Adeguamento NIS2: come fare e quanto costa per un'azienda

Lettura 8 min · AstraLoop Studio

Se la tua azienda è finita nel perimetro NIS2, la domanda pratica non è più "cosa dice la direttiva", ma "cosa devo fare, in che ordine e quanto mi costa". La differenza tra chi si adegua con testa e chi butta soldi sta quasi sempre nella sequenza: fare le cose giuste al momento giusto, senza comprare tecnologia prima di aver capito dove sono i buchi.

Questo articolo ti dà il percorso concreto, passo per passo, con le scadenze del 2026 da tenere a mente e i range di costo reali per la consulenza. Non è consulenza legale definitiva, è la mappa operativa che avrei voluto avere davanti prima di iniziare. Per il quadro completo degli obblighi resta il riferimento la guida su cosa devono fare concretamente le PMI con la NIS2, mentre qui ci concentriamo sul "come" e sul "quanto".

Illustrazione di un percorso a tappe che sale verso uno scudo, metafora del percorso di adeguamento NIS2

Prima domanda: rientri davvero nel perimetro?

Sembra banale, ma il primo errore costoso è adeguarsi senza esserne obbligati (o, peggio, ignorare un obbligo che c'è). La NIS2 (Direttiva UE 2022/2555, recepita in Italia dal D.Lgs. 138/2024) si applica per settore e per dimensione, e distingue i soggetti "essenziali" da quelli "importanti", con obblighi e sanzioni diversi.

Prima di spendere un euro in consulenza, verifica se sei dentro il perimetro. Abbiamo dedicato un approfondimento specifico alla domanda "la NIS2 si applica alla mia azienda?", ed è il punto da cui partire. In sintesi contano il settore (energia, trasporti, sanità, digitale, manifatturiero critico, fornitori ICT e diversi altri), il numero di dipendenti e il fatturato. Attenzione anche all'effetto indiretto: se sei fornitore di un soggetto NIS2, il tuo cliente ti chiederà comunque garanzie contrattuali sulla sicurezza, anche quando tu non sei formalmente obbligato.

Le scadenze del 2026 che contano

Il calendario operativo è la cosa che spaventa di più, perché il 2026 è l'anno in cui la NIS2 diventa concreta. I riferimenti da segnare:

  • Registrazione presso l'ACN (Agenzia per la Cybersicurezza Nazionale): i soggetti nel perimetro devono censirsi sulla piattaforma dell'ACN. Le finestre di registrazione sono già passate per molti settori; se non l'hai fatto, è la prima urgenza.
  • Obblighi di notifica degli incidenti dal 1 gennaio 2026: gli incidenti significativi vanno notificati all'ACN con tempistiche stringenti (pre-notifica entro 24 ore, notifica entro 72 ore). Serve avere una procedura pronta, non improvvisarla il giorno dell'attacco.
  • Misure di sicurezza di base entro ottobre 2026: è la scadenza operativa per avere implementato le misure minime richieste (gestione del rischio, controllo accessi, backup, gestione incidenti, sicurezza della supply chain).

Il dettaglio completo, con le date ufficiali e le fasi, è nell'approfondimento sulle scadenze NIS2 per il 2026. Tienilo aperto mentre pianifichi: sforare non è un dettaglio formale, perché le sanzioni NIS2 per l'azienda arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale per i soggetti essenziali.

Il punto che cambia tutto: la responsabilità è del vertice

Qui sta la novità che molti titolari non hanno ancora metabolizzato. Con la NIS2 la responsabilità della cybersicurezza non è più delegabile all'IT o al fornitore esterno. Gli organi di amministrazione (CEO, CdA, amministratore unico) devono approvare le misure di gestione del rischio, vigilare sulla loro attuazione e possono rispondere in prima persona in caso di inadempimento.

In pratica il D.Lgs. 138/2024 prevede anche formazione obbligatoria per gli organi direttivi. Non basta firmare un documento: il vertice deve capire cosa sta approvando. Questo cambia il modo in cui va impostato l'adeguamento, perché non è un progetto tecnico da chiudere in un angolo, ma una decisione di governance.

Il percorso di adeguamento in 6 fasi

Un adeguamento NIS2 fatto bene segue una sequenza precisa. Saltare passaggi o invertirli è il modo più rapido per spendere male. Ecco l'ordine che funziona.

Fase 1. Scoping e gap analysis

Si parte da una fotografia dello stato attuale. Un consulente competente confronta la tua realtà (processi, sistemi, accessi, fornitori, policy esistenti) con i requisiti della NIS2 e produce un documento di gap: cosa c'è, cosa manca, cosa va sistemato. Senza questa fase, ogni investimento successivo è un tiro al buio. È il momento in cui si capisce anche se serve un audit di sicurezza informatica completo come base tecnica, cioè una verifica reale di vulnerabilità e configurazioni, e non solo un check documentale.

