Direttiva NIS2 e PMI: obblighi, scadenze e sanzioni

La direttiva NIS2 (Network and Information Security2) obbliga migliaia di PMI italiane ad adottare misure di cybersicurezza, notificare gli incidenti informatici e registrarsi presso Agenzia per la Cybersicurezza Nazionale (ACN). Le scadenze operative 2026 sono già attive e le sanzioni possono arrivare fino al 2% del fatturato globale annuo.

Secondo l’Osservatorio Digital Innovation del Politecnico di Milano solo 11% delle PMI adotta pratiche strutturate di gestione delle vulnerabilità e la cifratura dei dati resta poco diffusa. A questo si aggiunge il gap di competenze: circa un’azienda su tre non dispone di risorse interne adeguate per gestire la cybersecurity. Nel primo semestre del 2025 l’Italia ha registrato un forte aumento degli attacchi informatici, con una crescita del 53% rispetto allo stesso periodo del 2024. Una PMI italiana su quattro ha dichiarato di aver subito almeno un attacco informatico negli ultimi tre anni (Confindustria, Progetto Cyber Index PMI 2025).

Il D.Lgs. 138/2024 ha recepito la direttiva NIS2 ed esteso, in modo significativo, gli obblighi di cybersicurezza oltre il perimetro della precedente NIS del 2016. In linea generale, la Direttiva NIS2 si applica alle imprese con almeno 50 dipendenti o 10 milioni di euro di fatturato. Tuttavia, anche le PMI più piccole possono rientrare negli obblighi se operano come fornitori di soggetti essenziali o importanti. Per le imprese, comprendere gli obblighi NIS2 è oggi una priorità operativa. Questa guida riassume ambito, misure tecniche minime, scadenze 2026 gestite dall’Agenzia per la Cybersicurezza Nazionale (ACN) e sanzioni.

Cos'è la NIS2 e perché riguarda anche le PMI

La direttiva NIS2 introduce un quadro normativo europeo sulla cybersicurezza e definisce le migliori pratiche per contrastare il crescente numero di attacchi informatici. Rappresenta oggi uno dei cambiamenti normativi più significativi per la sicurezza informatica delle imprese europee. Estende il perimetro a 18 settori critici e include molte PMI prima escluse.

La direttiva NIS2 sostituisce la NIS del 2016 introducendo obblighi più rigorosi in materia di cybersicurezza. In Italia è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. La principale novità è l’ampliamento dell’ambito di applicazione: dai settori tradizionali come energia, trasporti e sanità, la normativa si estende ora a 18 settori strategici, includendo anche alimentare, manifatturiero, fornitori di servizi digitali, gestione dei rifiuti, spazio, infrastrutture postali e pubblica amministrazione. Secondo ENISA (European Network and Information Security Agency), le PMI europee sono bersaglio crescente di attacchi mirati: per questo la direttiva estende il perimetro alle filiere critiche.

  • Recepimento italiano: D.Lgs. 138/2024, in vigore dal 16 ottobre 2024.
  • Perimetro esteso: 18 settori critici
  • Soglia dimensionale: 50 o più dipendenti oppure 10 milioni di euro di fatturato, con eccezioni per operatori critici.

Il D.Lgs. 138/2024 estende il perimetro della cybersicurezza obbligatoria da 7 settori della NIS originaria a 18 settori critici, inclusi manifattura, alimentare e servizi digitali. Fonte: ACN, portale NIS.

Quali PMI rientrano nella NIS2

Rientrano nella NIS2 le aziende con almeno 50 dipendenti o 10 milioni di euro di fatturato che operano in uno dei 18 settori critici.

L'ambito di applicazione incrocia criterio dimensionale (la direttiva usa la classificazione UE) e settore: medie imprese (50-249 dipendenti, fino a 50 milioni di fatturato) e grandi imprese (dipendenti da 250 in su, fatturato superiore a 50 milioni) incluse in uno dei 18 settori critici. Le micro e piccole imprese sotto le soglie restano escluse, salvo eccezioni: alcune organizzazioni devono conformarsi alla direttiva indipendentemente dalle dimensioni, tra cui fornitori di reti pubbliche di comunicazione elettronica, servizi fiduciari, registri di domini di primo livello (TLD), servizi DNS ed entità considerate critiche ai sensi della Direttiva CER.

