APPROFONDIMENTI E NEWS

NIS2 nel 2026: obblighi e scadenze per le PMI italiane | Nexsys

di Francesco Pandiscia | Aggiornato il 03/06/2026

Introduzione: perché la NIS2 riguarda anche la tua PMI

Il 2026 è l'anno in cui la Direttiva NIS2 (Direttiva UE 2022/2555), recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, passa dalla fase di registrazione alla compliance operativa. Entro il 31 ottobre 2026, le aziende inserite nel perimetro NIS2 devono aver implementato le misure di sicurezza di base definite dall'Agenzia per la Cybersicurezza Nazionale (ACN).

Ma il punto che molte PMI sottovalutano è questo: anche se la tua azienda non rientra direttamente nei 18 settori NIS2, potresti essere coinvolta come fornitore di un soggetto obbligato. La NIS2 impone ai soggetti essenziali e importanti di valutare e monitorare la sicurezza della propria supply chain. Se fornisci servizi IT, logistici, di manutenzione o qualsiasi servizio critico a un'azienda NIS2, il tuo profilo di sicurezza diventa parte della loro compliance.

Questa guida spiega in modo pratico chi deve adeguarsi, cosa fare concretamente, quali sono le scadenze e come organizzare un piano di adeguamento realistico per una PMI italiana.

Per il quadro generale degli obblighi NIS2 e una checklist operativa step-by-step, leggi la nostra guida/checklist sulla tematica.

grafica digitale con la scritta nis2 in primo piano, stelle dell'unione europea e una persona che lavora al computer sullo sfondo.

Chi deve adeguarsi: il perimetro NIS2 in Italia

La Direttiva NIS2 amplia significativamente il raggio d'azione rispetto alla precedente NIS1. In Italia, il D.Lgs. 138/2024 coinvolge soggetti pubblici e privati operanti in 18 settori strategici, classificati in base alla loro rilevanza per l'economia e la società:

  • 11 Settori ad Alta Criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione di servizi ICT (B2B), pubblica amministrazione e spazio.

  • 7 Settori Critici: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione e trasformazione di alimenti, fabbricazione di dispositivi medici, di computer e prodotti di elettronica, di macchinari e di autoveicoli.

Criteri dimensionali e categorie

In linea generale, sono soggette agli obblighi NIS2 le organizzazioni che operano nei settori sopra citati e che hanno:

  1. Almeno 50 dipendenti
  2. OPPURE un fatturato annuo superiore a 10 milioni di euro.

Esistono tuttavia eccezioni fondamentali: i fornitori di servizi DNS, i registri dei nomi di dominio, i fornitori di servizi di cloud computing e data center rientrano nel perimetro indipendentemente dalla loro dimensione, data la natura critica del servizio offerto.

Soggetti Essenziali vs. Importanti

La normativa distingue le aziende in due categorie. Sebbene gli obblighi di sicurezza siano pressoché identici, a cambiare radicalmente è il regime di vigilanza e l'entità delle sanzioni:

Categoria Soggetto Vigilanza Sanzioni Massime
Soggetti Essenziali Ex-ante: Ispezioni proattive e regolari anche in assenza di incidenti. Fino a 10 mln € o il 2% del fatturato mondiale annuo.
Soggetti Importanti Ex-post: Controlli attivati in caso di incidenti o segnalazioni di mancata conformità. Fino a 7 mln € o l'1,4% del fatturato mondiale annuo.

Tabella 1: Differenze tra soggetti essenziali e importanti ai sensi del D.Lgs. 138/2024.

L'effetto supply chain: perché la NIS2 riguarda (quasi) tutte le PMI

Questo è l'aspetto più sottovalutato dalle PMI italiane. Anche se la tua azienda non rientra formalmente nei parametri dimensionali o settoriali della NIS2, potresti essere coinvolta come fornitore di un soggetto obbligato.

La NIS2 impone infatti ai soggetti essenziali e importanti di monitorare la sicurezza della propria catena di approvvigionamento. In termini pratici, i tuoi clienti più grandi saranno tenuti a:

  • Inserire clausole di sicurezza informatica nei contratti.

  • Richiedere documentazione tecnica sulle tue misure di protezione.

  • Effettuare audit periodici sui tuoi sistemi.

Se fornisci servizi ICT, logistici o di manutenzione critica, il tuo livello di cybersecurity diventa un requisito di mercato. Non adeguarsi non significa solo rischiare una sanzione, ma rischiare l'esclusione dai contratti con i grandi player industriali.

