce l'azienda.
04 ·Come la finanzi: il cuore dell'articolo
Nel 2026 esistono quattro strumenti cumulabili che possono abbattere il costo netto della certificazione in modo significativo. Li affronto in ordine di impatto.
1. Voucher Cloud e Cybersecurity MIMIT 2026 (50% a fondo perduto)
Il Voucher Cloud e Cybersecurity 2026 (D.M. MIMIT 18 luglio 2025) offre un contributo a fondo perduto del 50% delle spese ammissibili, con tetto massimo di 20.000 € per impresa e dotazione totale di 150 milioni di euro. La spesa minima per accedere è 4.000 €.
I fornitori dei prodotti/servizi devono essere accreditati ACN o certificati ISO 9001 + ISO 27001. È cumulabile con l'iperammortamento attraverso il meccanismo della nettizzazione (la base di calcolo dell'iperammortamento si riduce dell'importo del voucher ricevuto).
Disclaimer importante al maggio 2026: il decreto direttoriale con le date di apertura dello sportello del Voucher MIMIT non è ancora stato pubblicato. La norma è vigente, ma le PMI non possono ancora presentare domanda. Le date attese sono nell'estate 2026. Verifica sempre la finestra di apertura aggiornata sul sito MIMIT prima di pianificare l'investimento.
2. Iperammortamento 2026 sui tools tecnici
L'iperammortamento 2026 (Legge n. 199/2025) prevede una maggiorazione del costo deducibile del 180% per investimenti fino a 2,5 milioni di euro in beni strumentali nuovi.
Importante: la consulenza di implementazione ISO 27001 non rientra direttamente: la misura copre beni strumentali, non servizi. Tuttavia rientrano nell'Allegato V lettera (u) della Legge di Bilancio 2026 i software e tools tecnici che costituiscono il "deliverable cybersecurity" del progetto:
- SIEM interconnesso ai sistemi aziendali ✅
- Vulnerability scanner integrato nei report di sistema ✅
- Software GRC/ISMS con API connesse ai processi aziendali ✅
- Firewall industriale e sistemi IDS/IPS per reti OT (Allegato IV) ✅
- Consulenza implementazione ISO 27001 ❌ non ammissibile come bene strumentale
La condizione critica è l'interconnessione bidirezionale ai sistemi informativi aziendali. Un software GRC cloud standalone non collegato ai sistemi di fabbrica non è ammissibile. Riferimento: Allegati IV e V LdB 2026, Rete Agevolazioni.
Il calcolo netto: l'esempio operativo trasparente
Per una PMI piccola che investe 20.000 € nella componente tecnica del progetto ISO 27001 (SIEM + GRC tool + scanner):
| Voce | Importo |
|---|---|
| Investimento iniziale | 20.000 € |
| Voucher MIMIT (50% a fondo perduto) | -10.000 € |
| Cassa effettivamente impegnata | 10.000 € |
| Risparmio fiscale extra iperammortamento (80% × 10.000 € × 24% IRES) | -1.920 € |
| Cassa netta effettiva | 8.080 € |
| Beneficio totale rispetto a investimento | 11.920 € (59,6%) |
Come si arriva al 59,6%. Il meccanismo combina due strumenti: il Voucher MIMIT taglia la spesa a metà subito (cash a fondo perduto). L'iperammortamento poi non tocca il cash impegnato, ma aumenta del 80% la deducibilità fiscale del bene rispetto a un ammortamento standard, generando un risparmio IRES aggiuntivo di 1.920 € sui 10.000 € nettizzati. Sommando i due benefici, l'azienda ottiene 11.920 € di vantaggio reale su 20.000 € investiti, pari al 59,6%. Il dato è conservativo: alcune comunicazioni di mercato parlano del 71,6%, ma includono il risparmio IRES standard che si avrebbe comunque senza iperammortamento. Il numero 59,6% è quello effettivamente attribuibile alla combinazione delle due agevolazioni.
3. Fondi interprofessionali (Fondimpresa, Fondirigenti, Fonarcom)
Per la componente formazione del progetto, i fondi interprofessionali finanziano piani formativi su ISO 27001, cybersecurity e sicurezza delle informazioni. Fondimpresa utilizza il conto di sistema (lo 0,30% dei contributi versati all'INPS) per piani con almeno 15 dipendenti partecipanti. Fondirigenti finanzia formazione manageriale, utile per il responsabile ISMS o CISO. Fonarcom è la scelta più comune per consulenti e professionisti con P.IVA.
