Dal 15 ottobre 2024, la Direttiva NIS2 è realtà anche in Italia. Se la tua PMI supera i 50 dipendenti o 10 milioni di euro di fatturato, rientra negli obblighi di conformità. Non adeguarsi costa fino a 20 milioni di euro.
Panoramica in 20 secondi
La confusione più comune tra le PMI italiane riguarda il perimetro della NIS2. Non tutti i soggetti sono soggetti agli stessi obblighi. La Direttiva distingue due categorie: i soggetti essenziali e i soggetti importanti. Un soggetto essenziale è un grande operatore che gestisce infrastrutture critiche per il Paese — pensiamo a un provider di energia elettrica, una rete di trasporto pubblico, un ospedale, un gestore di acque, un fornitore di servizi di infrastruttura digitale (cloud, hosting, DNS). Sono imprese che, se colpite da un attacco informatico, mettono a rischio la stabilità economica e la sicurezza pubblica dell'Italia. I soggetti importanti sono invece imprese di medie dimensioni che operano in settori specifici elencati nell'Allegato II della Direttiva: manifatturiero di dispositivi medici, chimico, alimentare, servizi postali, fornitori di servizi digitali come software house, web hosting, registrar di domini. La soglia dimensionale è chiara: la tua azienda rientra se ha almeno 50 dipendenti oppure un fatturato annuale di 10 milioni di euro. Se sei una PMI che produce software per il settore sanitario, ad esempio, o fornisci servizi cloud anche a clienti civili, probabilmente sei un soggetto importante e devi adeguarti. La registrazione nel Registro Nazionale dei Soggetti Essenziali e Importanti (RNSECI) presso l'Agenzia per la Cybersicurezza Nazionale è obbligatoria entro una scadenza definita dalle circolari ACN che dovranno ancora essere pubblicate. Non è una formalità: è il primo controllo che l'autorità usa per verificare la conformità.
Come verificare concretamente se la tua azienda è soggetta? L'ACN (Agenzia per la Cybersicurezza Nazionale) ha messo online uno strumento di autodiagnosi interattivo. Rispondi a poche domande: quanti dipendenti hai, quale è il tuo settore principale, quali servizi fornisci. Lo strumento ti dirà se sei essenziale, importante o fuori dal perimetro. Prendiamo un esempio reale: una piccola software house milanese con 45 dipendenti che sviluppa gestionali per farmacie non è soggetta (sotto soglia dimensionale). La stessa azienda con 55 dipendenti che sviluppa anche software per ospedali? Ecco, quella sì, diventa soggetto importante. La differenza di 10 persone genera obblighi completamente diversi. Un'altra situazione comune: un'azienda di consulenza IT che gestisce infrastrutture critiche per conto di clienti importanti può essere classificata come essential o important anche con meno di 50 dipendenti, se la sua attività è strategica per il Paese. La chiave è non fare supposizioni: usa lo strumento ACN, documenta tutto, registrati dove necessario.
Le sanzioni per non adeguarsi non sono simboliche. Per un soggetto importante, le multa arrivano fino a 10 milioni di euro oppure il 2% del fatturato globale annuale (prevalendo il più elevato). Per un soggetto essenziale, le sanzioni raddoppiano: fino a 20 milioni o il 4% del fatturato. Non è solo una questione economica: il mancato adeguamento espone l'azienda a ispezioni, sospensione di contratti pubblici, perdita di credibilità con clienti e partner. Molte PMI hanno già subito ispezioni preparatorie da parte dell'ACN nel 2024-2025. L'autorità non sta ancora usando il pugno duro, ma il periodo di tolleranza finisce con il 2025. Nel 2026, le verifiche diventeranno sistematiche. Documenta oggi la tua conformità: crea un registro dei rischi cyber, fotografa il tuo stato attuale di sicurezza, inizia a implementare le misure obbligatorie. Se l'ACN ti contatta, dovrai mostrare che hai fatto uno sforzo serio, non che hai ignorato il problema.
