NIS2: cosa cambia davvero per le PMI italiane nel 2026

Negli ultimi anni l’Unione europea ha spinto verso regole comuni di cybersicurezza perché la trasformazione digitale ha reso imprese e filiere più interdipendenti: un incidente che nasce in un punto della catena può propagarsi rapidamente su clienti, fornitori e servizi essenziali. La NIS2 nasce proprio per alzare in modo omogeneo la “base minima” di resilienza in settori ritenuti critici per economia e società, rafforzando anche cooperazione e capacità di risposta tra Stati membri.

Questa scelta normativa è anche una risposta al fatto che le minacce più comuni colpiscono la continuità operativa (disponibilità dei servizi), includono ransomware e attacchi ai dati, e tendono a sfruttare vulnerabilità e complessità organizzativa. Il quadro che emerge dai report europei evidenzia che ransomware e minacce alla disponibilità sono stabilmente tra le principali categorie osservate negli incidenti pubblicamente riportati.

Per una PMI, il punto chiave non è “spaventarsi per la norma”, ma leggere il segnale strategico: la cybersecurity non viene più trattata solo come scelta tecnica o polizza assicurativa, ma come disciplina di gestione del rischio d’impresa. Non a caso, la Commissione europea sottolinea che NIS2 porta l’attenzione fino al livello di governance, introducendo accountability del top management e strumenti di supervisione più forti.

Da NIS a NIS2: cosa è cambiato nella sostanza

La prima direttiva NIS (NIS1) copriva un perimetro più ristretto e introduceva due categorie principali: operatori di servizi essenziali e fornitori di servizi digitali, con un regime di vigilanza “più leggero” per questi ultimi. NIS2 supera alcune ambiguità emerse negli anni (disomogeneità tra Paesi e settori, livelli di resilienza non uniformi, difficoltà di risposta comune alle crisi) e amplia il campo di applicazione, introducendo regole più chiare e un’impostazione più robusta su governance, controlli e sanzioni.

Tre cambiamenti sono particolarmente rilevanti per le PMI, anche quando non sono direttamente soggette:

Primo, il perimetro si allarga: oltre ai settori già coperti (energia, trasporti, sanità, finanza, acqua e infrastrutture digitali), NIS2 include anche comunicazioni elettroniche pubbliche e ulteriori servizi digitali, pubbliche amministrazioni centrali e regionali, poste e corrieri, gestione rifiuti e acque reflue, manifattura di prodotti critici e settore spaziale, tra gli altri.

Secondo, la “regola dimensionale”: in linea generale, nel perimetro entrano soprattutto soggetti medio-grandi nei settori inclusi, ma resta la possibilità per gli Stati membri di includere anche soggetti più piccoli se hanno un profilo di rischio elevato o un ruolo particolarmente critico.

Terzo, la supply chain diventa centrale: non si parla più solo di proteggere “il proprio perimetro IT”, ma di gestire il rischio che arriva da fornitori, subfornitori e servizi esternalizzati, con conseguenze dirette su richieste contrattuali e audit nella filiera.

Chi rientra direttamente e come funziona in Italia

In Italia NIS2 è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale ed entrato in vigore il 16 ottobre 2024.

Il decreto definisce l’ambito applicativo in base a settori e tipologie (allegati) e, soprattutto, introduce la distinzione tra “soggetti essenziali” e “soggetti importanti”. In sintesi, sono considerati soggetti essenziali, tra gli altri, i soggetti dell’allegato I che superano le soglie per le medie imprese (quindi grandi imprese), oltre ad alcune categorie che possono rientrare indipendentemente dalla dimensione (per esempio soggetti critici ai sensi della normativa sulla resilienza dei soggetti critici, alcuni servizi fiduciari qualificati, specifiche tipologie legate a DNS e registri TLD, e alcune amministrazioni centrali). I soggetti importanti sono, in generale, quelli che rientrano nell’ambito ma non sono classificati essenziali.

Una bussola rapida per capire se sei soggetto

Per molte PMI la risposta più frequente sarà: non sei direttamente soggetto “per taglia”, ma potresti esserlo o diventarlo in scenari specifici.

Il decreto italiano, infatti, applica la norma ai soggetti degli allegati I e II che superano i massimali per le piccole imprese (quindi, in pratica, almeno medi). Allo stesso tempo, però, prevede eccezioni in cui la dimensione non basta a escludere l’applicazione: per esempio fornitori di reti o servizi di comunicazione elettronica accessibili al pubblico, prestatori di servizi fiduciari, gestori di registri dei nomi di dominio di primo livello, fornitori di servizi DNS e fornitori di servizi di registrazione dei nomi di dominio.

Inoltre, anche un soggetto più piccolo può essere individuato come rilevante se, tra le condizioni, è considerato “elemento sistemico della catena di approvvigionamento” (anche digitale) di uno o più soggetti essenziali o importanti, o se è “impresa collegata” che gestisce sistemi o decisioni da cui dipende la sicurezza del soggetto principale. Questo è il punto che interessa molte PMI ICT e molte aziende che gestiscono servizi critici in outsourcing.

