NIS2 e PMI: Obblighi, Cosa Fare e Come Adeguarsi Entro le Scadenze 2026
Lettura 9 min · AstraLoop Studio
Se guidi una PMI e pensi che la NIS2 sia roba da grandi banche o da multinazionali dell'energia, questo articolo ti riguarda piu di quanto credi. La direttiva europea sulla cybersecurity (recepita in Italia con il D.Lgs. 138/2024) ha allargato di molto la platea dei soggetti obbligati, e con il 2026 scattano le prime scadenze operative concrete. La novita che spiazza la maggior parte degli imprenditori non e tecnica. E la responsabilita diretta e personale che ricade su di te, sull'amministratore delegato e sul consiglio di amministrazione. Non e piu una cosa di cui "si occupa l'IT".
Qui trovi una checklist operativa degli obblighi, spiegata in termini di rischio economico e responsabilita legale, non in gergo da specialisti. Niente allarmismo, ma nemmeno la solita minimizzazione: i numeri del Rapporto Clusit 2026 dicono che le PMI sono il 72% dei bersagli degli attacchi in Italia, e questo cambia il calcolo su cosa conviene fare.

La mia azienda e davvero obbligata? Come capirlo in 3 domande
Prima di spaventarti, verifica se rientri. La NIS2 non si applica a chiunque abbia un'insegna. Il perimetro dipende da tre fattori: dimensione, settore e ruolo nella catena di fornitura. Fai questo controllo veloce.
- Dimensione: di regola rientrano le imprese con almeno 50 dipendenti oppure oltre 10 milioni di euro di fatturato o bilancio annuo. Sotto queste soglie, in linea generale, sei fuori dall'obbligo diretto (ma leggi il punto sulla supply chain).
- Settore: devi operare in uno dei settori "essenziali" o "importanti" elencati negli allegati alla direttiva (energia, trasporti, sanita, acque, infrastrutture digitali, servizi ICT gestiti, produzione di alcuni beni, alimentare, chimica, rifiuti, spazio, poste e altri). Non tutti i comparti sono dentro.
- Fornitore di un soggetto NIS2: anche se sei una micro-impresa fuori perimetro, se sei fornitore critico di un'azienda obbligata i suoi obblighi di sicurezza della supply chain si riverseranno su di te per contratto.
Se hai risposto "si, forse" a due di queste, sei probabilmente coinvolto. Per una verifica ragionata caso per caso abbiamo dedicato un approfondimento su come capire se la NIS2 si applica alla tua azienda. Il primo passo formale, comunque, e la registrazione sulla piattaforma dell'ACN (Agenzia per la Cybersicurezza Nazionale): i soggetti individuati dovevano registrarsi entro le finestre stabilite, e l'ACN comunica poi l'inserimento negli elenchi ufficiali.
Perche questa volta la palla e sulla tua scrivania, non su quella dell'IT
Questo e il punto che voglio inchiodare bene, perche e la vera rivoluzione della NIS2 rispetto al passato. L'articolo 20 della direttiva (e il corrispondente recepimento italiano) stabilisce che gli organi di amministrazione e direzione approvano le misure di gestione dei rischi cyber, ne supervisionano l'attuazione e rispondono delle violazioni. In pratica:
- Il CdA e l'AD devono approvare formalmente le misure di sicurezza. Non basta che l'IT le implementi: serve una delibera consapevole.
- I vertici hanno l'obbligo di formarsi sulla cybersecurity, per essere in grado di valutare i rischi. La formazione dei dirigenti e un obbligo, non un optional.
- In caso di inadempimento, l'ACN puo prevedere responsabilita a carico delle persone fisiche che ricoprono ruoli apicali, fino alla sospensione temporanea da funzioni dirigenziali per i soggetti essenziali nei casi piu gravi.
Tradotto in linguaggio da imprenditore: non puoi piu dire "non lo sapevo, se ne occupava il tecnico". La firma sulla governance della sicurezza e la tua. Ecco perche una valutazione strutturata della sicurezza informatica non e un costo IT ma una decisione di governance: serve a te per sapere cosa stai approvando.
Checklist operativa: gli obblighi NIS2, tradotti in cose da fare
La direttiva impone "misure tecniche, operative e organizzative adeguate e proporzionate". Sembra vago, ma l'articolo 21 elenca dieci aree minime. Le riassumo in una checklist azionabile, con la domanda concreta da farti su ognuna.
