Contatti
Ultimo backup14m fa·Endpoint online247 / 247·Alert critici (24h)0·Patch pending2 workstation·SLA mensile99.97%·RPO medio38m·
Ultimo backup14m fa·Endpoint online247 / 247·Alert critici (24h)0·Patch pending2 workstation·SLA mensile99.97%·RPO medio38m·
← Risorse
Guida pillar

Guida pratica NIS2 per PMI piemontesi: cosa cambia da ottobre 2026

La NIS2 non è un adempimento burocratico in più: è la riscrittura dello standard di sicurezza informatica per migliaia di PMI italiane. Cosa fare, entro quando, e quanto costa davvero non farlo.

Mattia — Marketing Seti· 15 maggio 2026· 14 min lettura· Categoria: Cyber Security

In 30 secondi. La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, allarga drasticamente la platea di aziende obbligate alla cyber compliance. Dal 1° gennaio 2026 è in vigore l’obbligo di notifica degli incidenti significativi a CSIRT Italia. Entro il 31 ottobre 2026 le aziende nel perimetro NIS2 devono aver implementato le misure di sicurezza di base definite da ACN. Le sanzioni arrivano fino a 10 milioni di euro o il 2% del fatturato globale. Se siete una PMI piemontese sopra i 50 dipendenti o fornitore di un’azienda essenziale, molto probabilmente siete dentro — e i tempi sono stretti.

1. Cos’è la NIS2 e perché vi riguarda anche se “non siete un’infrastruttura critica”

La Direttiva NIS2 (Network and Information Security 2) è la nuova architettura europea per la sicurezza informatica delle organizzazioni considerate rilevanti per il funzionamento del mercato unico. È entrata in vigore a livello UE nel gennaio 2023 e l’Italia l’ha recepita con il D.Lgs. 138 del 4 settembre 2024.

Tre cambiamenti rispetto alla precedente NIS1 vi riguardano direttamente:

  • La platea si allarga. Dove NIS1 copriva circa 500 soggetti in Italia (grandi infrastrutture critiche), NIS2 ne intercetta — secondo le stime di ACN — oltre 13.000, tra grandi aziende e medie imprese di interi settori produttivi.
  • Le PMI fornitrici sono toccate via supply chain. Anche se la vostra azienda è sotto soglia NIS2, il vostro cliente “essenziale” o “importante” deve garantire la sicurezza della propria catena di fornitura: vi chiederà certificazioni, questionari, audit. Senza, perdete il contratto.
  • Le responsabilità diventano personali. NIS2 attribuisce ai membri del consiglio di amministrazione obblighi di vigilanza diretta sulla cyber compliance. Non basta più “delegare all’IT”.

La parola chiave per capire NIS2 è resilienza operativa: la capacità dimostrata, documentata e verificata di assorbire un incidente cyber senza che si traduca in danno sistemico per i clienti, i dipendenti, lo Stato. Non è “abbiamo un antivirus”: è “abbiamo testato cosa succede se domani ci attaccano, abbiamo un piano scritto, abbiamo persone formate”.

2. Chi è davvero coinvolto: settori essenziali, importanti e supply chain

NIS2 divide i soggetti obbligati in due categorie: Soggetti Essenziali (Allegato I del D.Lgs. 138/2024) e Soggetti Importanti (Allegato II). Le obbligazioni sono simili, ma cambiano le sanzioni e l’intensità della vigilanza.

Settori “Essenziali” (Allegato I)

  • Energia (elettricità, gas, oil, teleriscaldamento, idrogeno)
  • Trasporti (aereo, ferroviario, marittimo, stradale)
  • Sanità
  • Acqua potabile e acque reflue
  • Infrastrutture digitali (data center, cloud, DNS, TLD, CDN, IXP)
  • Pubblica amministrazione centrale
  • Spazio
  • Bancario, infrastrutture dei mercati finanziari
  • Gestione servizi ICT B2B (MSP, MSSP)

Settori “Importanti” (Allegato II)

  • Servizi postali e di corriere
  • Gestione rifiuti
  • Produzione, distribuzione e commercializzazione di prodotti chimici
  • Produzione, trasformazione e distribuzione di alimenti
  • Fabbricazione (dispositivi medici, computer/elettronica, apparecchiature elettriche, macchinari, autoveicoli, altri mezzi di trasporto)
  • Fornitori di servizi digitali (motori di ricerca, marketplace, social network)
  • Ricerca

Soglie dimensionali: rientrano automaticamente le aziende con almeno 50 dipendenti e/o un fatturato sopra 10 milioni di euro appartenenti ai settori sopra. Le grandi imprese (oltre 250 dipendenti o 50M€) ricadono nei Soggetti Essenziali, le medie nei Soggetti Importanti, salvo eccezioni (es. fornitori critici di servizi ICT, che ricadono sempre in Soggetti Essenziali a prescindere dalla dimensione).