Un dettaglio utile, spesso sottovalutato: le soglie PMI sono quelle della raccomandazione europea (micro: meno di 10 persone e fatturato o bilancio annuo non superiore a 2 milioni; piccola: meno di 50 persone e fino a 10 milioni; media: meno di 250 persone e fino a 50 milioni di fatturato oppure 43 milioni di bilancio).

Sul piano operativo, chi rientra nell’ambito applicativo deve gestire un ciclo annuale di adempimenti. La registrazione o l’aggiornamento dei dati avviene dal 1 gennaio al 28 febbraio di ogni anno (con designazione di un punto di contatto e informazioni di base). L’autorità competente redige poi l’elenco dei soggetti essenziali e importanti entro il 31 marzo. Dopo l’inserimento o la permanenza in elenco, sono previste ulteriori comunicazioni e aggiornamenti, con obbligo di notificare tempestivamente le modifiche e comunque entro quattordici giorni.

L’impatto indiretto sulle PMI

Anche se una PMI non è direttamente soggetta, NIS2 può incidere in modo concreto perché i soggetti obbligati devono adottare misure di gestione del rischio che includono espressamente la sicurezza della catena di approvvigionamento e i rapporti con fornitori diretti e service provider. In altre parole: le aziende NIS2 avranno bisogno di fornitori “misurabili”, non solo affidabili a parole.

Questo effetto filiera è coerente con ciò che emerge dai report sulle violazioni: nelle piccole e medie imprese, il coinvolgimento di terze parti nelle breach è un tema ricorrente e, nel campione analizzato nel report SMB di Verizon, la percentuale di violazioni con coinvolgimento di terze parti risulta raddoppiata dal 15% al 30%.

Nella pratica, l’impatto indiretto sulle PMI tende a manifestarsi in quattro forme, spesso contemporanee:

• Clausole contrattuali più specifiche (ad esempio MFA, gestione patch, backup con test di ripristino, logging, segregazione degli accessi, gestione degli amministratori, controllo sui subfornitori e sui servizi cloud).

• Questionari, audit e richieste di evidenze (policy minime, procedure, registro accessi, evidenze di formazione, risultati di vulnerability assessment o test periodici).

• Tempi di comunicazione più rapidi verso il cliente in caso di incidente, anche se l’incidente è “tecnicamente” gestito da un outsourcer.

• Selezione e razionalizzazione della base fornitori: chi non dimostra un livello minimo di maturità viene scartato o rischia di perdere rinnovi.

La conseguenza è molto concreta: NIS2, per una grande quota di PMI, non entra dalla porta “sanzione diretta”, ma dalla porta “requisito di mercato”.

Obblighi operativi che contano davvero

Per i soggetti direttamente soggetti, la logica è: misure “adeguate e proporzionate” ai rischi, dimostrabili, aggiornate allo stato dell’arte e implementate con criteri di gradualità. Il decreto italiano esplicita che l’autorità competente definisce obblighi e tempistiche secondo proporzionalità e gradualità, tenendo conto di esposizione al rischio, dimensione, probabilità e gravità degli incidenti, e differenziando anche in base alla rilevanza delle attività e dei servizi.

Il cuore operativo sta nella lista minima di elementi delle misure di gestione del rischio. È una lista utile anche per le PMI “indirettamente coinvolte”, perché di fatto anticipa cosa i clienti potrebbero chiedere.

Il decreto include almeno:

• Politiche di analisi dei rischi e sicurezza dei sistemi.

• Gestione degli incidenti, incluse procedure e strumenti per le notifiche.

• Continuità operativa, con backup, ripristino in caso di disastro e gestione delle crisi.

• Sicurezza della supply chain, includendo la sicurezza nei rapporti con fornitori diretti e service provider.

• Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi, inclusa gestione e divulgazione delle vulnerabilità.

• Valutazione dell’efficacia delle misure.

• Regole su crittografia e cifratura.

• Controllo accessi, gestione asset, sicurezza e affidabilità del personale.

• Uso di autenticazione a più fattori o continua e comunicazioni protette ove opportuno.

Accanto a questo, NIS2 spinge la cybersecurity in “boardroom”. Il decreto italiano stabilisce che gli organi di amministrazione e direttivi approvano le modalità di implementazione delle misure, sovrintendono gli obblighi e possono essere responsabili delle violazioni; inoltre devono seguire formazione e promuovere formazione periodica per i dipendenti.

Notifica incidenti: cosa significa ventiquattro ore in pratica

Sulla notifica incidenti, NIS2 è uno dei punti più “operativi” e meno interpretabili. Il decreto italiano prevede la notifica al CSIRT Italia degli incidenti “significativi” che impattano sui servizi. Un incidente è considerato significativo se causa o può causare grave perturbazione operativa o perdite finanziarie, oppure se provoca o può provocare impatti rilevanti su terzi (perdite materiali o immateriali considerevoli).

Le tempistiche sono serrate:

• pre-notifica entro 24 ore da quando si è venuti a conoscenza dell’incidente significativo;

• notifica entro 72 ore con valutazione iniziale (gravità, impatto, indicatori di compromissione se disponibili);

• relazione finale entro un mese dalla notifica, con descrizione dettagliata, root cause probabile, misure adottate e (se noto) impatto transfrontaliero;

• se l’incidente è in corso, report di avanzamento e relazione finale entro un mese dalla conclusione della gestione.