| Area obbligo NIS2 | Cosa devi avere in azienda | Domanda di verifica |
|---|---|---|
| Analisi e gestione del rischio | Un processo scritto che identifica gli asset e i rischi | Esiste un documento di valutazione dei rischi aggiornato? |
| Gestione degli incidenti | Procedura di rilevamento, gestione e notifica | Chi fa cosa nelle prime 24 ore di un attacco? |
| Continuita operativa | Backup, disaster recovery, gestione crisi | I backup sono testati e isolati dalla rete? |
| Sicurezza della supply chain | Valutazione dei fornitori ICT critici | Hai clausole di sicurezza nei contratti coi fornitori? |
| Sicurezza in sviluppo e manutenzione | Gestione delle vulnerabilita e delle patch | Ogni quanto aggiorni sistemi, CMS e plugin? |
| Efficacia delle misure | Test e audit periodici | Qualcuno verifica che le difese funzionino davvero? |
| Igiene informatica e formazione | Formazione base per tutto il personale | Le persone sanno riconoscere un phishing? |
| Crittografia | Cifratura dei dati sensibili | I dati critici sono cifrati a riposo e in transito? |
| Controllo degli accessi e MFA | Autenticazione a piu fattori, gestione privilegi | L'MFA e attivo su email, VPN, gestionali? |
| Sicurezza delle risorse umane e asset | Policy su dispositivi e accessi del personale | Esiste una policy scritta su BYOD e strumenti? |
Se leggendo la colonna delle domande ti sei accorto che a meta non sai rispondere, e normale, ed e proprio il segnale che serve un assessment iniziale. Molte di queste aree si intrecciano con obblighi che gia conosci: la cybersecurity per PMI nel 2026 e ormai un unico blocco di adempimenti sovrapposti.

Le scadenze 2026 che devi segnare in agenda
Il 2026 e l'anno in cui la NIS2 smette di essere teoria. L'ACN ha scaglionato gli adempimenti per non travolgere le aziende tutte insieme, ma le date sono precise. Le principali da tenere d'occhio:
- Dal 1 gennaio 2026: entrano in vigore gli obblighi di notifica degli incidenti significativi all'ACN, con la tempistica scaglionata prevista dalla direttiva: pre-allerta entro 24 ore, notifica entro 72 ore, relazione finale entro un mese. Questo e il pezzo che sorprende molti: non notificare un incidente rilevante e a sua volta una violazione.
- Entro ottobre 2026 (finestra sui 18 mesi dall'iscrizione): i soggetti devono aver implementato le misure di sicurezza di base previste dalle determinazioni ACN. E la scadenza "sostanziale": non basta essersi registrati, devono esserci difese reali.
Attenzione a non confondere iscrizione e conformita: registrarsi sulla piattaforma ACN e solo l'atto formale iniziale. Il grosso del lavoro (e delle sanzioni, se salta) sta nell'adeguamento tecnico e organizzativo che segue. Il calendario completo con tutte le finestre lo trovi nel nostro pezzo dedicato alle scadenze NIS2 del 2026.
Quanto costa non adeguarsi: sanzioni e rischio economico
Parliamo di soldi, perche e li che la decisione diventa concreta. La NIS2 introduce sanzioni pesanti, calibrate sulla gravita e sul tipo di soggetto:
- Soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo mondiale, a seconda di quale importo sia maggiore.
- Soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato.
- A questo si aggiunge la possibilita di provvedimenti sui vertici e, per i casi piu gravi nei soggetti essenziali, la sospensione temporanea di funzioni dirigenziali.
Ma la sanzione e solo una faccia. L'altra e il costo dell'incidente che la NIS2 vuole prevenire. Il costo medio di un attacco ransomware per una PMI italiana oscilla tra 35.000 e 250.000 euro tra riscatto, fermo operativo e ripristino, e nel 2026 la tendenza va verso la data corruption e la doppia o tripla estorsione. Se vuoi il conto pieno del danno reale, abbiamo analizzato il costo reale di un data breach per una PMI mettendolo a confronto con il costo della prevenzione. Il dettaglio delle sanzioni caso per caso lo approfondiamo invece nell'articolo sulle sanzioni NIS2 per l'azienda.
Un nodo che quasi nessuno collega: molte polizze di cyber insurance oggi richiedono un livello minimo di misure di sicurezza per essere valide. Un audit ben fatto non serve solo alla NIS2, ti rende assicurabile a condizioni migliori (o assicurabile e basta).
Non sai a che punto sei rispetto alla checklist NIS2? Parlane con noi: partiamo da un assessment onesto dello stato attuale e ti diciamo le priorita reali, senza vendere fumo.
NIS2 non e sola: il combinato con AI Act e GDPR
Qui sta l'errore piu comune tra le PMI: trattare NIS2, GDPR e AI Act come tre scartoffie separate. In realta si sovrappongono, e conviene affrontarli insieme perche molte misure coincidono.
- GDPR: se un incidente NIS2 comporta anche una violazione di dati personali, scatta in parallelo l'obbligo di notifica al Garante Privacy entro 72 ore. Sono due binari che spesso corrono insieme.
- AI Act (Regolamento UE 2024/1689): dal 2 agosto 2026 entrano in fase operativa gli obblighi su parte dei sistemi ad alto rischio, con vigilanza dell'ACN e sanzioni che possono arrivare fino a 35 milioni di euro o il 7% del fatturato. Se usi o integri sistemi di AI, i requisiti di cybersecurity si sommano. Ne parliamo in dettaglio nella guida agli obblighi dell'AI Act 2026 per le PMI.
