Promozioni
All you need at work
Scopri la promozione

NIS2 e PMI: cosa deve fare la tua azienda per adeguarsi

Nis2 A

La direttiva NIS2 ha trasformato la cybersecurity da opzione a obbligo normativo per un numero molto più ampio di aziende rispetto al passato.

Ma cosa richiede la NIS2? A chi si applica la NIS2 e come registrare la tua azienda all’ACN (Agenzia per la Cybersicurezza Nazionale)?

Se sei responsabile IT, titolare d'azienda o manager di una PMI, questo articolo ti guida attraverso quello che devi sapere e, soprattutto, quello che devi fare concretamente per costruire un percorso di adeguamento solido, documentato e coerente con gli obblighi previsti.

Cos'è la NIS2 e perché riguarda anche le PMI

La NIS2, recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, è la normativa europea pensata per innalzare il livello comune di sicurezza informatica nei settori considerati essenziali o critici per il funzionamento del Paese e dell’Unione Europea. La novità principale è l’ampliamento del perimetro: rientrano nella normativa soggetti pubblici e privati appartenenti alle categorie indicate negli Allegati I, II, III e IV del decreto, con riferimento a settori altamente critici, settori critici, pubbliche amministrazioni e ulteriori tipologie di soggetti.

In concreto, questo significa che anche una media impresa, e in alcuni casi una piccola impresa, può essere soggetta alla NIS2 se opera in un settore rilevante o se svolge un ruolo critico nella catena di fornitura di soggetti essenziali o importanti.

I settori coinvolti dalla NIS2

La normativa distingue tra settori ad alta criticità e altri settori critici. La classificazione finale dell’azienda come soggetto essenziale o soggetto importante dipende poi da settore, dimensione, ruolo svolto e criteri specifici previsti dal decreto.

Settori ad alta criticità:

  • energia

  • trasporti

  • settore bancario

  • infrastrutture dei mercati finanziari

  • sanità

  • acqua potabile

  • acque reflue

  • infrastrutture digitali

  • gestione dei servizi ICT

  • pubblica amministrazione

Altri settori critici:

  • servizi postali e corrieri

  • gestione dei rifiuti

  • fabbricazione, produzione e distribuzione di sostanze chimiche

  • produzione, trasformazione e distribuzione di alimenti

  • fabbricazione di dispositivi medici, computer, apparecchiature elettroniche, macchinari, veicoli e altri prodotti rilevanti

  • fornitori di servizi digitali, come marketplace online, motori di ricerca e piattaforme social organizzazioni di ricerca

NIS2: a chi si applica

In linea generale rientrano nella NIS2:

  • le grandi imprese che appartengono ai settori coinvolti dalla direttiva;

  • le medie imprese che operano nei settori indicati dalla normativa, cioè realtà che superano i limiti dimensionali previsti per le piccole imprese

  • alcune piccole e microimprese, nei casi specifici previsti dal decreto, ad esempio per particolari servizi digitali, infrastrutture critiche o attività rilevanti per la continuità di servizi essenziali.

Per questo motivo, il primo passo non è installare nuovi strumenti, ma verificare se l’azienda rientra o meno nel perimetro NIS2.

Inoltre c'è un aspetto che molte PMI sottovalutano: anche chi non rientra direttamente nel perimetro NIS2 può esserne coinvolto indirettamente. I soggetti obbligati sono tenuti a valutare la sicurezza dei propri fornitori e a includere requisiti di sicurezza nei contratti. In pratica: se fornisci servizi, prodotti o componenti a un’azienda soggetta alla NIS2, il tuo livello di sicurezza può diventare un elemento valutato nella gestione della loro supply chain. Non adeguarsi può significare perdere contratti, indipendentemente dalla qualità del prodotto o servizio.

Quali obblighi introduce la NIS2 per le aziende

La NIS2 definisce obblighi precisi, suddivisibili in quattro aree principali.

Registrazione all'ACN e aggiornamento

I soggetti che sanno con certezza di rientrare nel perimetro della normativa devono registrarsi o aggiornare la propria posizione sulla piattaforma digitale dell’Agenzia per la Cybersicurezza Nazionale (ACN), rispettando le finestre temporali e gli adempimenti previsti. La registrazione non è quindi un passaggio secondario, ma il primo adempimento formale per entrare correttamente nel percorso NIS2.

Rossetto consiglia comunque la registrazione a tutte le aziende potenzialmente coinvolte: sarà l’ACN, poi, via PEC a comunicare direttamente all'azienda il suo coinvolgimento, con anche la specifica di soggetto essenziale o importante, o la non obbligatorietà di registrazione.

Adozione di misure di gestione del rischio

Le aziende coinvolte devono adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi legati alla sicurezza dei sistemi informativi e di rete. Il decreto richiede un approccio multi-rischio, orientato sia alla prevenzione degli incidenti sia alla riduzione del loro impatto.