La NIS2 impone dieci misure di sicurezza specifiche. Non sono linee guida vaghe, sono requisiti concreti che devi implementare e documentare. Misura uno: gestione del rischio cyber con una metodologia documentata. Non basta dire 'abbiamo considerato i rischi'. Devi scrivere un Risk Management Plan, identificare gli asset critici (dati sensibili, sistemi chiave), valutare le minacce e le vulnerabilità, definire controlli proporzionati al rischio. Misura due: politiche di incident response con notifica ad ACN entro 24 ore da un incidente significativo. Se una tua infrastruttura viene compromessa, hai un giorno per avvertire l'autorità. Questo significa che devi avere un playbook pronto, i contatti del tuo CISO o responsabile sicurezza, un sistema di logging che catturi gli eventi importanti. Misura tre: business continuity e gestione dei backup. I tuoi dati critici devono avere copie sicure, testabili, recuperabili entro tempi accettabili. Non è sufficiente il backup settimanale sul NAS in azienda: devi backup geograficamente distribuiti, versionati, cifrati. Misura quattro: sicurezza della supply chain. Valuta i tuoi fornitori IT: richiedono accesso ai tuoi dati? Controllano infrastrutture importanti? Chiedi loro di rispettare standard di sicurezza comparabili. Misura cinque e sei: patch management e vulnerability management. Installa le patch di sicurezza entro 30 giorni dal rilascio (o 7 giorni per vulnerabilità critiche). Scansiona regolarmente le tue infrastrutture per individuare buchi di sicurezza prima che gli attaccanti li trovino.
Misura sette: autenticazione forte, nota come MFA (Multi-Factor Authentication). Ogni accesso privilegiato — amministratori, responsabili dati, tecnici IT — deve usare due fattori di autenticazione, non solo la password. Uno smatphone con un'app di autenticazione va bene. Misura otto: crittografia dati in transito e a riposo. I dati sensibili non devono mai viaggiare in chiaro sulla rete (usa HTTPS, VPN, TLS). E quando i dati sono immagazzinati (database, backup, server), devono essere cifrati con algoritmi solidi. Misura nove: formazione obbligatoria del personale. Almeno una volta all'anno, tutti i tuoi dipendenti devono seguire una formazione sulla cybersicurezza. Non basta una lezione di 30 minuti: deve essere pratica, specifica per il tuo settore, con verifiche di apprendimento. Misura dieci: monitoraggio e logging continuo. Tutti gli eventi di sicurezza — accessi, modifiche ai dati, installazione di software — devono essere registrati in modo inamovibile e analizzati per individuare anomalie. Come organizzare il tutto in 90 giorni? Fase uno (giorni 1-30): diagnosi. Valuta dove sei oggi. Documenta la tua infrastruttura, intervista il tuo team IT, identifica i gap rispetto alle dieci misure. Italia Soft e agenzie di consulenza specializzate possono guidarti in questa fase con assessment rapidi. Fase due (giorni 31-60): pianificazione dettagliata e quick wins. Decidi cosa implementare subito (MFA, crittografia, formazione) e cosa richiede più tempo (nuovi tool di monitoring, ristrutturazione della supply chain). Fase tre (giorni 61-90): implementazione e documentazione. Attiva le misure, traccia tutto su un registro, prepara la documentazione per l'ACN.
Un esempio concreto: una PMI del settore chimico con 70 dipendenti ha iniziato ad adeguarsi a febbraio 2025. In 30 giorni ha completato l'assessment con un consulente, scoprendo che il 40% dei server non era patchato da più di 6 mesi e che nessun backup era stato testato negli ultimi due anni. In 60 giorni ha abilitato MFA per tutti gli account amministrativi, attivato un servizio di patch management automatizzato, creato un piano di recovery per i backup e completato la prima sessione di training per i dipendenti. Al giorno 90, ha documentato tutto in un dossier di conformità, creato una riunione trimestrale per monitorare la sicurezza e nominato un referente per l'ACN. Costo totale: circa 15.000 euro in consulenza e 8.000 euro in tool annuali. Se non si fosse adeguata e fosse stata ispezionata, le sanzioni avrebbero potuto raggiungere i 3-5 milioni (il 2% del fatturato di un'azienda con turnover simile). Il ROI è evidente: investire oggi in conformità salva dalla catastrofe domani.
Uno strumento online messo a disposizione dall'ACN per verificare se la tua PMI rientra negli obblighi di conformità. Rispondi a domande su dipendenti, fatturato e settore. Ottieni in pochi minuti la classificazione ufficiale: essenziale, importante o fuori perimetro.
Un documento formale che identifica i tuoi asset critici, le minacce cyber, i controlli di sicurezza attuali e le lacune da colmare. È il fondamento della conformità NIS2 e il primo documento che l'ACN esamina durante un'ispezione.
Dal gap assessment iniziale all'implementazione delle dieci misure obbligatorie: Italy Soft supporta PMI italiane nel percorso di conformità NIS2 con piani operativi realistici, integrazione con i tuoi sistemi esistenti e documentazione pronta per l'ACN.
Un sistema di logging centralizzato che traccia tutti gli eventi di sicurezza in tempo reale. Consente di identificare anomalie prima che diventino violazioni, e di notificare l'ACN entro le 24 ore richieste in caso di incidente significativo.
Italy Soft
In 30 minuti di audit gratuito analizziamo i tuoi processi e calcoliamo il ROI concreto. Nessun impegno.