“NIS2? Quella roba vale per le grandi aziende, non per noi.”
Se hai pensato qualcosa di simile, non sei il solo. È la risposta più comune tra gli imprenditori di PMI quando si parla di questa normativa. Ed è esattamente il motivo per cui vale la pena fermarsi cinque minuti a capire se è davvero così.
Perché la realtà, nel 2026, è un’altra: la NIS2 è già in vigore in Italia, i controlli sono iniziati, e molte PMI rientrano negli obblighi senza saperlo. Alcune direttamente, molte altre come fornitori di aziende più grandi già soggette.
In questo articolo ti spieghiamo cos’è la NIS2, come capire se riguarda la tua azienda e cosa succede se non ti adegui. Senza tecnicismi, in cinque minuti.
Cos’è la NIS2 e perché è diversa da tutto quello che è venuto prima
La NIS2 (Direttiva UE 2022/2555) è la normativa europea sulla cybersecurity che ha sostituito la precedente direttiva NIS del 2016. L’Italia l’ha recepita con il Decreto Legislativo 138/2024, in vigore dal 16 ottobre 2024.
La differenza rispetto al passato è sostanziale. La vecchia NIS riguardava un numero limitato di grandi operatori in settori critici. La NIS2 ha allargato enormemente il perimetro, includendo 18 settori e abbassando la soglia dimensionale per essere considerati soggetti obbligati.
Il punto che molti non colgono è questo: la NIS2 non riguarda solo la tecnologia. Introduce obblighi su governance, processi interni, gestione della supply chain, continuità operativa e notifica degli incidenti. Non basta avere un firewall. Bisogna dimostrare che la sicurezza è organizzata, monitorata e gestita con responsabilità precise. E saperlo documentare.
Chi è soggetto alla NIS2: le soglie che devi conoscere
Il primo criterio per capire se sei coinvolto è dimensionale. In generale, rientrano nel perimetro NIS2 le aziende con:
- Almeno 50 dipendenti, oppure
- Almeno 10 milioni di euro di fatturato annuo
che operano in uno dei settori coperti dalla normativa.
I settori ad alta criticità includono energia, trasporti, sanità, banche e infrastrutture finanziarie, infrastrutture digitali, gestione delle acque. I settori critici includono produzione manifatturiera, servizi postali, gestione dei rifiuti, chimica, alimentare, fornitori IT e digitali.
Se la tua azienda opera nel manifatturiero, nella logistica, nei servizi IT o è fornitore di realtà più grandi in settori critici, la probabilità che tu rientri nel perimetro è alta, anche se non ci hai mai pensato.
E se non raggiungi le soglie dimensionali?
Attenzione: anche le aziende sotto i 50 dipendenti possono essere coinvolte. La NIS2 impone ai soggetti essenziali e importanti di valutare e monitorare la sicurezza della propria supply chain. Se fornisci servizi IT, logistici, di manutenzione o qualsiasi servizio critico a un’azienda NIS2, il tuo profilo di sicurezza diventa parte della loro compliance. In pratica: il tuo cliente ti chiederà di dimostrare che sei adeguatamente protetto.
Le scadenze: cosa è già successo e cosa manca
Ecco la timeline che ogni imprenditore deve conoscere:
Ottobre 2024: il D.Lgs. 138/2024 entra in vigore in Italia. La NIS2 diventa legge.
Febbraio 2025: scadenza per la registrazione sulla piattaforma ACN (Agenzia per la Cybersicurezza Nazionale) per le aziende obbligate.
Luglio 2025: scadenza per sviluppare le procedure interne di notifica degli incidenti gravi.
Ottobre 2026: scadenza finale per implementare tutte le misure di sicurezza definite dall’ACN. Per i soggetti essenziali sono 43 misure, per i soggetti importanti 37.
Se sei soggetto alla NIS2 e non hai ancora fatto nulla, non sei in una posizione comoda. Ma agire adesso è ancora possibile, e molto meno costoso che aspettare una sanzione.
Le sanzioni: numeri che fanno riflettere
La NIS2 prevede sanzioni significative per chi non si adegua:
Per i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (si applica il maggiore dei due).
Per i soggetti importanti: fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo.
Ma le sanzioni economiche non sono l’unico rischio. La normativa introduce anche la responsabilità personale degli amministratori in caso di mancato adeguamento. In altre parole, non è solo l’azienda a rischiare: rischi tu, come persona.
Il nodo della supply chain: perché riguarda più aziende di quanto si pensi
Questo è il punto che più sorprende gli imprenditori del Nord Italia, dove la struttura produttiva è fatta di filiere e subfornitura.
Immagina di essere un’azienda manifatturiera di medie dimensioni che fornisce componenti a un grande gruppo industriale. Quel gruppo è soggetto NIS2. La NIS2 gli impone di valutare e gestire i rischi di cybersecurity dell’intera supply chain. Prima o poi, in modo formale, ti chiederà di dimostrare che la tua infrastruttura informatica è sicura.
Non è fantascienza: è già successo. Alcune grandi aziende italiane hanno già inviato questionari di valutazione ai propri fornitori. Chi non è in grado di rispondere rischia di perdere contratti, non solo sanzioni.
Cosa fare adesso: i primi passi concreti
Se stai leggendo questo articolo e non sai ancora con certezza se sei soggetto alla NIS2, il primo passo è capirlo. Non è sempre immediato: dipende dal settore, dalla dimensione, dal ruolo nella filiera e da come è strutturata la tua attività.
Ci sono alcune domande che puoi farti subito:
- La tua azienda ha più di 50 dipendenti o supera i 10 milioni di fatturato?
- Opera in uno dei 18 settori NIS2?
- Fornisce servizi critici a grandi aziende o enti pubblici?
- Ha già ricevuto richieste da clienti sulla propria postura di sicurezza?
Se hai risposto sì anche a una sola di queste domande, vale la pena approfondire.
Il secondo passo è capire a che punto sei rispetto agli obblighi previsti: registrazione ACN, procedure di notifica degli incidenti, misure di sicurezza implementate. Ogni azienda parte da un punto diverso, e un’analisi tecnica permette di capire il gap reale e il percorso più efficiente per colmarlo.
NIS2 non è solo un obbligo: è un’opportunità
Vale la pena dirlo chiaramente: adeguarsi alla NIS2 non è solo evitare sanzioni. È costruire un’infrastruttura di sicurezza più solida, che protegge il tuo business, i tuoi clienti e i tuoi dati. In un mercato dove la fiducia digitale conta sempre di più, essere conformi è anche un vantaggio competitivo.
Le PMI che affrontano questo percorso con metodo, spesso si ritrovano con processi più chiari, infrastrutture più stabili e una posizione più forte nei confronti di clienti e partner.
Non sai se la tua azienda è soggetta alla NIS2 o da dove iniziare?
Richiedi una valutazione gratuita. Il nostro team analizza la tua situazione in una call di 20 minuti e ti dice subito se sei soggetto, con quale livello di obbligo e cosa fare concretamente.