La novità più rilevante riguarda la supply chain security: le aziende soggette a NIS2 devono verificare anche la postura di sicurezza dei propri fornitori. In pratica, una PMI che offre servizi IT, logistica, consulenza o componentistica potrebbe dover compilare questionari, affrontare audit o dimostrare adeguate misure di cybersecurity per continuare a collaborare con clienti soggetti alla direttiva. La normativa impone ai soggetti essenziali e importanti di garantire non solo la propria sicurezza informatica, ma anche quella dei fornitori diretti lungo la catena di approvvigionamento. Di conseguenza, la cybersecurity diventerà sempre più un requisito standard nelle trattative commerciali e contrattuali.

Soggetti essenziali vs soggetti importanti

La NIS2 distingue i soggetti coinvolti in due categorie, essenziali e importanti, dalle quali dipendono livello di supervisione e regime sanzionatorio.

Le entità essenziali operano negli 11 settori a più alta criticità, mentre le entità importanti appartengono ad altri 7 settori critici. La classificazione si basa sia sul livello di criticità del settore sia su specifiche soglie dimensionali dell’organizzazione.

Tra i soggetti essenziali rientrano settori ad alta criticità come energia, trasporti, banche, infrastrutture finanziarie, sanità, acqua, infrastrutture digitali, servizi ICT, pubblica amministrazione e tecnologie spaziali, mentre i soggetti importanti comprendono comparti quali servizi postali, gestione dei rifiuti, chimica, agroalimentare, manifatturiero, fornitori digitali e organizzazioni di ricerca.

NIS2 PMI obblighi: il framework richiesto

Gli obblighi NIS2 per le PMI includono l’adozione di misure tecniche di cybersicurezza, la notifica degli incidenti entro 24 e 72 ore, la formazione del personale, la gestione della sicurezza della supply chain e la responsabilità diretta del management aziendale.

L’articolo 24 del D.Lgs. 138/2024 definisce le misure minime tecniche, operative e organizzative basate su un approccio di gestione del rischio, che richiede interventi proporzionati alla dimensione e al servizio erogato. Per una PMI rientrante tra i soggetti importanti, ciò si traduce in cinque macro-aree che devono essere documentate e dimostrabili in caso di controllo da parte dell’ACN.

  • Governance del rischio: politica di sicurezza, analisi rischi documentata, ruoli per iscritto.
  • Misure tecniche minime: controllo accessi, autenticazione multifattore, cifratura, segmentazione rete, gestione vulnerabilità.
  • Notifica incidenti: procedura interna per segnalare all'ACN gli incidenti significativi entro i termini di legge.
  • Continuità operativa: backup, ripristino, gestione crisi, disaster recovery testato periodicamente.
  • Supply chain e personale: valutazione fornitori, clausole contrattuali, formazione dei dipendenti.

Misure tecniche minime di cybersicurezza

L'articolo 24 elenca le misure obbligatorie: analisi dei rischi, gestione incidenti, continuità operativa, sicurezza della supply chain e dello sviluppo dei sistemi, valutazione dell'efficacia. Si aggiungono crittografia, sicurezza delle risorse umane, controllo accessi, autenticazione multifattore, igiene di base e formazione.

Notifica incidenti: 24 ore, 72 ore, 1 mese

La NIS2 articola la notifica in tre tempi. Entro 24 ore dalla scoperta di un incidente significativo l'azienda invia all'ACN un preallarme. Entro 72 ore segue la notifica strutturata con prima valutazione dell'impatto. Entro un mese va presentata la relazione finale con cause e misure correttive. Le PMI devono quindi dotarsi di procedure interne in grado di garantire il rispetto delle tempistiche anche fuori orario lavorativo.

Il punto più sensibile non sono le misure tecniche, ma la responsabilità diretta dell'organo di vertice (art. 23 D.Lgs. 138/2024). Amministratori e direzione rispondono personalmente del mancato rispetto degli obblighi e possono essere chiamati al risarcimento dei danni a terzi.