I fondi interprofessionali coprono tipicamente il 100% del costo formativo dei dipendenti aderenti, con tempistiche di rimborso di 2-4 mesi. Riferimento: Fondimpresa formazione AI e cybersecurity.
4. Bandi regionali e Voucher PID Camera di Commercio
I bandi regionali (Veneto, Lombardia, Emilia-Romagna, Piemonte) aprono periodicamente finestre per la digitalizzazione e cybersecurity delle PMI. I Voucher PID (Punti Impresa Digitale) delle Camere di Commercio offrono contributi tipicamente tra 2.000 e 10.000 € a fondo perduto per progetti che includono ISO 27001 nel proprio scope.
Le scadenze e i tetti variano significativamente; vanno verificati sportello per sportello al momento della pianificazione.
Tabella riepilogativa strumenti cumulabili
| Strumento | Tipologia | Tetto | Cosa copre | Cumulabilità |
|---|---|---|---|---|
| Voucher MIMIT 2026 | Fondo perduto 50% | 20.000 € | Software, tools cloud/cybersecurity, formazione | ✅ con iperammortamento (nettizzazione) |
| Iperammortamento 2026 | Maggiorazione fiscale 180% | 2,5 mln € | Beni strumentali Allegato IV-V (NO consulenza) | ✅ con voucher MIMIT, ✅ con bandi |
| Fondi interprofessionali | Rimborso formativo 100% | Quota INPS aziendale | Solo formazione personale | ✅ con tutti gli altri |
| Bandi regionali / PID | Fondo perduto variabile | 2.000-10.000 € tipico | Variabile per bando | Verificare caso per caso |
05 ·ISO 27001 e NIS2: la mappa di sovrapposizione
L'85% di copertura
La guida tecnica ENISA pubblicata il 26 giugno 2025 per l'implementazione del Regolamento di esecuzione (UE) 2024/2690 (misure tecniche NIS2) fornisce una mappatura esplicita dei requisiti tecnici con i principali standard internazionali, includendo ISO/IEC 27001 come riferimento primario per ciascuno dei 13 blocchi di misure.
Un'organizzazione già allineata allo standard ISO ha già implementato la stragrande maggioranza delle misure di gestione del rischio richieste dalla direttiva, con una stima di copertura intorno all'85%.
Il 15% non coperto
ISO 27001 non copre completamente la NIS2. I requisiti aggiuntivi sono prevalentemente di natura amministrativa e procedurale:
| Requisito NIS2 | Coperto da ISO 27001? | Note |
|---|---|---|
| Registrazione presso ACN | ❌ | Procedura amministrativa, non tecnica |
| Notifica incidenti entro 24 ore | 🟡 parziale | ISO prevede gestione incidenti, ma senza tempistiche stringenti |
| Punto di contatto unico CSIRT Italia | ❌ | Nomina specifica richiesta |
| Responsabilità diretta del management | ❌ | Sanzioni personali senza equivalente in ISO |
| Valutazione rischi supply chain | 🟡 parziale | Coperto da Annex A.5.19-A.5.22, da estendere |
| Misure di base ACN (Det. 164179/2025) | 🟡 parziale | Mappatura cross-walk necessaria |
La UNI/PdR 174:2025: il ponte operativo
La novità più rilevante del 2025 per chi ha già ISO 27001 è la UNI/PdR 174:2025, pubblicata il 30 aprile 2025 con il supporto diretto di ACN. La prassi:
- Definisce requisiti per un sistema di gestione armonizzato tra ISO/IEC 27001 e NIST CSF 2.0
- Fornisce mappatura diretta tra controlli ISO, misure NIST e requisiti ACN
- Non ha natura cogente, ma è il riferimento metodologico che ACN consiglia alle aziende certificate ISO 27001 per dimostrare la compliance NIS2
In pratica: un'azienda certificata ISO 27001 che adotta la UNI/PdR 174:2025 può presentare la propria documentazione ISO come evidenza di conformità per la maggior parte delle "misure di sicurezza di base" ACN, riducendo il lavoro aggiuntivo per NIS2 a integrazione documentale piuttosto che nuovo progetto.
