NIS2 si Applica alla Mia Azienda? Come Capirlo in 5 Minuti
Lettura 8 min · AstraLoop Studio
La domanda te la sei fatta anche tu, probabilmente dopo aver ricevuto un questionario da un cliente o dopo aver letto l'ennesimo articolo allarmistico: "questa NIS2 riguarda anche me?". La risposta breve è che dipende da tre cose: il settore, la dimensione e chi hai come clienti. La risposta lunga si costruisce in cinque minuti seguendo un percorso a ostacoli, ed è esattamente quello che facciamo qui.
Ti do subito il quadro. La Direttiva UE 2022/2555 (NIS2) è stata recepita in Italia con il Decreto Legislativo 138/2024, entrato in vigore il 16 ottobre 2024. L'autorità competente è l'ACN (Agenzia per la Cybersicurezza Nazionale). Le aziende che rientrano si sono dovute registrare sulla piattaforma ACN entro la finestra di inizio 2025, e nel 2026 scattano gli obblighi concreti: le misure di base e la notifica degli incidenti diventano operative nei primi mesi dell'anno, mentre il regime a pieno regime matura entro l'autunno 2026. Se non ti sei ancora registrato e rientri, sei già in ritardo.
Prima di entrare nel dettaglio, una nota di onestà. NIS2 non è una checklist da spuntare in un pomeriggio. Capire se rientri è il primo passo, ma anche se scopri di essere fuori dal perimetro diretto potresti finirci dentro dalla porta di servizio, come fornitore. Vediamo tutto, in ordine.

I tre filtri: settore, dimensione, catena di fornitura
NIS2 non guarda al fatturato in senso classico e non riguarda "tutte le aziende digitali". Funziona per esclusione progressiva. Devi passare tre filtri in cascata. Se ti fermi al primo, sei fuori dal perimetro diretto (ma leggi comunque la sezione sulla supply chain). Se li superi tutti, rientri.
- Filtro settore. La tua attività appartiene a uno dei settori elencati negli Allegati I e II del decreto?
- Filtro dimensione. Superi le soglie di dimensione (dipendenti oppure fatturato e bilancio)?
- Filtro catena. Anche se sei fuori dai primi due, un tuo cliente soggetto a NIS2 ti sta chiedendo garanzie contrattuali di sicurezza?
Andiamo con ordine, perché è qui che quasi tutti sbagliano l'autovalutazione.
Filtro 1: sei in un settore NIS2?
Il decreto distingue due gruppi. I settori dell'Allegato I sono considerati "ad alta criticità", quelli dell'Allegato II sono "altri settori critici". La differenza pratica conta soprattutto per classificarti come soggetto essenziale o importante (ci arriviamo tra poco).
Settori ad alta criticità (Allegato I)
- Energia (elettricità, gas, petrolio, teleriscaldamento, idrogeno)
- Trasporti (aereo, ferroviario, per vie d'acqua, su strada)
- Settore bancario e infrastrutture dei mercati finanziari
- Sanità (ospedali, laboratori, produzione di dispositivi medici e farmaci critici)
- Acqua potabile e acque reflue
- Infrastrutture digitali (data center, cloud, DNS, TLD, reti di comunicazione elettronica)
- Gestione dei servizi ICT B2B (managed service provider e managed security service provider)
- Pubblica amministrazione (secondo i criteri del decreto italiano)
- Spazio
Altri settori critici (Allegato II)
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione, produzione e distribuzione di sostanze chimiche
- Produzione, trasformazione e distribuzione di alimenti
- Fabbricazione di dispositivi medici, elettronica, macchinari, veicoli e altri mezzi di trasporto
- Fornitori di servizi digitali (marketplace online, motori di ricerca, piattaforme di social network)
- Ricerca
Attenzione al manifatturiero, perché è la trappola più comune. Molti titolari di aziende di produzione ragionano così: "io faccio mobili, non sono un'infrastruttura critica, sono fuori". Falso. Se produci dispositivi medici, componenti elettronici, macchinari, autoveicoli o alimenti trasformati, sei nell'Allegato II. Un'azienda meccanica del Nord-Est che fornisce componenti per macchinari industriali rientra nel settore "fabbricazione di macchinari", punto.
Se dopo aver letto queste liste il tuo settore non compare da nessuna parte (per esempio sei un'agenzia di comunicazione, un negozio al dettaglio o uno studio di consulenza generico), il filtro 1 ti esclude dal perimetro diretto. Salta pure al filtro 3, perché la supply chain potrebbe comunque tirarti dentro.