Scadenze 2026 e registrazione all'ACN

Le PMI in ambito NIS2 si registrano sul portale ACN entro le scadenze fissate dall'Agenzia. Il 2026 è l'anno chiave per l'aggiornamento dei dati e per l'attuazione effettiva delle misure tecniche.

Il calendario operativo è gestito dall'ACN tramite un portale dedicato. La prima finestra si è chiusa il 28 febbraio 2025 per i soggetti già identificati. Nel 2026 sono attive le finestre di aggiornamento periodico e i termini di attuazione effettiva delle misure. Entro ottobre 2026, le imprese soggette alla NIS2 dovranno completare l’implementazione delle misure minime di sicurezza previste dalla normativa. Le aziende che si auto-identificano in corso d'anno (cambio settore, soglia raggiunta o ingresso in supply chain) devono registrarsi tempestivamente.

Come si registra l'azienda sul portale ACN

La registrazione richiede tre elementi: punto di contatto NIS2 (deve essere un dipendente delegato dal rappresentante legale), firma digitale del legale rappresentante e dati anagrafici, settoriali e tecnici. La procedura è gratuita sul sito istituzionale. Le PMI fornitrici che rientrano per criteri oggettivi devono auto-segnalarsi anche senza comunicazione diretta. Per finanziare l'adeguamento esistono i voucher per cybersecurity e cloud delle PMI.

Sanzioni NIS2 PMI obblighi: cosa rischia chi non si adegua

Le sanzioni NIS2 arrivano a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali e a 7 milioni o all'1,4% per i soggetti importanti.

L'articolo 38 del D.Lgs. 138/2024 prevede sanzioni amministrative calibrate sulla categoria. Le PMI rientrano quasi sempre nei soggetti importanti: tetti più bassi degli essenziali, ma consistenti. Si applicano in caso di mancata registrazione, mancata adozione delle misure minime, tardiva notifica degli incidenti e ostacolo alle attività ispettive. Nei casi gravi si aggiungono sanzioni accessorie.

  • Soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato annuo mondiale.
  • Soggetti importanti (cluster tipico delle PMI in ambito): fino a 7 milioni o 1,4% del fatturato.
  • Responsabilità amministratori: formazione obbligatoria e possibile risarcimento personale dei danni a terzi (art. 23).
  • Sanzioni accessorie: sospensione di autorizzazioni e certificazioni, interdizione temporanea da funzioni dirigenziali.

L'articolo 38 del D.Lgs. 138/2024 fissa per i soggetti importanti un tetto sanzionatorio fino a 7 milioni di euro o l'1,4% del fatturato annuo mondiale (Fonte: ACN, recepimento NIS2)

La tua PMI dispone di un adeguato livello di cybersecurity?

Spunta le voci che corrispondono alla tua situazione attuale.

Adempimenti NIS2 per le PMI: cinque passaggi chiave per imprese con 10–50 dipendenti

Per adeguarsi alla NIS2, una PMI 10-50 segue cinque passi: verifica dell'ambito, gap assessment, governance interna, misure tecniche minime e piano di notifica degli incidenti con clausole supply chain.

  1. Verifica dell'ambito: confronta dipendenti, fatturato e settore, elencati negli Allegati I e II del D. Lgs. 138/2024. Se l'azienda rientra, identifica un punto di contatto NIS2 e procedi alla registrazione sul portale ACN.
  2. Gap assessment iniziale: mappa le misure di sicurezza già in essere e confrontale con i requisiti dell'articolo 24. Documenta i gap, prioritizza per rischio, definisce un piano con scadenze realistiche.
  3. Governance e responsabilità: assegna formalmente i ruoli (responsabile sicurezza, contatto ACN, referente notifica incidenti), forma l'organo di vertice sugli obblighi dell'articolo 23.
  4. Misure tecniche minime: La NIS2 richiede un approccio strutturato alla cybersicurezza che include la protezione di reti e sistemi (firewall, segmentazione, endpoint e cloud), la gestione tempestiva delle vulnerabilità tramite patch e aggiornamenti, la sicurezza dei dati (crittografia, backup e controllo degli accessi), il controllo rigoroso delle identità secondo il principio del minimo privilegio con autenticazione multifattore, e l’integrazione della sicurezza nei prodotti, nei processi e nella supply chain.
  5. Notifica incidenti: definisci la procedura per le scadenze 24h/72h/30 giorni, predisponi clausole NIS2 per i fornitori critici e organizza la formazione annuale.