Il messaggio operativo
Una PMI manifatturiera che ottiene la certificazione ISO 27001 entro luglio 2026, adotta la UNI/PdR 174:2025 come framework di estensione, e aggiunge le procedure di notifica ACN e il punto di contatto CSIRT, è tecnicamente allineata agli obblighi NIS2 con il minimo sforzo aggiuntivo rispetto alla sola ISO 27001. Il percorso inverso (implementare NIS2 senza ISO 27001) è più costoso e meno difendibile in caso di audit, perché manca una struttura documentale certificata da terza parte.
06 ·Supply chain: perché ISO 27001 anche se non sei NIS2
La ragione principale per cui le PMI manifatturiere si avvicinano a ISO 27001 nel 2026 non è la normativa, ma il mercato. Come documentato dall'analisi di Complaion sulla certificazione per PMI:
"Le grandi aziende richiedono proprio la certificazione ISO 27001 come requisito per poter entrare nella loro supply chain. Se non sei certificato: non entri nella supply chain, non partecipi alla gara, non vieni considerato."
Il pattern è documentato in particolare nei settori:
- Automotive: fornitori Stellantis, Bosch, ZF con clausole ISO 27001 in cascata su tier 2 e tier 3
- Aerospaziale: Leonardo, Airbus supply chain, ISO 27001 obbligatoria per accesso a programmi finanziati
- Farmaceutico: programmi di audit supply chain KPMG-like sui fornitori IT
- GDO: requisiti GFSI-compatibili per fornitori di sistemi informatici
La clausola tipica nei contratti di fornitura è: "il fornitore deve essere certificato ISO/IEC 27001 o dimostrare un piano certificato di adozione entro 12 mesi".
Anche per le PMI sotto la soglia NIS2 esiste un effetto a cascata. Come evidenziato da Cyberlys e Kireygroup, l'art. 21 D.Lgs. 138/2024 spinge i grandi committenti NIS a inserire clausole di sicurezza nei contratti con fornitori PMI che non sono direttamente soggetti.
ISO 27001 contribuisce inoltre al Modello di Organizzazione e Gestione 231 in quanto documenta il sistema di controllo interno sulla sicurezza delle informazioni, riducendo il profilo di rischio per i reati informatici (art. 24-bis D.Lgs. 231/2001). La Legge 132/2025 sull'AI ha peraltro ampliato il perimetro dei reati presupposto al 231 includendo quelli commessi tramite strumenti di IA, rendendo ancora più rilevante avere un ISMS documentato.
07 ·ISO 27001 + AI Act + GDPR: la compliance integrata
ISO 27001 e AI Act art. 15
L'art. 15 del Regolamento (UE) 2024/1689 (AI Act) richiede che i sistemi AI ad alto rischio presentino "livelli adeguati di accuratezza, robustezza e cybersecurity". ISO 27001, con i suoi controlli su gestione delle vulnerabilità, controllo accessi, configurazioni e logging, fornisce la base strutturata per documentare queste misure.
Un deployer di sistemi AI high-risk già certificato ISO 27001 ha un vantaggio nell'art. 26 AI Act: la supervisione umana, la documentazione e i log richiesti hanno già infrastruttura procedurale nell'ISMS.
ISO 27001 e GDPR art. 32
L'art. 32 GDPR richiede misure tecniche e organizzative "adeguate". Il considerando 83 indica esplicitamente la certificazione come elemento per dimostrare l'adeguatezza. La posizione del Garante Privacy italiano è orientata a considerare ISO 27001 come evidenza di conformità all'art. 32, pur non configurandola come safe harbor automatico. Avere ISO 27001 riduce significativamente il rischio sanzionatorio in caso di data breach.
ISO 42001: la frontiera per chi usa AI
La ISO/IEC 42001:2023 è il primo standard internazionale per i sistemi di gestione dell'AI (AIMS). È strutturalmente simile a ISO 27001 (stessa High Level Structure) e copre governance AI, gestione rischi AI, bias algoritmici, trasparenza, sicurezza dei dati di addestramento.
Il percorso integrato per una PMI che usa AI nei processi: ISO 27001 → UNI/PdR 174:2025 (NIS2) → ISO 42001 (AI Act deployer obligations). La 42001 non è ancora richiesta obbligatoriamente, ma le sue strutture di governance si sovrappongono quasi perfettamente agli obblighi dell'art. 26 AI Act per i deployer di sistemi high-risk.
