Guida

Conformità NIS2 per le PMI italiane: la guida pratica

Cos’è la NIS2, chi è soggetto, quali obblighi prevede e come prepararsi all’audit. Una guida chiara, aggiornata al D.Lgs. 138/2024 e alle misure di sicurezza di base dell’ACN.

Cos’è la NIS2

La NIS2 è la Direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138. Rafforza il quadro europeo di cybersicurezza estendendo i settori coinvolti e introducendo obblighi più rigorosi di gestione del rischio e di notifica degli incidenti. L’autorità nazionale competente è l’Agenzia per la Cybersicurezza Nazionale (ACN).

Chi è soggetto alla NIS2

La direttiva distingue due categorie:

  • Soggetti essenziali — operatori in settori ad alta criticità (energia, sanità, trasporti, acqua, banche, infrastrutture digitali, PA), generalmente grandi imprese: vigilanza proattiva.
  • Soggetti importanti — altri settori critici o digitali (es. servizi ICT, manifattura, fornitori digitali), tipicamente medie imprese: vigilanza ex-post.

L’inquadramento dipende dal settore e dalle soglie dimensionali (numero di dipendenti e fatturato). Le micro e piccole imprese sono in genere escluse come soggetti diretti, salvo eccezioni e salvo il ruolo di fornitore.

Fornitori e sicurezza della catena di fornitura

Uno degli aspetti più rilevanti della NIS2 è la sicurezza della supply chain. I soggetti essenziali e importanti devono valutare e presidiare la sicurezza dei propri fornitori IT. Per questo molte PMI, pur non essendo soggetti diretti, si trovano a dover dimostrare misure di sicurezza adeguate per contratto.

Gli obblighi principali (art. 21)

I soggetti devono adottare misure tecniche, operative e organizzative adeguate al rischio, tra cui:

  • Politiche di analisi e gestione del rischio
  • Gestione degli incidenti
  • Continuità operativa e backup
  • Sicurezza della catena di fornitura
  • Controllo degli accessi e MFA
  • Crittografia dei dati
  • Gestione delle vulnerabilità
  • Formazione e igiene informatica

Gli organi di amministrazione e direttivi sono direttamente responsabili dell’adozione e supervisione delle misure (art. 23 D.Lgs. 138/2024) e devono ricevere formazione specifica.

Notifica degli incidenti

In caso di incidente significativo, i soggetti NIS2 devono notificare al CSIRT Italia secondo tempistiche precise:

  • 24 ore— pre-allarme dalla conoscenza dell’incidente
  • 72 ore— notifica con valutazione iniziale di gravità e impatto
  • 1 mese— relazione finale con cause e misure adottate

Scadenze e registrazione ACN

I soggetti rientranti nel perimetro devono registrarsi sulla piattaforma dell’ACN nelle finestre previste e mantenere aggiornati i propri dati. L’adeguamento alle misure di sicurezza segue una progressione temporale definita dalle determinazioni ACN, con scadenze che proseguono nel corso del 2026.

NIS2 e ISO/IEC 27001

La ISO/IEC 27001 è lo standard internazionale per il sistema di gestione della sicurezza delle informazioni (SGSI). Non è obbligatoria, ma è un eccellente quadro di riferimento: la maggior parte dei suoi controlli si sovrappone alle misure richieste dalla NIS2. Allineare l’azienda alla ISO 27001 semplifica notevolmente la conformità NIS2 e prepara a un’eventuale certificazione da parte di un ente terzo.

Come prepararsi alla conformità NIS2

  1. Verifica la tua posizione: sei soggetto essenziale, importante o fornitore rilevante?
  2. Mappa lo stato rispetto alle misure di base ACN, requisito per requisito.
  3. Colma i gap tecnici e organizzativi prioritari (MFA, backup testati, logging…).
  4. Predisponi la documentazione: policy, procedure e dossier pronti per l’audit.
  5. Registra l’azienda presso l’ACN e mantieni il sistema aggiornato.

Scopri in pochi minuti se la NIS2 ti riguarda

La verifica è gratuita: ottieni la tua posizione, i gap e un’anteprima del dossier.

Verifica la tua conformità

Domande frequenti

Che cos’è la NIS2?

La NIS2 è la Direttiva (UE) 2022/2555 sulla sicurezza delle reti e dei sistemi informativi, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138. Amplia il perimetro della precedente NIS introducendo nuovi settori e obblighi più stringenti in materia di gestione del rischio cyber e notifica degli incidenti.

Chi è soggetto alla NIS2?

Rientrano i soggetti "essenziali" e "importanti" che operano nei settori indicati negli allegati della direttiva e che superano determinate soglie dimensionali (in genere medie e grandi imprese). Anche le piccole imprese possono essere coinvolte se forniscono servizi a soggetti critici (catena di fornitura).

Qual è la differenza tra soggetti essenziali e importanti?

I soggetti essenziali operano in settori ad alta criticità e sono sottoposti a vigilanza proattiva; i soggetti importanti sono soggetti a vigilanza ex-post. Gli obblighi di sicurezza di base sono analoghi; cambiano l’intensità dei controlli e l’entità delle sanzioni.

Sono una PMI fornitrice: la NIS2 mi riguarda?

Spesso sì, in via indiretta. I soggetti NIS2 devono garantire la sicurezza della propria catena di fornitura: di conseguenza chiederanno ai fornitori IT misure di sicurezza adeguate e clausole contrattuali, anche se il fornitore non è soggetto diretto.

Quali sono gli obblighi principali?

Adottare misure tecniche e organizzative adeguate (art. 21): gestione del rischio, controllo accessi e MFA, crittografia, backup e continuità, gestione delle vulnerabilità, sicurezza della supply chain, formazione. Inoltre: notifica degli incidenti significativi e registrazione presso l’ACN.

Quali sono i tempi per notificare un incidente?

Per i soggetti NIS2: pre-allarme entro 24 ore dalla conoscenza dell’incidente significativo, notifica entro 72 ore e relazione finale entro 1 mese, tramite la piattaforma del CSIRT Italia (ACN).

La NIS2 e la ISO/IEC 27001 sono la stessa cosa?

No, ma sono complementari. La ISO/IEC 27001 è uno standard certificabile per il sistema di gestione della sicurezza delle informazioni; la NIS2 è un obbligo di legge. Molti controlli coincidono: un sistema allineato alla ISO 27001 copre gran parte delle misure richieste dalla NIS2.

Come posso prepararmi alla conformità NIS2?

Parti da un assessment per capire la tua posizione, mappa le misure di base ACN requisito per requisito, colma i gap tecnici e organizzativi e predisponi la documentazione (policy, procedure, dossier) da presentare in caso di audit o richiesta di un cliente.

Questa guida ha finalità informative e non costituisce consulenza legale. NormaAI prepara la documentazione e il dossier ma non rilascia certificazioni ufficiali, di competenza di enti terzi accreditati.