Filtro 2: superi le soglie di dimensione?
Rientrare in un settore non basta. NIS2 usa il criterio delle medie e grandi imprese, mutuato dalla raccomandazione europea sulle PMI. In pratica devi superare la soglia della piccola impresa. Sei dentro se, in generale:
- Hai almeno 50 dipendenti, oppure
- Hai un fatturato annuo e un totale di bilancio superiori a 10 milioni di euro.
Se hai meno di 50 dipendenti e resti sotto i 10 milioni sia di fatturato sia di bilancio, di norma NIS2 non ti si applica in via diretta. Con un'eccezione importante: alcune categorie rientrano a prescindere dalla dimensione. Parliamo di soggetti come i fornitori di reti di comunicazione elettronica, i fornitori di servizi DNS, i registri TLD, i fornitori di servizi fiduciari, la pubblica amministrazione secondo i criteri del decreto e i soggetti identificati come critici per la sicurezza nazionale. Se sei un provider di telecomunicazioni o un servizio DNS, non ti salva l'essere piccolo.
Essenziale o importante? La distinzione che cambia le sanzioni
Se superi i filtri 1 e 2, il decreto ti classifica come soggetto essenziale o importante. In estrema sintesi: le grandi imprese nei settori ad alta criticità dell'Allegato I tendono a essere essenziali, mentre le medie imprese e i soggetti dell'Allegato II tendono a essere importanti. Gli obblighi di sicurezza sono sostanzialmente gli stessi, ma cambia il regime di vigilanza (più stringente e proattivo per gli essenziali) e cambia il tetto delle sanzioni. Abbiamo dedicato un approfondimento specifico alle sanzioni NIS2 per le aziende e a come vengono calcolate, perché i numeri fanno paura più delle parole.

Filtro 3: sei fornitore di un soggetto NIS2? L'effetto a catena
Qui sta il punto che quasi nessun articolo spiega bene, ed è quello che tira dentro migliaia di PMI italiane che si credevano al sicuro. NIS2 impone ai soggetti obbligati di gestire il rischio derivante dalla propria catena di fornitura. Tradotto: chi rientra deve valutare la sicurezza dei propri fornitori e pretendere garanzie.
Cosa significa per te, che magari sei una software house da 15 persone, uno studio che gestisce l'infrastruttura IT di un ospedale o un fornitore di componenti per un'azienda energetica? Significa che il tuo cliente NIS2, per essere lui conforme, è obbligato a scaricare requisiti di sicurezza su di te per contratto. Non perché la legge ti classifichi direttamente come soggetto NIS2, ma perché il tuo cliente non può permettersi un fornitore che sia il suo anello debole.
I numeri raccontano perché questo pezzo è centrale. Secondo le rilevazioni di settore, le compromissioni via supply chain sono cresciute di circa quattro volte in cinque anni e oggi circa il 30% delle violazioni coinvolge una terza parte. Un attaccante non buca l'ospedale, buca il piccolo fornitore che ha le credenziali di accesso al gestionale dell'ospedale. Ecco perché NIS2 obbliga i grandi a controllare i piccoli.
Come arriva concretamente
Nella pratica lo vedi arrivare così:
- Un questionario di sicurezza allegato al rinnovo del contratto, con decine di domande su backup, autenticazione, gestione degli accessi e formazione del personale.
- Clausole contrattuali che ti impongono di notificare gli incidenti al cliente entro finestre temporali strette.
- La richiesta di dimostrare di aver fatto un audit di sicurezza o un vulnerability assessment aggiornato.
- In alcuni casi, la richiesta di una certificazione o di allinearti a un framework tipo ISO 27001.
Se non rispondi in modo credibile, il rischio non è una multa dall'ACN (quella la prende il tuo cliente): il rischio è perdere il contratto. Il cliente NIS2 sostituisce il fornitore non conforme con uno che gli dà garanzie. Questo è il vero motore economico che sta spingendo tutta la filiera ad alzare l'asticella, molto più delle sanzioni. Per capire come strutturare una risposta seria a queste richieste, conviene partire da una guida completa all'audit di sicurezza informatica per le PMI che colleghi valutazione del rischio, misure tecniche e documentazione.