08 ·Errori più frequenti negli audit
Dai dati di audit raccolti dagli enti di certificazione e dai consulenti italiani, le non conformità più frequenti nelle PMI sono:
| Categoria | Non conformità tipica | Severità |
|---|---|---|
| Risk assessment | Valutazione rischio non aggiornata alle modifiche organizzative | Maggiore |
| SoA | Statement of Applicability con giustificazioni superficiali | Maggiore |
| Accessi | Controllo accessi non documentato, IAM non implementato | Maggiore |
| Evidenze | Procedure "scritte ma non applicate", senza riscontri verificabili | Maggiore |
| Formazione | Assenza di evidenze di formazione sicurezza per il personale | Minore |
| Incidenti | Gestione senza registri e log | Maggiore |
| Backup | Test di ripristino non tracciati | Minore |
Come sintetizzato da un auditor esperto in una checklist operativa pubblica:
"Documenti standard non aderenti ai processi reali. Ruoli non definiti: poi in audit emergono buchi. Controlli 'a parole' senza evidenze verificabili. Partire dall'audit senza una verifica interna."
Il problema sistemico è la sottostima del lavoro di mantenimento: ottenere la certificazione richiede meno sforzo che mantenerla nel tempo. L'audit di sorveglianza al 12° mese è il momento critico, quando le evidenze del periodo di funzionamento reale vengono valutate.
09 ·Quando NON ha senso fare ISO 27001
Onestà intellettuale che gli enti di certificazione raramente scrivono. ISO 27001 non conviene in queste situazioni:
1. Micro-PMI sotto i 10 dipendenti senza obbligo NIS2 e senza clienti che la richiedano. Il costo/beneficio non regge. Alternative più appropriate:
- Autovalutazione AgID (framework di sicurezza per la PA, adattabile)
- Framework ENISA per microimprese
- Misure di base NIS2 ACN (Determinazione 164179/2025) per soggetti importanti minimi
2. Aziende in fase di ristrutturazione organizzativa. ISO 27001 richiede stabilità dei processi per produrre evidenze. Un'azienda in M&A, riorganizzazione o cambio di sistemi gestionali durante il periodo di implementazione produce un ISMS instabile che non supera gli audit.
3. PMI senza supporto del management. La certificazione richiede "leadership e commitment" (clausola 5) come requisito esplicito. Se l'imprenditore o il CEO non è direttamente coinvolto, il progetto diventa un esercizio burocratico costoso e poco efficace.
4. Obiettivo puramente difensivo senza clienti che la richiedano. Senza obbligo NIS2 né richieste di filiera né piani di espansione verso settori che la richiedono, il costo non genera ROI misurabile nel breve termine.
In questi casi, considerare un scope ridotto (solo reparto IT, non intera azienda) può essere un compromesso ragionevole, ma solo se rappresenta un percorso, non una scorciatoia.
10 ·Roadmap operativa: dalla decisione alla certificazione
Documenti minimi obbligatori
La ISO 27001:2022 richiede:
- Policy per la sicurezza delle informazioni (clausola 5.2)
- Scopo dell'ISMS (clausola 4.3), perimetro esatto
- Obiettivi di sicurezza misurabili (clausola 6.2)
- Statement of Applicability (SoA) (clausola 6.1.3), documento obbligatorio che elenca i 93 controlli con giustificazione per applicazioni ed esclusioni. Per una PMI richiede 2-4 settimane di lavoro
- Registro asset informativi (clausola A.5.9)
- Registro rischi con valutazione e piano di trattamento (clausola 6.1.2)
- Registro incidenti (clausola A.5.26)
- Registro formazioni (clausola 7.2)
- Registro non conformità e azioni correttive (clausola 10.1)
Strumenti GRC/ISMS disponibili per PMI
| Strumento | Tipo | Prezzo indicativo | Note |
|---|---|---|---|
| Vanta | SaaS cloud-native | 1.500–4.000 €/anno | Ottimo per PMI IT/SaaS, meno adatto OT |
| Drata | SaaS cloud-native | 2.000–5.000 €/anno | Integrazioni automatizzate cloud |
| Secureframe | SaaS | 1.200–3.500 €/anno | Buon supporto multi-framework |
| MyEasyISO | On-premise/cloud | 800–2.500 €/anno | Soluzione italiana, adatta a PMI manifatturiere |
| Pirani | SaaS | 1.000–3.000 €/anno | Gestione rischi taglio ISO 27001 |
Per il manifatturiero: i tool cloud-native come Vanta e Drata sono ottimali per aziende IT-first ma hanno integrazione limitata con sistemi OT (SCADA, PLC, CMMS). Per PMI con perimetro OT significativo, considerare soluzioni ibride on-premise o strumenti specifici per OT security.