C'e poi un fenomeno che quasi nessuna azienda ha sotto controllo e che tocca tutti e tre i fronti: la Shadow AI. I tuoi dipendenti incollano dati aziendali dentro ChatGPT, Gemini o Copilot per lavorare piu in fretta: si stima che il 38% condivida informazioni confidenziali e il 78% usi tool AI portati da se. E un rischio di data leak e di violazione GDPR o AI Act che nasce dall'interno, senza alcun attacco. Capire cos'e la Shadow AI e quali rischi comporta e ormai parte integrante di una policy NIS2 seria, ed e proprio una di quelle misure organizzative (policy sull'uso degli strumenti) che la direttiva richiede.
Da dove parti concretamente: i primi 5 passi
Se sei arrivato fin qui, ti serve un ordine di priorita, non altra teoria. Ecco la sequenza che ha senso per una PMI che parte quasi da zero.
- Verifica il perimetro. Stabilisci con certezza se e come rientri (soggetto diretto o via supply chain) e registrati sulla piattaforma ACN nei termini.
- Fai un assessment onesto. Una fotografia reale dello stato attuale rispetto alla checklist qui sopra, per capire la distanza dal traguardo. Non uno scan automatico da 50 euro: una valutazione delle vulnerabilita fatta bene, con occhio umano sulle priorita.
- Chiudi i buchi ad alto impatto e basso costo. MFA ovunque, backup isolati e testati, aggiornamento di sistemi e CMS. Sono le misure che riducono il rischio piu in fretta.
- Metti nero su bianco governance e procedure. Delibera del CdA sulle misure, procedura di notifica incidenti, policy sui fornitori e sull'uso degli strumenti (inclusa l'AI).
- Forma le persone. Vertici sulla governance del rischio, personale sul riconoscimento del phishing aziendale, che nel 2026 e potenziato dall'AI con email iper-realistiche e deepfake vocali.
La NIS2 non chiede la perfezione dal primo giorno: chiede misure adeguate e proporzionate, e soprattutto che tu abbia un processo attivo e documentato. La differenza tra un'azienda sanzionabile e una in regola, spesso, non e la tecnologia ma la capacita di dimostrare di aver preso sul serio il rischio. E quella dimostrazione parte dalla tua scrivania.
Nota: questo articolo ha finalita informative e non costituisce consulenza legale. Per gli obblighi specifici della tua azienda fai riferimento ai testi ufficiali (D.Lgs. 138/2024, direttiva UE 2022/2555) e alle determinazioni dell'ACN, oppure a un consulente qualificato.
Domande frequenti
La NIS2 si applica anche alle piccole imprese sotto i 50 dipendenti?
Di regola l'obbligo diretto scatta da 50 dipendenti o 10 milioni di fatturato, in settori specifici. Ma se sei fornitore critico di un soggetto NIS2, i suoi obblighi di sicurezza della supply chain ti raggiungono comunque per contratto, anche se sei una micro-impresa.
Quali sono le scadenze NIS2 principali del 2026?
Dal 1 gennaio 2026 valgono gli obblighi di notifica incidenti all'ACN (pre-allerta 24h, notifica 72h, relazione finale 1 mese). Entro la finestra sui 18 mesi dall'iscrizione, indicativamente ottobre 2026, vanno implementate le misure di sicurezza di base.
Perche la responsabilita NIS2 ricade sull'amministratore e non sull'IT?
La direttiva stabilisce che gli organi di amministrazione approvano formalmente le misure di sicurezza, ne supervisionano l'attuazione e rispondono delle violazioni. I vertici hanno anche l'obbligo di formarsi. Non e piu delegabile: la firma sulla governance della sicurezza e dei vertici.
Quanto sono alte le sanzioni NIS2 per una PMI?
Per i soggetti essenziali fino a 10 milioni di euro o il 2% del fatturato annuo mondiale; per i soggetti importanti fino a 7 milioni o l'1,4%. Nei casi piu gravi sono previsti anche provvedimenti sui vertici e la sospensione temporanea da funzioni dirigenziali.
Devo affrontare NIS2, GDPR e AI Act separatamente?
No, conviene affrontarli insieme perche molte misure coincidono. Un incidente puo far scattare in parallelo la notifica al Garante Privacy (GDPR), e dal 2 agosto 2026 entrano in fase operativa parti dell'AI Act. Un audit combinato riduce costi e duplicazioni.
Da dove parto se la mia azienda non ha ancora fatto nulla?
Nell'ordine: verifica il perimetro e registrati sulla piattaforma ACN, fai un assessment onesto dello stato attuale, chiudi subito i buchi ad alto impatto (MFA, backup isolati, aggiornamenti), formalizza governance e procedure, forma vertici e personale.
Vuoi sapere con certezza se e come la NIS2 tocca la tua azienda e da dove iniziare? Richiedici un'analisi iniziale senza impegno: ti diciamo dove sei e cosa manca.