NIS2: cosa richiede alle PMI e cosa fare entro ottobre 2026
La direttiva NIS2 impone nuovi obblighi di cybersecurity. Anche se la tua PMI non è nel perimetro diretto, la supply chain ti coinvolge. Scadenze, sanzioni, costi reali e i 5 passi per adeguarsi.
NIS2: cosa richiede alle PMI e cosa fare entro ottobre 2026
Se la tua azienda fornisce prodotti o servizi a imprese medio-grandi, c'è una scadenza che ti riguarda anche se nessuno te ne ha ancora parlato: il 31 ottobre 2026.
È la data entro cui le aziende soggette alla direttiva europea NIS2 devono aver implementato misure di sicurezza informatica verificabili. E queste aziende stanno già inserendo requisiti di cybersecurity nei contratti con i propri fornitori. Compresi, potenzialmente, i tuoi.
Questo articolo non è una guida legale. È una mappa operativa per capire se e come la NIS2 riguarda la tua PMI, cosa rischi concretamente, e quali sono i passi da fare.
Cos'è la NIS2 e perché se ne parla adesso
La Direttiva (UE) 2022/2555, nota come NIS2, è la normativa europea sulla cybersecurity. In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'autorità che vigila e sanziona.
I numeri del perimetro italiano:
La NIS2 distingue due categorie. I soggetti essenziali operano in settori ad alta criticità e hanno dimensioni grandi (250+ dipendenti o fatturato sopra i 50 milioni). Devono implementare 43 misure di sicurezza con 116 requisiti. I soggetti importanti operano negli stessi settori ma con soglie dimensionali più basse. Per loro le misure sono 37 con 87 requisiti.
La regola generale esclude le micro e piccole imprese dal perimetro diretto. Ma il punto che interessa alle PMI è un altro.
A chi si applica la NIS2 (e perché riguarda anche te)
Se la tua PMI ha meno di 50 dipendenti e non opera nei settori regolati dagli Allegati I e II del decreto, probabilmente non rientri nel perimetro diretto.
Tuttavia la NIS2 ha un effetto a cascata sulla supply chain che cambia le regole del gioco per tutti.
Le aziende nel perimetro sono obbligate a valutare e monitorare la sicurezza dei propri fornitori. Se fornisci servizi IT, logistica, manutenzione, componenti o qualsiasi servizio critico a un'azienda soggetta alla NIS2, il tuo profilo di sicurezza diventa parte della loro compliance.
In pratica, i tuoi clienti enterprise stanno iniziando a inserire nei contratti:
- Obbligo di notificare incidenti entro tempi definiti
- Requisiti minimi di sicurezza documentati
- Diritto di audit sulla tua infrastruttura
- Penali in caso di disservizio legato a incidenti cyber
Non è un tema tecnico. È un tema commerciale. Una PMI che non riesce a dimostrare un livello minimo di sicurezza rischia di perdere contratti con i propri clienti più importanti.
Cosa richiede la NIS2: le scadenze che contano
Gennaio 2026 (già operativa). Obbligo di notifica degli incidenti significativi al CSIRT Italia per i soggetti nel perimetro. Pre-notifica entro 24 ore, notifica completa entro 72 ore, report finale entro 30 giorni.
31 ottobre 2026. Termine ultimo per l'adozione completa delle misure di sicurezza di base. 37 misure per i soggetti importanti, 43 per gli essenziali. Le misure devono essere implementate, documentate e dimostrabili.
Da novembre 2026. L'ACN avvia la fase ispettiva attiva. Per i soggetti essenziali la vigilanza è proattiva (anche senza incidenti). Per gli importanti è a seguito di incidenti o segnalazioni.
Per le PMI nella supply chain la scadenza effettiva è prima di ottobre: è il momento in cui i tuoi clienti enterprise inizieranno a richiedere evidenze documentali della tua postura di sicurezza.
NIS2 e supply chain: l'effetto a cascata sui fornitori
Questo è il punto più sottovalutato dell'intera normativa.
L'articolo 24 del D.Lgs. 138/2024 impone ai soggetti NIS2 di gestire la sicurezza della propria catena di approvvigionamento. In pratica devono mappare i fornitori ICT critici, inserire clausole di sicurezza nei contratti, e verificare periodicamente il livello di protezione.
Se la tua PMI fornisce servizi a un'azienda nel perimetro NIS2, ti troverai davanti a richieste concrete: documentazione delle misure di sicurezza adottate, evidenza di backup e disaster recovery, policy di gestione accessi, e in alcuni casi il diritto del cliente di fare audit sulla tua infrastruttura.
Il rischio non è la sanzione diretta (non sei nel perimetro). Il rischio è commerciale: perdita di contratti, esclusione da gare, e l'impossibilità di rispondere quando un cliente chiede "come gestite la sicurezza informatica?".
NIS2 sanzioni: cosa rischi concretamente
| Tipo di soggetto | Sanzione massima | % fatturato mondiale |
|---|---|---|
| Soggetti essenziali | Fino a 10 milioni € | 2% (si applica il maggiore) |
| Soggetti importanti | Fino a 7 milioni € | 1,4% (si applica il maggiore) |
| Mancata registrazione (essenziali) | Sanzione percentuale | 0,1% |
| Mancata registrazione (importanti) | Sanzione percentuale | 0,07% |
In casi gravi è prevista anche la sospensione temporanea dalle funzioni dirigenziali per i responsabili dei soggetti essenziali.
Un punto che molti imprenditori non conoscono: la responsabilità non è delegabile al reparto IT. L'articolo 23 del decreto impone al consiglio di amministrazione di approvare formalmente le politiche di sicurezza, vigilare sull'attuazione e seguire formazione specifica. La compliance NIS2 è un tema di governance aziendale.