L’“effetto supply chain”: perché la NIS2 tocca anche le micro/piccole PMI

Anche se la vostra PMI è sotto la soglia dei 50 dipendenti e 10M€, probabilmente lavorate per uno o più clienti che invece sono nel perimetro NIS2. Quel cliente ha l’obbligo di garantire la sicurezza della propria catena di fornitura — quindi a partire dalla seconda metà del 2026 vi arriveranno:

  • Questionari di sicurezza da compilare (40-150 voci)
  • Richieste di certificazioni (ISO 27001, ISO 27017, equivalenti)
  • Clausole contrattuali nuove (notifica incidenti entro X ore, audit a vostre spese, diritto di ispezione)
  • Verifiche di terze parti commissionate dal cliente

Le PMI piemontesi del settore manifatturiero che lavorano per automotive, farmaceutico, food sono già nel mezzo di questa transizione. Ignorarla significa uscire dalle short list dei fornitori entro 12-18 mesi.

3. Le scadenze del 2026 in calendario

Data Cosa scatta Per chi
4 settembre 2024 Entrata in vigore del D.Lgs. 138/2024 Quadro normativo
18 gennaio 2025 Avvio registrazione obbligatoria su piattaforma ACN Tutti i soggetti nel perimetro
1° gennaio 2026 Obbligo di notifica incidenti significativi a CSIRT Italia (preallarme entro 24h, notifica entro 72h, relazione entro 1 mese) Tutti i soggetti registrati
Maggio – luglio 2026 Audit ispettivi ACN a campione (annunciati nel piano operativo 2026) Soggetti essenziali in primis
31 ottobre 2026 Scadenza implementazione misure di sicurezza di base (determinazioni ACN 1/2024 e successive) Tutti i soggetti nel perimetro
Ottobre 2027 Prima finestra di rendicontazione annuale Tutti i soggetti registrati

La data che pesa davvero è il 31 ottobre 2026. Da quel momento un ispettore ACN può chiedere prova documentale che le misure di base siano in essere, e si attendono i primi provvedimenti sanzionatori esemplari entro fine anno.

4. Cosa chiede ACN: i 10 ambiti di misure base

L’Agenzia per la Cybersicurezza Nazionale ha pubblicato (Determinazione 164179/2024 e aggiornamenti successivi) il dettaglio delle misure di sicurezza di base richieste. Si tratta di 10 ambiti, ciascuno declinato in obblighi tecnici e organizzativi. Li riassumiamo nei termini di una PMI da 50-200 dipendenti.

① Politiche di analisi e gestione del rischio

Documento di Risk Assessment aggiornato annualmente. Inventario degli asset digitali (sistemi, applicazioni, dati). Classificazione del rischio per ciascun asset. Sì, anche se siete una PMI di 60 persone: il documento può essere snello (15-30 pagine) ma deve esistere e deve essere coerente con quello che fate davvero.

② Gestione degli incidenti

Procedura scritta di gestione incidenti: chi rileva, chi decide, chi comunica, in che tempi. Registro degli incidenti. Capacità tecnica di notifica al CSIRT (template di notifica pronto, persona designata, processo di escalation 24/7). Esercitazioni almeno annuali.

③ Continuità operativa, backup, gestione delle crisi

Piano di continuità operativa (BCP) e Disaster Recovery Plan (DRP) scritti. Backup separati dalla rete di produzione (immutabili), test di ripristino almeno trimestrale con esito documentato. RPO e RTO dichiarati e coerenti con le esigenze di business.

④ Sicurezza della catena di approvvigionamento

Mappatura dei fornitori ICT critici. Clausole contrattuali sulla sicurezza (notifica incidenti, audit, requisiti minimi). Valutazione del rischio fornitore a cadenza annuale.

⑤ Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi

Patch management documentato. Vulnerability management con scansioni periodiche. Procedure di hardening per nuovi sistemi (configurazioni di riferimento, change management).

⑥ Politiche e procedure per valutare l’efficacia delle misure

Audit interni almeno annuali. KPI di sicurezza tracciati (es. tempo medio di patching, percentuale endpoint con EDR, ore di formazione/utente). Verifica continua, non un colpo solo all’anno.

⑦ Igiene di base e formazione

Piano formativo annuale per tutti i dipendenti (almeno 4-8 ore/anno). Simulazioni di phishing periodiche. Onboarding sicurezza per i nuovi assunti. Documentazione delle ore erogate per persona.

⑧ Crittografia

Cifratura dei dati sensibili a riposo (disco) e in transito (TLS 1.2+). Gestione chiavi crittografiche documentata. VPN per accessi da remoto, mai esposizioni dirette di RDP/SSH su internet.