Questo non significa “avere tutto chiaro” entro 24 ore. Significa, però, avere un processo interno che consenta di riconoscere rapidamente l’evento, attivare escalation, iniziare a raccogliere evidenze, e produrre una prima comunicazione coerente. È un cambio di mentalità importante, perché riduce l’improvvisazione. Una nota utile: il decreto specifica anche che la notifica non espone il soggetto a una maggiore responsabilità rispetto a quella derivante dall’incidente.

Sanzioni, errori comuni e preparazione pragmatica

Le conseguenze della non conformità sono reali, ma vanno lette con concretezza, non con allarmismo. Il decreto attribuisce poteri di verifica e ispezione che includono controlli documentali, ispezioni in loco e a distanza (anche casuali) e richieste di accesso a dati e documenti. Per i soggetti importanti, i poteri ispettivi si applicano tipicamente quando emergono elementi di prova o indicazioni di possibili violazioni.

Sul fronte sanzionatorio, il decreto prevede per violazioni legate a governance, gestione del rischio e notifica incidenti (tra le altre) sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale per i soggetti essenziali, e fino a 7 milioni o all’1,4% per i soggetti importanti (con soglie specifiche diverse per alcune pubbliche amministrazioni).

C’è anche un tema di responsabilità del management: il decreto prevede che, in determinate condizioni (per esempio in caso di mancato adempimento a diffide), possano essere applicate misure accessorie come l’incapacità temporanea a svolgere funzioni dirigenziali all’interno del medesimo soggetto. Questo è uno dei motivi per cui NIS2 non può essere delegata solo all’IT.

Nel dibattito quotidiano emergono alcuni errori interpretativi che, in una PMI, portano a spendere male tempo e budget.

Il primo è pensare che “NIS2 riguarda solo chi è direttamente incluso”. In realtà, già la struttura degli obblighi sulla supply chain e l’evidenza del peso delle terze parti nelle violazioni rendono prevedibile una cascata di requisiti sui fornitori.

Il secondo è ridurre tutto a un acquisto tecnologico. NIS2 richiede processi e prove: policy, ruoli, procedure, verifiche di efficacia, formazione, capacità di gestire incidenti e continuità operativa.

Il terzo è confondere NIS2 con altre normative. Il decreto italiano chiarisce che restano ferme le regole in materia di protezione dei dati personali (GDPR e codice privacy), quindi un incidente può avere impatti paralleli su più piani, ma con logiche e obblighi diversi.

Come prepararsi in modo pragmatico, da PMI direttamente soggetta o da PMI fornitrice?

Un percorso realistico funziona se è graduale e orientato ai servizi critici, non “a tappeto” su tutto.

• Assessment iniziale mirato: identifica i servizi che, se fermi, bloccano fatturato, produzione, logistica o assistenza; mappa dipendenze (fornitori, cloud, MSP), punti di guasto, account privilegiati, backup e capacità di ripristino. Questo riduce la tendenza a lavorare “a sensazione”.

• Priorità ad alto impatto: in molte PMI i controlli che spostano davvero l’ago della bilancia sono identità e accessi (MFA e gestione amministratori), backup con test periodici, patching e gestione vulnerabilità, logging essenziale, segmentazione di base dove serve, formazione pratica su phishing e gestione credenziali.

• Gestione incidenti “pronta all’uso”: definisci un canale di escalation, contatti aggiornati, criteri per classificare la significatività, e un minimo di template informativi. Considera che NIS2 richiede notifiche su finestre temporali brevi.

Qui entra anche una considerazione competitiva: molte imprese italiane scoprono NIS2 quando un cliente chiede un questionario o un audit. Arrivare preparati, con evidenze semplici ma ordinate, riduce tempi commerciali, abbassa il rischio di esclusione dalle gare e aumenta fiducia e stabilità dei contratti.

Infine, uno sguardo al quadro europeo che evolve: a gennaio 2026 la Commissione europea ha presentato una proposta di modifiche mirate per semplificare alcuni aspetti e aumentare la chiarezza giurisdizionale, con l’intento dichiarato di ridurre oneri di compliance per molte aziende, incluse numerose micro e piccole imprese, e di allineare meglio il sistema con altre regole cyber. È un segnale che il legislatore europeo cerca un equilibrio tra robustezza e sostenibilità, ma anche che il tema resterà in agenda e continuerà ad affinarsi.

In conclusione, la resilienza digitale non è uno stato “perfetto” da raggiungere una volta sola: è una capacità da costruire e mantenere. NIS2 rende questa capacità più misurabile e, per molte PMI, più inevitabile per restare nella filiera. In Onova Cloud vediamo spesso che l’approccio che funziona non è inseguire la compliance come adempimento, ma usarla come cornice per ridurre downtime, prevenire incidenti ripetuti e gestire meglio fornitori e responsabilità. Il risultato migliore, per una PMI, è essere pronta, verificabile e migliorabile, con investimenti graduali ma continui.