Scadenze NIS2 nel 2026: il calendario operativo

Il 2026 non è una scadenza generica, ma un percorso a tappe forzate definito dall'Agenzia per la Cybersicurezza Nazionale. Ecco le date critiche che ogni PMI deve segnare in agenda:

  • 15 Gennaio 2026: diventa pienamente operativo l'obbligo di notifica degli incidenti. Ogni evento significativo deve essere comunicato al CSIRT Italia con tempistiche stringenti (pre-notifica entro 24 ore).

  • Gennaio - Febbraio 2026: finestra per il rinnovo o la prima registrazione obbligatoria sul portale ACN per tutti i soggetti rientranti nel perimetro.

  • Aprile 2026: termine per l'aggiornamento annuale dei dati sulla piattaforma ACN (asset, referenti, servizi). In questo periodo l'ACN finalizzerà i modelli di categorizzazione delle attività e gli obblighi a lungo termine.

  • 31 Ottobre 2026: La "Deadlock" date. Scadenza per l'implementazione completa delle misure di sicurezza di base. I soggetti essenziali devono rispettare l'Allegato 2 della Determinazione ACN 379907/2025, mentre i soggetti importanti devono conformarsi all'Allegato 1.

  • Novembre 2026: Fine della fase di tolleranza. Avvio ufficiale delle attività ispettive e sanzionatorie da parte dell'ACN.

Le 10 aree di misure di sicurezza obbligatorie

L'art. 24 del D.Lgs. 138/2024 definisce i dieci pilastri della conformità. Non si tratta di semplici suggerimenti, ma di obblighi tecnici la cui mancata adozione espone l'azienda a sanzioni e responsabilità del management.

  1. Analisi dei rischi e policy di sicurezza: formalizzazione del processo di risk assessment, identificazione delle minacce e definizione delle contromisure documentate.
  2. Gestione degli incidenti: procedure per rilevazione, classificazione, contenimento e recovery. Include il workflow di notifica al CSIRT (24h/72h/1 mese).
  3. Continuità operativa (Business Continuity): redazione di piani BCP e DRP, con test periodici di ripristino dei backup per garantirne l'integrità.
  4. Sicurezza della Supply Chain: valutazione dei rischi legati ai fornitori ICT, inserimento di clausole contrattuali di sicurezza e audit periodici sulla catena di approvvigionamento.
  5. Sicurezza nello sviluppo e manutenzione: gestione delle vulnerabilità (patch management) con SLA definiti e approccio secure by design.
  6. Valutazione dell'efficacia (Audit): vulnerability assessment periodici, penetration test e definizione di KPI di sicurezza per misurare la resilienza nel tempo.
  7. Igiene informatica e Formazione: security awareness per tutto lo staff e formazione obbligatoria per il management (ex art. 23) per garantire la consapevolezza dei rischi a livello decisionale.
  8. Crittografia e cifratura: utilizzo di soluzioni crittografiche per proteggere i dati sia at rest (archiviati) che in transit (comunicazioni).
  9. Sicurezza delle risorse umane: applicazione del principio del "minimo privilegio", gestione del ciclo di vita delle identità e revisione periodica degli accessi.
  10. Autenticazione Multi-Fattore (MFA): implementazione di sistemi MFA su tutti gli accessi critici, i servizi cloud e le soluzioni di lavoro remoto per prevenire il furto di credenziali.
rappresentazione concettuale della sicurezza informatica con uno scudo blu che protegge una catena digitale, evidenziando un anello debole in rosso.

Chi deve seguire la formazione NIS2

Destinatario Obiettivo formativo Evidenza da conservare Link interno consigliato
Organi di amministrazione e direttivi Comprendere responsabilità, rischio cyber, obblighi decisionali e impatti di business. Registro presenze, programma del corso, attestati, verbale di approvazione del piano. Corso NIS2 per aziende e management
Responsabili IT e cybersecurity Tradurre gli obblighi in controlli tecnici, processi, policy, incident response e misure verificabili. Piano formativo, attestati, report esercitazioni, checklist tecniche. Consulenza cybersecurity per l’adeguamento NIS2
Responsabili di funzione Gestire processi critici, fornitori, continuità operativa e escalation in caso di incidente. Partecipazione a sessioni dedicate, procedure firmate, simulazioni tabletop. Piano di incident response aziendale
Utenti aziendali Riconoscere phishing, social engineering, furto credenziali, uso improprio dei dati e comportamenti rischiosi. Registro presenze, test apprendimento, campagne awareness, simulazioni phishing. Formazione di security awareness per utenti aziendali

Per gli organi di amministrazione e direttivi, Nexsys propone un corso NIS2 per aziende e management orientato alla comprensione degli obblighi, delle responsabilità e delle decisioni operative richieste dalla normativa. Il corso è utile per trasformare il tema NIS2 da adempimento formale a percorso di governance, risk management e continuità operativa.