11 ·Cosa fare entro l'estate 2026
Il calendario è meno generoso di quanto sembri. Le scadenze concrete da tenere sotto controllo:
- Maggio-giugno 2026: gap analysis e pianificazione. Decisione su scope, ente di certificazione, fornitore di consulenza, mappatura agevolazioni applicabili.
- Luglio 2026: prevista apertura sportello Voucher MIMIT (data da confermare). Chi è pronto presenta domanda e nettizza l'iperammortamento.
- Settembre 2026 - marzo 2027: implementazione e audit interni. Per PMI 20-50 dipendenti la finestra realistica per arrivare alla certificazione è 6-9 mesi dal kick-off.
- Aprile 2027: stage 1 + stage 2. Certificazione in mano.
- Ottobre 2026 - gennaio 2027: per le PMI nel perimetro NIS2, il registro ACN è già attivo. Chi ha ISO 27001 in itinere parte con metà del lavoro fatto.
Chi inizia oggi ha la finestra giusta. Chi aspetta il 2027 si trova a fare ISO 27001 e adempimenti NIS2 contemporaneamente, senza la struttura documentale per dimostrare conformità integrata.
12 ·FAQ
13 ·Cosa NON copre questa guida
Per onestà verso il lettore, vale la pena dichiarare i limiti del materiale disponibile al maggio 2026:
- Dati Accredia disaggregati per settore manifatturiero: non esistono dati pubblici sulla distribuzione dei certificati per settore ATECO e numero di dipendenti.
- Costo specifico per perimetro OT industriale: la letteratura italiana sui costi tratta prevalentemente l'IT tradizionale; il sovrapprezzo per OT/SCADA è una variabile da quotare caso per caso.
- Confronto comparativo enti di certificazione: i prezzi non sono pubblici, vanno trattati direttamente con ciascun ente.
- Ammissibilità consulenza ISO 27001 nell'iperammortamento: la consulenza non rientra nell'Allegato V, ma circolari interpretative AdE potrebbero chiarire ulteriormente la zona grigia entro fine 2026.
- Voucher MIMIT 2026: al maggio 2026 lo sportello non è ancora aperto. Le date attese sono nell'estate 2026.
Hai bisogno di un'analisi specifica per la tua azienda?
ContinDigital affianca le PMI italiane nella valutazione strategica della certificazione ISO 27001 e nella mappatura degli strumenti di finanza agevolata applicabili. L'audit tecnologico include la valutazione del perimetro, l'analisi dei costi reali e la pianificazione integrata con NIS2 e AI Act.
Scopri l'audit tecnologico14 ·Cosa fa e cosa NON fa ContinDigital sull'ISO 27001
Per chiarezza dell'ambito di servizio, ContinDigital eroga consulenza pre-certificazione, mappatura controlli, integrazione con NIS2 e AI Act, scelta del partner certificatore e gestione finanziamenti. Non eroga audit di certificazione, che spettano per legge a enti accreditati Accredia (DNV, Bureau Veritas, RINA, CSQA, TÜV SÜD, SGS, NQA, DASA Raegister).
Marco Contin è Fractional CTO e consulente per la compliance integrata di PMI manifatturiere italiane. 13 anni di esperienza in automazione industriale, manutenzione e fotovoltaico utility-scale; certificazione europea EITCA/AI; in formazione PECB ISO/IEC 27001 Lead Implementor. Ha scritto su NIS2, AI Act e iperammortamento per il blog di ContinDigital, dove guida progetti di compliance e digitalizzazione che integrano NIS2, AI Act, GDPR e ISO 27001.
Articolo pubblicato l'8 maggio 2026. Le informazioni su agevolazioni fiscali e contributi sono a carattere informativo generale; per decisioni operative si raccomanda il coinvolgimento di un commercialista specializzato e di un consulente in finanza agevolata. ContinDigital non sostituisce un parere legale o fiscale specifico.