L'albero decisionale in 5 minuti
Ricapitoliamo tutto in uno schema che puoi percorrere adesso, con carta e penna.
| Passo | Domanda | Se SÌ | Se NO |
|---|---|---|---|
| 1 | Il mio settore è negli Allegati I o II? | Vai al passo 2 | Vai al passo 4 |
| 2 | Ho almeno 50 dipendenti OPPURE oltre 10 milioni di fatturato e bilancio? | Vai al passo 3 | Vai al passo 4 (salvo eccezioni "a prescindere dalla dimensione") |
| 3 | Rientro direttamente | Soggetto ESSENZIALE o IMPORTANTE: registrazione ACN più obblighi 2026 | - |
| 4 | Ho tra i clienti un soggetto NIS2 (o non lo so)? | Effetto supply chain: preparati a questionari e clausole | Fuori dal perimetro, ma il livello di sicurezza resta un tema di business |
Nota bene il passo 4: anche un "NO" secco non ti dà licenza di ignorare la sicurezza. Il Rapporto Clusit 2026 segnala che le PMI rappresentano circa il 72% dei bersagli degli attacchi in Italia, con l'Italia che pesa per circa il 10% degli incidenti mondiali e attacchi gravi in crescita a doppia cifra. NIS2 o non NIS2, sei nel mirino. La differenza è che se rientri la sicurezza diventa un obbligo di legge con responsabilità personale per l'organo di gestione; se non rientri, resta comunque una questione di sopravvivenza aziendale.
Se rientri: cosa cambia nel 2026 (in sintesi)
Non è oggetto di questo articolo entrare in ogni singola misura, ma ti do la fotografia per capire la portata. Se sei un soggetto NIS2 devi occuparti di analisi del rischio, gestione degli incidenti, continuità operativa e backup, sicurezza della supply chain, igiene informatica di base e formazione, controllo degli accessi e crittografia dove serve. E soprattutto: la responsabilità di garantire tutto questo ricade sull'organo di gestione, non più delegabile all'ufficio IT. CEO e consiglio di amministrazione rispondono in prima persona, e il decreto prevede anche formazione obbligatoria per gli amministratori.
Sul fronte tempi, ricorda le due scadenze chiave: la notifica degli incidenti significativi all'ACN entra nel vivo nella prima parte del 2026, mentre l'implementazione completa delle misure di sicurezza matura entro l'autunno. Se vuoi la cronologia precisa scadenza per scadenza, abbiamo mappato tutto nell'articolo dedicato alle scadenze NIS2 del 2026, e trovi il dettaglio operativo di cosa fare passo passo nella guida agli obblighi NIS2 per le PMI.
Non sai in quale ramo dell'albero decisionale ti trovi o come rispondere al questionario di un cliente? Richiedici un'analisi: mettiamo nero su bianco se rientri e cosa ti serve davvero.
NIS2, AI Act e GDPR: attenzione a non guardarli separati
Un errore che vediamo spesso è trattare NIS2 come un adempimento isolato. In realtà il 2026 porta tre normative che si sovrappongono. C'è il GDPR (Regolamento UE 2016/679), già in vigore, che riguarda i dati personali e ha il Garante Privacy come autorità. C'è l'AI Act (Regolamento UE 2024/1689), che dal 2 agosto 2026 entra nella fase operativa per i sistemi ad alto rischio, con obblighi di cybersicurezza e vigilanza dell'ACN e sanzioni che possono arrivare fino a 35 milioni di euro o al 7% del fatturato mondiale. E c'è NIS2.
Le tre cose condividono un nucleo comune: valutazione del rischio, gestione degli incidenti, governance documentata. Ha poco senso avviare tre progetti scollegati. Se hai un sistema di intelligenza artificiale in azienda vale la pena capire come si incastra, e abbiamo scritto una guida sugli obblighi dell'AI Act per le PMI pensata per chi non ha un ufficio legale interno. Se invece vuoi inquadrare la sicurezza in modo organico, la nostra guida alla cyber security per le PMI 2026 mette in fila le priorità senza tecnicismi inutili.
Un rischio spesso ignorato: la Shadow AI
Mentre ti chiedi se rientri in NIS2, c'è una falla che sta già erodendo la tua conformità senza che nessuno l'abbia decisa a tavolino: i tuoi dipendenti che incollano dati aziendali dentro ChatGPT, Gemini o Copilot. Le rilevazioni indicano che circa il 38% dei dipendenti condivide dati confidenziali con strumenti di AI e che circa il 78% porta in azienda tool AI propri, fuori da ogni controllo. È un problema di sicurezza della supply chain (i tuoi dati finiscono su servizi terzi) e insieme un potenziale problema GDPR e AI Act. Se vuoi approfondire, abbiamo un pezzo dedicato a cos'è la Shadow AI e quali rischi comporta. Il punto è chiaro: un audit serio oggi guarda anche a questo, non solo ai firewall.
