La NIS2 non riguarda solo le grandi aziende
Con il recepimento della Direttiva (UE) 2022/2555 attraverso il D.Lgs. 138/2024, l'Italia ha ufficialmente esteso gli obblighi di cybersecurity ben oltre il perimetro delle infrastrutture critiche. A differenza della NIS1, che toccava circa 400 operatori, la NIS2 coinvolge un numero stimato di oltre 16.000 soggetti — e tra questi migliaia di PMI che operano in settori come manifattura, alimentare, chimico, servizi digitali e gestione rifiuti.
Chi rientra nel perimetro?
La NIS2 distingue tra soggetti essenziali e soggetti importanti. La differenza non sta solo nel settore, ma anche nelle dimensioni: un'azienda con almeno 50 dipendenti o 10 milioni di euro di fatturato in un settore coperto rientra automaticamente. Ma attenzione: anche aziende più piccole possono essere incluse se fanno parte della supply chain di un soggetto essenziale.
- Settori ad alta criticità: energia, trasporti, sanità, acqua potabile, infrastrutture digitali, pubblica amministrazione, spazio
- Altri settori critici: servizi postali, gestione rifiuti, produzione alimentare, fabbricazione di dispositivi medici, chimica, ricerca
- Servizi digitali: marketplace online, motori di ricerca, piattaforme social, servizi cloud, data center
Le scadenze da segnare
Il calendario è serrato. Entro il 17 aprile 2026 i soggetti devono completare la registrazione sulla piattaforma ACN. Entro ottobre 2026 devono essere operative le misure di sicurezza minime, inclusi piani di incident response e business continuity. Le sanzioni per i soggetti importanti arrivano fino a 7 milioni di euro o l'1,4% del fatturato mondiale.
I 4 pilastri della conformità
Per essere conformi, le PMI devono lavorare su quattro aree fondamentali:
- Governance: il management deve approvare e supervisionare le misure di cybersecurity. La responsabilità è personale.
- Gestione del rischio: analisi formale dei rischi, misure proporzionate, revisione periodica.
- Incident reporting: notifica entro 24 ore all'ACN per incidenti significativi, report completo entro 72 ore.
- Supply chain: verifica della sicurezza dei fornitori critici e dei provider IT.
Il costo dell'inazione
Secondo il Rapporto Clusit 2026, gli attacchi cyber in Italia sono cresciuti del 65% rispetto al 2022, con le PMI che rappresentano il 43% delle vittime. Il costo medio di un data breach per una PMI italiana è stimato in 143.000 euro (fonte: IBM Cost of a Data Breach 2025). Non conformarsi alla NIS2 significa sommare a questo rischio le sanzioni amministrative e la responsabilità dirigenziale.
Da dove iniziare
Il primo passo è un assessment strutturato: capire se si rientra nel perimetro, mappare gli asset critici e misurare il gap rispetto ai requisiti. Non serve un progetto da centinaia di migliaia di euro — serve un approccio proporzionato e un piano d'azione concreto. Esattamente quello che il Modello del Minimo Sostenibile è progettato per fornire.