Per gli utenti aziendali, la formazione deve invece concentrarsi sui comportamenti quotidiani che possono generare incidenti: phishing, allegati malevoli, furto credenziali, uso improprio delle password, condivisione non autorizzata dei dati e gestione delle segnalazioni. In questo caso è più coerente collegare la pagina alla formazione di security awareness per utenti aziendali, evitando di sovrapporre il corso NIS2 alla formazione base per tutto il personale.

La formazione da sola non basta a dimostrare l’adeguamento. Deve essere collegata a un percorso tecnico e documentale che includa risk assessment, gestione degli incidenti, protezione delle identità, controllo degli accessi, continuità operativa e monitoraggio. Per questo Nexsys può affiancare l’azienda con una consulenza cybersecurity per l’adeguamento NIS2, integrando formazione, roadmap tecnica ed evidenze documentali.

La parte di notifica e gestione incidenti richiede inoltre processi chiari, ruoli definiti e simulazioni periodiche. Un piano di incident response aziendale consente di preparare l’organizzazione a riconoscere un evento significativo, attivare l’escalation corretta e raccogliere le informazioni necessarie per la comunicazione verso CSIRT Italia.

Tra le misure tecniche che devono essere comprese anche dal management rientrano la protezione delle identità e MFA, la revisione degli account privilegiati, la gestione del ciclo di vita degli accessi e la riduzione del rischio legato al furto di credenziali.

La responsabilità del management: un cambio di paradigma

L'art. 23 del D.Lgs. 138/2024 introduce un elemento di rottura storica: la cybersecurity non è più un "problema tecnico" delegabile al solo reparto IT o al fornitore esterno. Diventa una responsabilità diretta e personale degli organi di amministrazione.

Nello specifico, il management è tenuto a:

  • Approvare formalmente le modalità di implementazione delle misure di sicurezza.

  • Sovrintendere alla loro attuazione pratica.

  • Seguire una formazione specifica in materia di cybersecurity per comprendere i rischi e le implicazioni per il business.

Il rischio reale: l'Agenzia per la Cybersicurezza Nazionale (ACN) ha il potere di applicare misure interdittive che includono la sospensione temporanea dall'incarico per i dirigenti apicali dei soggetti essenziali. La conformità, quindi, non è solo una tutela finanziaria (contro sanzioni fino al 2% del fatturato), ma una tutela della continuità operativa del board stesso.

Piano di adeguamento NIS2 in 6 step per le PMI

Per una PMI italiana, il percorso verso la compliance può essere strutturato in una roadmap di circa 18 settimane. Ecco come organizzare i lavori:

  • Step 1: Valutazione di applicabilità (Settimana 1) verifica se rientri nel perimetro diretto o se sei coinvolto come fornitore (supply chain). Formalizza l'analisi con un atto interno.
  • Step 2: Gap Analysis (Settimane 2-3) confronta lo stato attuale della tua infrastruttura con le misure minime della Determinazione ACN 379907/2025. Identifica le lacune tecniche e organizzative.

Per il risk assessment puoi partire dal nostro template scaricabile:

Scarica il Template Analisi del Rischio Informatico

  • Step 3: Governance e Policy (Settimane 3-6) redigi le policy fondamentali: gestione del rischio, piani di incident response, continuità operativa e gestione dei fornitori. Ogni documento deve essere approvato dal CdA.
  • Step 4: Implementazione tecnica (Settimane 4-16) è la fase più intensa: hardening di Active Directory, configurazione MFA (Multi-Factor Authentication) su tutti gli accessi, segmentazione di rete, protezione Microsoft 365 e backup immutabili con test di ripristino.
  • Step 5: Formazione (Settimane 8-12) esegui il training obbligatorio per il management (ex art. 23) e avvia campagne di security awareness per tutti i dipendenti, magari con simulazioni di phishing.
  • Step 6: Test e Verifica (Settimane 14-18) conduci vulnerability assessment e simulazioni "tabletop" di gestione incidenti. Verifica che i processi di notifica al CSIRT Italia siano pronti e documenta ogni attività per le ispezioni ACN.

Vedi anche la checklist NIS2 in 7 step per il workflow operativo che integra obblighi, governance e misure tecniche.

NIS2 e le normative correlate: GDPR, DORA e CRA

Le aziende italiane operano oggi in un ecosistema normativo interconnesso. La buona notizia è che la NIS2 non è un'isola:

  • GDPR: molte misure (risk assessment, protezione dati) coincidono.