Cosa fare adesso, in ordine di priorità
- Fai l'autovalutazione seria. Percorri i tre filtri. Se hai il minimo dubbio sul settore (soprattutto se sei manifatturiero o ICT service provider), verifica il codice ATECO rispetto agli allegati del D.Lgs. 138/2024.
- Se rientri e non ti sei registrato, muoviti subito sulla piattaforma ACN. Il ritardo è già di per sé una posizione di rischio.
- Se sei fornitore di un soggetto NIS2, non aspettare il questionario. Preparati prima, perché rispondere con credibilità a una richiesta di garanzie è molto più facile se hai già fatto un vulnerability assessment.
- Se sei fuori da tutto, non abbassare la guardia. Le PMI sono il bersaglio numero uno e un data breach costa a una piccola impresa tra i 35.000 e i 250.000 euro tra fermo, ripristino e danni reputazionali.
In tutti e quattro i casi il punto di partenza è lo stesso: sapere dove sei vulnerabile. Non lo scopri leggendo un decreto, lo scopri con un'analisi tecnica della tua infrastruttura. Se non sai da dove cominciare, parti dal capire la differenza tra vulnerability assessment e penetration test, così scegli lo strumento giusto per il tuo livello di rischio invece di comprare a scatola chiusa.
NIS2 non è un mostro burocratico da temere, è un acceleratore. Ti costringe a fare cose che, mirino normativo o no, ti conviene fare comunque. La domanda "si applica alla mia azienda?" è solo l'inizio. La domanda vera è un'altra: "sono in grado di dimostrare a un cliente, a un'autorità o a un giudice che sto proteggendo i miei dati?". A quella si risponde con i fatti, non con una spunta.
Domande frequenti
NIS2 si applica alle piccole imprese sotto i 50 dipendenti?
In via diretta di norma no: NIS2 usa il criterio delle medie e grandi imprese (almeno 50 dipendenti oppure oltre 10 milioni di fatturato e bilancio). Ci sono però eccezioni che rientrano a prescindere dalla dimensione, come i fornitori di reti di comunicazione, i servizi DNS e i servizi fiduciari. E anche se sei piccolo, puoi essere coinvolto come fornitore di un soggetto NIS2.
Come faccio a sapere se il mio settore rientra in NIS2?
Controlla gli Allegati I e II del D.Lgs. 138/2024. L'Allegato I copre energia, trasporti, banche, sanità, acqua, infrastrutture e servizi ICT, PA e spazio. L'Allegato II copre poste, rifiuti, chimica, alimentare, fabbricazione di dispositivi medici, elettronica, macchinari e veicoli, servizi digitali e ricerca. Verifica il tuo codice ATECO rispetto a queste liste.
Sono un fornitore di un'azienda NIS2, devo adeguarmi anch'io?
Non sei classificato direttamente come soggetto NIS2, ma il tuo cliente è obbligato a gestire il rischio della sua catena di fornitura, quindi ti scaricherà requisiti di sicurezza per contratto: questionari, clausole di notifica incidenti, richieste di audit. Non rispondere in modo credibile può farti perdere il contratto, che è il vero rischio economico per te.
Qual è la differenza tra soggetto essenziale e soggetto importante?
Gli obblighi di sicurezza sono sostanzialmente gli stessi. Cambia il regime di vigilanza, più proattivo e stringente per gli essenziali, e cambia il tetto delle sanzioni, più alto per gli essenziali. In generale le grandi imprese dei settori ad alta criticità (Allegato I) sono essenziali, mentre le medie imprese e i soggetti dell'Allegato II tendono a essere importanti.
Quali sono le scadenze NIS2 per il 2026?
La registrazione dei soggetti sulla piattaforma ACN è avvenuta nella finestra di inizio 2025. Nel 2026 la notifica degli incidenti significativi entra nel vivo nella prima parte dell'anno e l'implementazione completa delle misure di sicurezza matura entro l'autunno. Se rientri e non ti sei registrato, sei già in ritardo.
Chi è responsabile della conformità NIS2 in azienda?
La responsabilità ricade sull'organo di gestione (CEO e consiglio di amministrazione) e non è più delegabile all'ufficio IT. Il decreto prevede anche formazione obbligatoria per gli amministratori. È uno dei cambiamenti più rilevanti rispetto al passato: la sicurezza diventa una responsabilità diretta e personale del vertice.
Parlane con noi: valutiamo insieme la tua posizione rispetto a NIS2 e ti diciamo, senza fuffa, dove sei scoperto e da dove conviene partire.