Fase 2. Analisi e gestione del rischio

La NIS2 richiede un approccio basato sul rischio. Significa mappare gli asset critici, identificare le minacce concrete (ransomware, phishing, compromissione della supply chain), stimare l'impatto e definire le priorità. Non è un esercizio teorico: è la base su cui giustificherai, anche di fronte all'ACN, perché hai scelto certe misure e non altre.

Fase 3. Implementazione delle misure tecniche e organizzative

Qui entrano le misure vere: multi-factor authentication, gestione degli accessi con privilegi minimi, backup testati (non solo configurati), segmentazione della rete, cifratura, patch management, sicurezza degli endpoint. Sul fronte organizzativo servono policy, procedure, ruoli e responsabilità definiti. È la fase più costosa se hai molto arretrato, ma anche quella dove un buon scoping iniziale ti fa risparmiare, perché sai esattamente cosa serve.

Illustrazione astratta di nodi interconnessi con un lucchetto centrale, metafora della sicurezza della supply chain e delle misure NIS2

Fase 4. Piano di gestione e notifica degli incidenti

Serve una procedura scritta e provata per gestire un incidente: chi fa cosa, in che tempi, chi decide, come si notifica all'ACN nelle 24 e 72 ore. Molte aziende scoprono di non avere una catena di comando chiara solo durante l'attacco, ed è il momento peggiore. Se vuoi capire come funziona la finestra critica, l'articolo su cosa fare nelle 72 ore dopo un data breach è direttamente collegato agli obblighi di notifica NIS2.

Fase 5. Sicurezza della supply chain

È uno dei punti più sottovalutati e più espliciti nella direttiva. Devi valutare la sicurezza dei tuoi fornitori ICT e inserire clausole contrattuali adeguate. I dati parlano chiaro: circa il 30% delle violazioni coinvolge terze parti, e le compromissioni via supply chain sono quadruplicate in cinque anni. La NIS2 ti obbliga a non fidarti ciecamente di chi ti fornisce software e servizi.

Fase 6. Formazione, monitoraggio e mantenimento

L'adeguamento non è un progetto che finisce. Serve formazione per il personale (e per il vertice, come detto), monitoraggio continuo, aggiornamento delle misure e riesami periodici. Un tema oggi centrale è il controllo dell'uso non autorizzato di strumenti AI da parte dei dipendenti: il fenomeno Shadow AI, con dati aziendali incollati su ChatGPT o Copilot, è una falla che la gestione del rischio NIS2 deve considerare, perché intreccia data leak, GDPR e il nuovo AI Act.

Quanto costa adeguarsi alla NIS2: i range reali

Passiamo ai numeri, che è probabilmente il motivo per cui sei qui. Premessa onesta: non esiste un prezzo unico, perché il costo dipende da dimensione, complessità IT, quanto sei già avanti e se sei soggetto essenziale o importante. Detto questo, ti do range realistici del mercato italiano, distinti per componente.

ComponenteCosa includeRange indicativo
Gap analysis / assessment inizialeFotografia stato attuale + documento di gap2.000 - 8.000 €
Analisi del rischio strutturataMappatura asset, minacce, priorità3.000 - 10.000 €
Consulenza per l'implementazioneSupporto a policy, procedure, roadmap tecnica5.000 - 25.000 €
Percorso completo "chiavi in mano" (PMI)Dal gap all'adeguamento documentato10.000 - 40.000 €
Consulenza continuativa / DPO-CISO as a serviceMantenimento, monitoraggio, aggiornamenti800 - 3.000 €/mese

Tre cose da tenere presenti su questi numeri. Primo: sono costi di consulenza, a cui vanno sommati gli investimenti tecnologici (licenze MFA, backup, EDR, eventuali penetration test). Secondo: una PMI mediamente strutturata che parte quasi da zero raramente se la cava sotto i 15.000-20.000 euro complessivi tra consulenza e prime misure. Terzo: chi ti promette l'adeguamento NIS2 "a pacchetto fisso da 990 euro" ti sta vendendo un documento, non una conformità reale.

Da cosa dipende davvero il prezzo

  • Il tuo punto di partenza: se hai già MFA, backup e policy, il grosso del costo è documentale. Se parti da zero, è tutto.
  • La complessità IT: numero di sistemi, sedi, fornitori, dipendenti con accessi.
  • Soggetto essenziale o importante: gli essenziali hanno controlli e obblighi più pesanti.
  • Interno o esterno: fare tutto in casa "costa meno" solo se hai già le competenze; nella maggior parte delle PMI il consulente esterno costa meno degli errori che ti evita.

Vuoi sapere quanto ti costerebbe davvero adeguarti alla NIS2 e da dove partire nel tuo caso specifico? Richiedi un'analisi del tuo perimetro: ti diamo il gap concreto, non un preventivo generico.

Come scegliere un consulente NIS2 (senza farti fregare)

Il mercato della consulenza NIS2 è esploso tra il 2025 e il 2026 e, come sempre quando c'è una scadenza normativa, si è riempito di venditori. Ecco come distinguere un consulente serio da chi vende paura.