La NIS2 spinge le PMI a rafforzare sicurezza, governance e controllo della supply chain, migliorando la resilienza di tutta la filiera. Non serve adeguarsi subito a tutto, ma avviare un percorso concreto e continuo. Questo permette di ridurre incidenti, aumentare fiducia e competitività. Per una PMI la conformità NIS2 è una leva competitiva: saranno sempre più frequenti le clausole contrattuali che richiedono benchmark di sicurezza dimostrabili. Anticipare l'adeguamento protegge i contratti in essere e apre l'accesso a gare in cui la NIS2 è prerequisito.

Domande frequenti su NIS2 e PMI

Quali PMI sono obbligate ad adeguarsi alla NIS2?

Sono soggette alla NIS2 le PMI con almeno 50 dipendenti o 10 milioni di euro di fatturato che operano in uno dei 18 settori previsti dagli Allegati I e II del D.Lgs. 138/2024. Le aziende sotto soglia sono generalmente escluse, salvo casi specifici legati a servizi o forniture critiche. Tuttavia, anche le PMI non obbligate possono essere coinvolte indirettamente come fornitori di soggetti essenziali, attraverso requisiti di sicurezza imposti dalla supply chain.

Quali sono gli obblighi base per le PMI?

Gli obblighi base sono cinque: governance del rischio documentata, misure tecniche minime (autenticazione multifattore, controllo accessi, backup, gestione vulnerabilità), notifica degli incidenti all'ACN entro 24 ore, 72 ore e 30 giorni, continuità operativa testata e sicurezza della supply chain. La formazione del personale e dell'organo di vertice è parte integrante.

Quando scadono i termini di registrazione all'ACN?

La prima finestra si è chiusa il 28 febbraio 2025 per i soggetti già identificati. Nel 2026 sono attive le finestre di aggiornamento e i termini di attuazione delle misure. Le aziende che si auto-identificano in corso d'anno devono registrarsi tempestivamente sul portale ACN.

La NIS2 si applica anche se siamo fornitori di una grande azienda?

Formalmente, la NIS2 si applica alle aziende che superano le soglie dimensionali e operano nei settori critici. In pratica, però, i soggetti essenziali devono valutare la sicurezza della propria supply chain e trasferiscono requisiti ai fornitori tramite clausole contrattuali, audit e certificazioni. Una PMI non adeguata può quindi rischiare l’esclusione da gare, commesse o rapporti commerciali strategici.

Immagine di Tijana Radojicic

Tijana Radojicic

Dopo una solida esperienza in Retelit nel settore vendite nel mondo delle telecomunicazioni, oggi faccio parte del team Marketing & Communication – area Digital. Mi occupo della creazione di contenuti B2B per i magazine online dei siti Fibermap e Retelit, analizzando trend, innovazioni e scenari dei mercati ICT e TLC, con l’obiettivo di supportare le aziende nelle scelte tecnologiche e di business.

Verifica Copertura

Scopri istantaneamente quali servizi sono disponibili al tuo indirizzo.

Iscriviti alla newsletter

Ricevi settimanalmente i migliori
approfondimenti tecnici e le news dal mercato delle TLC.

Form Newsletter

CONTINUA A LEGGERE

Articoli correlati

Vedi tutto l'archivio

Cybersecurity per PMI: la guida pratica per proteggere l’azienda

La sicurezza informatica per le PMI parte da poche misure di base: backup, autenticazione a più fattori, aggiornamenti, formazione del [...]

Leggi di più

Wifi aziendale gestito: guida per le PMI

Il wifi aziendale gestito è una rete senza fili professionale, controllata da remoto, con sicurezza, segmentazione e assistenza dedicata: pensata [...]

Leggi di più

Fibra dedicata per le PMI: quando serve davvero

La fibra dedicata offre alle aziende una connessione esclusiva, con banda simmetrica e garantita e assicura la stabilità e l’affidabilità, [...]

Leggi di più