  • DORA: per il settore finanziario, il DORA agisce come norma speciale prevalente, ma i principi di resilienza sono i medesimi.

  • Cyber Resilience Act: impone standard di sicurezza ai prodotti hardware e software.

Un approccio di compliance integrata permette di evitare duplicazioni, riducendo significativamente i costi complessivi di adeguamento per la PMI.

Come Nexsys supporta le PMI nell'adeguamento NIS2

Nexsys accompagna le aziende italiane con un approccio operativo, distanziandosi dalla consulenza puramente documentale. La nostra missione non è solo produrre manuali di policy, ma intervenire direttamente sull'infrastruttura tecnologica per garantire una sicurezza reale e resiliente:

  • Assessment & Gap Analysis: analizziamo i tuoi sistemi seguendo i rigorosi criteri definiti dall'ACN, identificando le vulnerabilità critiche rispetto ai requisiti NIS2.
  • Implementazione Tecnica: interveniamo direttamente per configurare l'Hardening di Active Directory, la gestione avanzata delle identità tramite Entra ID, l'implementazione della MFA, sistemi SIEM e il monitoraggio centralizzato dei log.
  • Formazione Certificata: offriamo programmi EC-Council per l'upskilling del personale IT e moduli di formazione specifica per il management, come richiesto dall'art. 23 del D.Lgs. 138/2024.
  • Supporto ACN: ti assistiamo tecnicamente nelle fasi di registrazione al portale dell'Agenzia e nella strutturazione delle procedure per le notifiche obbligatorie al CSIRT Italia.

Approfondimenti Nexsys

Per costruire una strategia di difesa solida, scopri i nostri servizi verticali dedicati alla protezione dei tuoi asset aziendali:

  • Consulenza Cybersecurity: analisi dei rischi approfondita e roadmap di adeguamento normativo su misura per la tua realtà.

  • Information Security: soluzioni tecnologiche d'avanguardia per la protezione del dato a 360 gradi, dall'endpoint al cloud.

  • Corsi Cybersecurity: formazione specialistica certificata per trasformare il tuo team IT in una linea di difesa attiva.

  • Sicurezza Active Directory: guide tecniche e articoli dedicati all'hardening dell'infrastruttura d'identità, il cuore dei sistemi aziendali.

Vuoi verificare se la tua azienda è pronta per il 2026?

Contattaci per un assessment gratuito della tua situazione.

Risorse Utili e Riferimenti Normativi

Per approfondire gli aspetti legali e tecnici citati in questa guida, consulta le fonti ufficiali:

  • D.Lgs. 138/2024: il testo integrale del recepimento italiano della Direttiva NIS2 in Gazzetta Ufficiale.

  • ACN NIS2: il portale ufficiale dell'Agenzia per la Cybersicurezza Nazionale dedicato alla direttiva.

  • Determinazione ACN 379907/2025: il documento tecnico con l'elenco dettagliato delle misure di sicurezza obbligatorie.

  • Rapporto Clusit 2026: l'analisi aggiornata sullo stato della cybersecurity in Italia per comprendere il contesto delle minacce.

  • Verizon DBIR 2024: il Data Breach Investigations Report per una visione globale sulle tecniche di attacco più comuni.

FAQ — NIS2 per PMI

La formazione NIS2 è obbligatoria?

Sì. Il D.Lgs. 138/2024 prevede che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti seguano una formazione in materia di sicurezza informatica e promuovano una formazione periodica coerente per i dipendenti.

Chi deve seguire la formazione NIS2?

Devono essere formati gli organi di amministrazione e direttivi. In modo coerente con il rischio e con il ruolo svolto, è opportuno formare anche responsabili IT, referenti di funzione, personale coinvolto nei servizi critici e utenti aziendali esposti a rischio phishing o gestione dati.

La security awareness è sufficiente per adempiere alla NIS2?

No. La security awareness è utile per gli utenti, ma non sostituisce la formazione specifica richiesta al management e agli organi direttivi. Servono percorsi differenziati per board, responsabili tecnici e personale operativo.

Come si documenta la formazione NIS2?

L’azienda dovrebbe conservare programma del corso, registro presenze, attestati, materiale formativo, eventuali test di apprendimento, verbali interni e collegamento tra formazione, risk assessment e piano di adeguamento.

Quando va completata la formazione NIS2?

La formazione deve essere pianificata in coerenza con le scadenze operative NIS2 e con l’adozione delle misure di sicurezza. Per le aziende coinvolte nel percorso 2026, è prudente completarla prima della piena operatività delle misure di sicurezza di base.