Tra le misure richieste rientrano:

  • politiche di analisi dei rischi e sicurezza dei sistemi informativi

  • gestione degli incidenti, con procedure e strumenti per la notifica

  • continuità operativa, backup, disaster recovery e gestione delle crisi

  • sicurezza della catena di approvvigionamento

  • sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi

  • gestione e divulgazione delle vulnerabilità

  • procedure per valutare l’efficacia delle misure adottate

  • igiene informatica di base e formazione del personale

  • uso della crittografia, ove opportuno

  • sicurezza delle risorse umane, controllo degli accessi e gestione degli asset

  • autenticazione a più fattori o autenticazione continua, ove opportuno

Per una PMI, questo significa passare da una gestione spesso frammentata della sicurezza a un sistema strutturato, misurabile e documentato.

Notifica degli incidenti

La NIS2 introduce tempi molto stretti per la notifica degli incidenti significativi. I soggetti essenziali e importanti devono notificare al CSIRT Italia gli incidenti che hanno un impatto significativo sulla fornitura dei propri servizi. Un incidente è considerato significativo se causa o può causare una grave perturbazione operativa, perdite finanziarie o ripercussioni rilevanti su altre persone fisiche o giuridiche. Il processo di notifica prevede:

1) Pre-notifica entro 24 ore da quando l’azienda viene a conoscenza dell’incidente significativo.

2) Notifica entro 72 ore, con aggiornamento delle informazioni disponibili, valutazione iniziale di gravità e impatto e, ove disponibili, indicatori di compromissione.

3) Relazione finale entro 1 mese dalla notifica, con descrizione dell’incidente, gravità, impatto, causa probabile, misure adottate ed eventuale impatto transfrontaliero.

Questo obbligo rende indispensabile avere processi interni già pronti: rilevazione, classificazione, escalation, gestione dell’incidente e raccolta delle informazioni. Non è possibile improvvisare quando l’attacco è già in corso.

Responsabilità degli organi di gestione

La NIS2 introduce un principio chiave: la responsabilità della cybersecurity non può essere delegata esclusivamente all'IT. Gli organi di governo dell'azienda, il CDA, l'amministratore delegato, i dirigenti sono tenuti ad approvare le misure di sicurezza, supervisionarne l'attuazione e rispondere delle violazioni. In pratica: il management deve essere formato sui rischi di cybersecurity e non può dichiarare di ignorare le normative in caso di incidente.

Le sanzioni previste in caso di non conformità

Le sanzioni previste dalla NIS2 sono significative e variano in base alla tipologia di soggetto e alla violazione. Per le violazioni relative agli obblighi di governance, gestione del rischio e notifica degli incidenti, le sanzioni possono arrivare:

  • per i soggetti essenziali, fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell’esercizio precedente, se superiore

  • per i soggetti importanti, fino a 7 milioni di euro o all’1,4% del fatturato annuo mondiale dell’esercizio precedente, se superiore

Sono previste anche sanzioni per mancata registrazione, mancato aggiornamento delle informazioni, mancata collaborazione con l’Autorità nazionale competente NIS o con il CSIRT Italia. In alcuni casi, il decreto prevede anche sanzioni accessorie nei confronti delle persone fisiche responsabili, inclusa l’incapacità temporanea a svolgere funzioni dirigenziali all’interno del medesimo soggetto, nei casi e alle condizioni previste. Per una PMI, il rischio non è solo economico. Un incidente non gestito o non comunicato correttamente può compromettere la fiducia di clienti, partner, fornitori e gruppi industriali che richiedono standard di sicurezza sempre più elevati lungo tutta la supply chain.

Un esempio concreto

Immaginiamo una media impresa manifatturiera che opera in un settore incluso dalla normativa, oppure che fornisce componenti o servizi tecnologici a un soggetto essenziale o importante. In questo scenario, l’azienda non può limitarsi a considerare la cybersecurity come un tema interno. Deve verificare il proprio inquadramento, valutare il livello di esposizione al rischio, controllare i propri fornitori, proteggere sistemi e dati, predisporre procedure di incident response e documentare le misure adottate. Un attacco ransomware non rilevato in tempo, non gestito correttamente o non notificato secondo le tempistiche previste può generare conseguenze operative, economiche e reputazionali molto rilevanti.

Adeguarsi alla NIS2: da dove partire

L'adeguamento alla NIS2 è un progetto importante che richiede metodo, competenze di un esperto e tempo dedicato.

Fase 1: Verificare se si è soggetti alla NIS2

Prima di acquistare strumenti o attivare nuove soluzioni, bisogna capire se l’azienda rientra nel perimetro della normativa.

I criteri principali sono:

  • settore di appartenenza

  • dimensione aziendale

  • tipologia di servizi erogati

  • ruolo nella supply chain

  • eventuale appartenenza a categorie soggette indipendentemente dalle dimensioni

Se non hai certezze, il consiglio è quello di iscriversi all’ACN in quanto l’azione non rappresenta un’auto-certificazione ma una richiesta di verifica ufficiale a cui seguirà una risposta direttamente dall’Agenzia nazionale di Cybersicurezza.

Fase 2: Registrare l’azienda all'ACN

Una volta verificata l'appartenenza al perimetro NIS2, bisogna procedere alla registrazione sulla piattaforma ACN. Le scadenze variano in base alla categoria di appartenenza, ma il processo richiede la raccolta di dati aziendali precisi e la designazione di un referente per la cybersecurity. Non sottovalutare questo passaggio: la registrazione è un obbligo formale, non un'opzione.