Il meccanismo sanzionatorio è progressivo: prima una diffida, poi le sanzioni pecuniarie, poi le misure personali. Ma le sanzioni si calcolano sul fatturato mondiale, non italiano.
Cosa fare in pratica: le misure richieste
Le misure richieste si articolano su cinque aree del Framework Nazionale Cybersecurity. Tradotte per una PMI da 20-100 dipendenti:
Governance. Il management deve approvare formalmente le policy di sicurezza con delibera documentata. Serve un responsabile identificabile, non "ce ne occupa il tecnico esterno". Complessità bassa, costo contenuto, ma richiede una decisione del vertice.
Identificazione. Inventario completo degli asset digitali (server, PC, software, account cloud, domini). Analisi del rischio formalizzata. Mappatura dei fornitori ICT critici. Molte PMI non hanno mai fatto questo esercizio e scoprono di non sapere quanti sistemi hanno realmente.
Protezione. Controllo degli accessi (chi accede a cosa, con quali privilegi). Autenticazione a più fattori sugli account critici. Crittografia dei dati sensibili. Formazione del personale. La maggior parte degli incidenti parte da un errore umano.
Rilevamento e risposta. Sistema di monitoraggio degli eventi. Logging centralizzato. Procedura documentata di gestione incidenti. La capacità di accorgersi che qualcosa non va è spesso assente nelle PMI.
Continuità operativa. Backup regolari e testati. Piano di disaster recovery. La domanda non è "se" succederà un incidente, ma "quanto velocemente riesci a ripristinare l'operatività".
Quanto costa adeguarsi alla NIS2
Ordini di grandezza realistici per una PMI da 20-100 dipendenti:
| Voce di spesa | Range di costo | Frequenza |
|---|---|---|
| Assessment iniziale e gap analysis | 3.000 – 8.000 € | Una tantum |
| Implementazione misure tecniche | 10.000 – 30.000 € | Investimento iniziale |
| Formazione del personale | 2.000 – 5.000 € | Annuale |
| Documentazione e procedure | 3.000 – 8.000 € | Una tantum |
| Monitoring continuativo | 500 – 2.000 € /mese | Ricorrente |
Le misure tecniche includono firewall di nuova generazione, sistema di monitoring, soluzione di backup verificabile, autenticazione multifattore e crittografia dei dati.
Il confronto che conta:
Incentivi 2026: come finanziare l'adeguamento
Transizione 5.0. Credito d'imposta per investimenti in digitalizzazione, che può includere infrastruttura di cybersecurity.
Voucher digitalizzazione regionali. Contributi a fondo perduto dal 30% al 50% per investimenti in software, cloud e sicurezza. Ogni regione ha bandi con tempistiche proprie.
Nuova Sabatini. Finanziamento agevolato per beni strumentali, inclusi software e infrastruttura IT.
Il consiglio operativo: non aspettare di avere il bando approvato per iniziare l'assessment. I tempi di istruttoria sono lunghi. Parti con la gap analysis adesso e poi incrocia con gli incentivi.
I 5 passi per una PMI: da dove partire
Primo. Verifica se rientri nel perimetro diretto. Controlla se operi nei settori degli Allegati I e II del D.Lgs. 138/2024 e se superi le soglie dimensionali. L'ACN ha pubblicato FAQ sul portale.
Secondo. Anche se non rientri, verifica se i tuoi clienti principali sono soggetti NIS2. Se sì, preparati a ricevere richieste di evidenze sulla tua sicurezza.
Terzo. Fai un assessment della situazione attuale. Non serve un audit da 50.000 euro. Serve una fotografia chiara: quali sistemi hai, chi vi accede, come sono protetti, se hai backup funzionanti, se il personale sa riconoscere un phishing.
Quarto. Definisci un piano di intervento con priorità basate sul rischio. Le prime azioni: MFA sugli account critici, backup verificati, formazione base.
Quinto. Documenta tutto. La NIS2 richiede dimostrabilità. Non basta implementare: devi poter dimostrare di averlo fatto. Delibere, registri di formazione, log dei backup, report degli audit.
Non sai da dove partire?
Il primo passo è capire la situazione attuale: quali rischi hai, dove sei esposto, e quali interventi hanno la priorità. Una conversazione di 30 minuti è sufficiente per avere un quadro chiaro.
Prenota una call conoscitivaDomande frequenti sulla NIS2
Fa parte della guida
Compliance & Incentivi
Altri approfondimenti:
Hai una decisione tecnica da prendere?
Una conversazione di 30 minuti per inquadrare la situazione e capire dove conviene intervenire. Nessun impegno, nessun preventivo al buio.
Prenota una call conoscitivaMarco Contin
Fractional CTO specializzato in architettura scalabile, AI applicata e compliance NIS2 per PMI del Nordest.
Scopri di più →Articoli correlati
Software gestionale per PMI: come scegliere quello giusto nel 2026
Il 67% delle implementazioni ERP nelle PMI non raggiunge gli obiettivi. Guida pratica con confronto tra gestionali italiani e internazionali, costi reali, criteri di scelta, integrazione CRM, incentivi 2026 e come evitare il vendor lock-in.
n8n: cos'è e come automatizzare i processi aziendali (guida pratica 2026)
n8n è la piattaforma open-source che permette alle PMI di automatizzare fatturazione, CRM, email, report e processi ripetitivi. Guida pratica con 7 workflow concreti, costi reali, confronto con Zapier e Make, e integrazione AI.
Agenti AI: cosa sono e come possono automatizzare i processi della tua PMI
Gli agenti AI non sono chatbot. Sono sistemi autonomi che pianificano, agiscono e verificano. Guida pratica: cosa sono, quanto costano, casi d'uso reali, rischi concreti e come iniziare nel 2026.