  • Parte dal gap, non dal prodotto: se la prima cosa che ti propongono è comprare un software, scappa. Prima si capisce dove sei, poi si decide cosa serve.
  • Ha competenza tecnica reale, non solo legale: la NIS2 è tecnica e organizzativa insieme. Un consulente solo legale non ti implementa nulla; uno solo tecnico non ti copre governance e notifiche. Serve un approccio combinato.
  • Collega NIS2, GDPR e AI Act: sono normative che si sovrappongono. Chi te le tratta come mondi separati ti fa pagare tre volte lo stesso lavoro. Se vuoi il quadro sulla nuova normativa AI, l'articolo sugli obblighi dell'AI Act per le PMI nel 2026 mostra bene quanto i temi si intreccino.
  • Ti lascia documentazione dimostrabile: la conformità va provata. Il consulente deve consegnarti evidenze, non solo dirti "sei a posto".
  • Non promette la conformità in una settimana: un adeguamento serio, per una PMI, richiede in genere dai 2 ai 6 mesi. Chi dice meno sta tagliando.

Un bonus che quasi nessuno ti dice: l'assicurabilità

Adeguarti alla NIS2 non serve solo a evitare sanzioni. Le compagnie che offrono cyber insurance chiedono sempre più spesso proprio le misure che la NIS2 impone: MFA, backup testati, gestione degli incidenti, valutazione dei fornitori. Un'azienda adeguata paga premi più bassi e, soprattutto, non si vede rifiutare il rimborso dopo l'attacco per "misure di sicurezza inadeguate". L'adeguamento è anche un investimento sulla tua assicurabilità. Se vuoi il calcolo a monte, l'analisi sul costo reale di un data breach e il ROI della prevenzione chiarisce perché prevenire conviene rispetto a subire.

Errori tipici da evitare

  • Comprare tecnologia prima della gap analysis: finisci con strumenti che non ti servono e buchi che restano aperti.
  • Trattarlo come un problema solo dell'IT: la responsabilità è del vertice, e il vertice deve essere coinvolto e formato.
  • Ignorare la supply chain: è un obbligo esplicito, non un optional.
  • Non provare mai il piano di incidente: una procedura scritta e mai testata vale poco quando serve davvero.
  • Aspettare la scadenza: con ottobre 2026 alle porte, chi parte all'ultimo trova consulenti pieni e prezzi più alti.

La NIS2 non è un adempimento da subire di malavoglia. È l'occasione per mettere in ordine una sicurezza che, con l'Italia al 10% degli incidenti mondiali e le PMI bersaglio del 72% degli attacchi, in ogni caso ti serve. Fatta bene, ti lascia più protetto, più assicurabile e con una governance della sicurezza che prima non avevi.

Domande frequenti

Quanto costa adeguarsi alla NIS2 per una PMI?

Dipende dal punto di partenza, ma per una PMI mediamente strutturata il costo complessivo tra consulenza e prime misure raramente scende sotto i 15.000-20.000 euro. La sola gap analysis parte da 2.000-8.000 euro. Diffida dai pacchetti fissi sotto i 1.000 euro: vendono documenti, non conformità reale.

Da dove si comincia l'adeguamento NIS2?

Dalla verifica di rientrare nel perimetro e poi dalla gap analysis, cioè la fotografia dello stato attuale confrontato con i requisiti della direttiva. Comprare tecnologia prima di questa fase è l'errore più comune e più costoso.

Quali sono le scadenze NIS2 del 2026?

Gli obblighi di notifica degli incidenti all'ACN partono dal 1 gennaio 2026 (pre-notifica entro 24 ore, notifica entro 72 ore), mentre le misure di sicurezza di base vanno implementate entro ottobre 2026. La registrazione sulla piattaforma ACN, per molti settori, è già una scadenza passata da recuperare con urgenza.

La responsabilità NIS2 è dell'IT o del titolare?

Del vertice. Con il D.Lgs. 138/2024 gli organi di amministrazione approvano le misure di gestione del rischio, vigilano sulla loro attuazione e rispondono in prima persona. È prevista anche formazione obbligatoria per gli organi direttivi. Non è più un problema delegabile all'IT.

Quanto tempo serve per adeguarsi alla NIS2?

Per una PMI, un adeguamento serio richiede in genere dai 2 ai 6 mesi, a seconda di quanto sei già avanti. Chi promette la conformità in una settimana sta tagliando passaggi essenziali.

Serve un consulente esterno o posso fare da solo?

Puoi fare in casa solo se hai già competenze di cybersicurezza e governance. Nella maggior parte delle PMI il consulente esterno costa meno degli errori che ti evita, soprattutto perché sa collegare NIS2, GDPR e AI Act senza farti pagare tre volte lo stesso lavoro.

Se la scadenza di ottobre 2026 ti preoccupa, parlane con noi: mappiamo insieme il tuo stato attuale e ti diciamo con onestà cosa serve, in che ordine e quanto costa.