Fase 3: Effettuare una GAP Analysis

La GAP Analysis consiste in una valutazione approfondita dello stato attuale della sicurezza informatica in azienda, confrontato con quanto richiesto dalla NIS2. L'analisi permette di identificare le aree di debolezza, prioritizzare gli interventi e stimare i costi del progetto di adeguamento. È anche lo strumento che ti consente di dimostrare all'ACN, se richiesto, che hai avviato un percorso strutturato. Rossetto affianca le aziende nella GAP Analysis, con un team di specialisti IT in grado di valutare l'intera postura di sicurezza e identificare le azioni prioritarie.

Fase 4: Implementare le misure di sicurezza richieste

Questa è la fase più operativa. In base ai risultati della GAP Analysis, l’azienda deve intervenire su più livelli:

  • protezione perimetrale con firewall di nuova generazione, VPN e SD-WANmonitoraggio, rilevazione e risposta

  • alle minacce con soluzioni XDR

  • presidio continuo tramite Security Operation Center

  • backup, disaster recovery e piani di continuità operativa

  • gestione degli accessi e autenticazione multi-fattore

  • protezione degli endpoint

  • classificazione e gestione degli asset

  • procedure di risposta agli incidenti

  • valutazione della sicurezza dei fornitori

  • formazione e security awareness per il personale

Rossetto supporta le PMI in questa fase con un approccio integrato: un unico interlocutore per progettare, implementare e gestire le soluzioni necessarie, evitando frammentazione tra fornitori diversi.

Fase 5: Documentare tutto

La NIS2 non richiede solo di fare sicurezza: richiede di dimostrare di farla. La documentazione è essenziale: politiche di sicurezza scritte, procedure operative, registri degli incidenti, piani di risposta, verbali delle attività formative. In caso di audit o incidente, la documentazione è la prima linea di difesa dell’azienda.

Obblighi NIS2 2026: le scadenze da rispettare

A partire da gennaio 2026 sono operativi gli obblighi di notifica degli incidenti significativi. Entro ottobre 2026, invece, i soggetti NIS dovranno aver completato l’adeguamento alle misure di sicurezza e gestione del rischio previste. Chi non ha ancora avviato il percorso deve considerare che mettere a punto sistemi, processi, documentazione e formazione richiede tempo e metodo, generalmente dai 3 ai 9 mesi.

Gli errori più comuni da evitare

"Non siamo abbastanza grandi per essere nel mirino" È un errore frequente. Le PMI sono spesso bersagli interessanti proprio perché possono avere sistemi meno strutturati e perché fanno parte della filiera di clienti più grandi. Un attacco a un fornitore può diventare il punto di ingresso per colpire un’organizzazione più ampia.

"Abbiamo già un antivirus, siamo protetti" Un antivirus non è sufficiente. La NIS2 richiede un approccio a più livelli, che comprende prevenzione, monitoraggio, risposta agli incidenti, continuità operativa, formazione, gestione degli accessi e controllo della supply chain.

"C’è ancora tempo, vediamo anche cosa fanno le aziende simili a noi” Un errore costoso. Mappare i sistemi, valutare i rischi, implementare nuove misure, formare le persone e documentare i processi non si fa in poche settimane. Iniziare prima permette di pianificare gli interventi e ridurre il rischio di agire in emergenza.

"Lo gestiamo internamente" Molte PMI hanno team IT competenti, ma non sempre dispongono di tutte le competenze richieste da un percorso NIS2: cybersecurity, incident response, backup e disaster recovery, monitoraggio continuo, governance, formazione e documentazione. Affidarsi a un partner esterno, come Rossetto, permette di coprire l’intero perimetro, mantenendo il controllo interno sul progetto.

Come Rossetto supporta concretamente le PMI nel percorso NIS2

L’adeguamento alla NIS2 è un obbligo normativo ma anche un’occasione per rafforzare la sicurezza informatica aziendale, ridurre il rischio operativo e aumentare l’affidabilità nei confronti di clienti, partner e gruppi industriali.

Sempre più spesso, dimostrare una postura di sicurezza solida diventa un requisito per partecipare a gare, entrare in una supply chain o continuare a collaborare con clienti corporate.

Rossetto accompagna le PMI lungo tutto il percorso di adeguamento, partendo dalla verifica iniziale del perimetro NIS2 e dalla GAP Analysis, fino alla definizione della roadmap operativa e all’implementazione delle misure tecniche necessarie. Il supporto comprende soluzioni di cybersecurity, backup e disaster recovery, monitoraggio e protezione continua, formazione del personale e affiancamento nella costruzione della documentazione tecnica e operativa.

Un unico punto di contatto, competenze specialistiche e una visione completa dell’infrastruttura IT aziendale permettono di affrontare l’adeguamento con metodo, senza frammentare il progetto tra fornitori diversi.

Richiedi una consulenza ai nostri esperti in cybersecurity e scopri come avviare il percorso di adeguamento NIS2 per la tua azienda.