⑨ Sicurezza delle risorse umane, controllo accessi e gestione asset

Principio del minimo privilegio. Account amministrativi separati dagli account utente. Procedure di joiner-mover-leaver (cosa succede quando uno entra, cambia ruolo, esce). Revisione periodica dei diritti.

⑩ Autenticazione a più fattori (MFA) e identità

MFA obbligatoria per tutti gli account, in particolare amministrativi, accessi da remoto, accessi a sistemi critici. Identità federate centralizzate (Entra ID, Okta o equivalenti). Nessun account condiviso “di servizio” senza tracciatura.

Tradotto in italiano operativo. Se oggi avete: backup che non testate mai, MFA solo per qualcuno, nessun documento di sicurezza scritto, password condivise nel reparto, nessun piano di cosa fare in caso di ransomware — siete a 6-9 mesi di lavoro reale dall’essere conformi. Inizia adesso.

5. Sanzioni e responsabilità del consiglio di amministrazione

Il D.Lgs. 138/2024 introduce un sistema sanzionatorio decisamente più incisivo della NIS1:

  • Soggetti Essenziali: sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato annuo globale (l’importo maggiore).
  • Soggetti Importanti: sanzioni fino a 7 milioni di euro o l’1,4% del fatturato annuo globale.
  • Sanzioni accessorie: sospensione temporanea della certificazione, divieto di esercitare funzioni dirigenziali per le persone fisiche responsabili in caso di gravi reiterate violazioni.

L’aspetto che spesso viene sottovalutato è il profilo di responsabilità del CdA: gli organi di amministrazione devono approvare le misure di gestione del rischio cyber, vigilare sulla loro attuazione, e seguire formazione specifica. Una violazione può configurare responsabilità personale dei consiglieri, con possibili azioni di rivalsa della società stessa.

Per i CFO e i CEO di PMI questo è il vero punto di svolta: non potete più scaricare in toto sull’IT. La governance della cyber è materia di board.

6. Piano operativo in 6 step (cosa fare adesso)

Questo è il workflow che applichiamo con i nostri clienti PMI piemontesi. Adattatelo alla vostra dimensione, ma non saltate passi.

Step 1 — Capire se siete dentro (e come)

Mappare codici ATECO dell’azienda → matching con allegati I e II del D.Lgs. 138/2024 → verifica soglia dimensionale (dipendenti + fatturato). Mappare anche i 3-5 clienti più importanti: se uno è nel perimetro, indipendentemente dalla vostra dimensione, dovrete adeguarvi via supply chain. Output: 1 documento di 2 pagine “Profilo NIS2 della società”. Tempo: 1-2 giorni di lavoro interno (o 1 incontro con un consulente).

Step 2 — Assessment as-is

Fotografia onesta dello stato attuale dei 10 ambiti misure base. Interviste con IT, HR, direzione. Verifica tecnica (scan vulnerabilità, revisione configurazioni firewall, controllo backup, test MFA). Output: report 20-40 pagine con stato di ogni controllo, evidenze raccolte, criticità prioritizzate. Tempo: 2-4 settimane.

Step 3 — Gap analysis vs misure ACN

Per ciascuno dei 10 ambiti: cosa avete, cosa manca, cosa è parziale. Mappa “rosso/giallo/verde” su una pagina A3. Quantificazione preliminare dell’impegno (giorni-uomo e budget) per chiudere ogni gap. Output: dashboard sintetica + piano di adeguamento dichiarato.

Step 4 — Piano di adeguamento prioritizzato

Roadmap 6-12 mesi con milestone, budget, owner per ciascuna attività. Priorità ai gap che sono insieme: (a) richiesti da ACN, (b) ad alto rischio impatto, © tecnicamente fattibili. Tipicamente: MFA su tutto, EDR sostitutivo dell’antivirus, backup immutabili testati, documento di gestione incidenti, formazione awareness.

Step 5 — Implementazione tecnica e documentazione

Le due cose vanno insieme. Implementare MFA senza il documento di policy che la sostiene equivale, per ACN, a non averla implementata: ai fini dell’audit l’evidenza documentale è centrale. Mantenere un repository ordinato di policy, procedure, evidenze (log, screenshot, attestazioni) già in formato audit-ready.

Step 6 — Continuous compliance

NIS2 non è un progetto a termine: è un nuovo modo di operare. Implementare un calendario annuale di attività ricorrenti — risk review, test di ripristino, esercitazioni incidente, formazione, audit interno — e tenere aggiornata la documentazione. Il rendiconto annuale ACN ne richiederà la traccia.

7. Errori più frequenti che vediamo nelle PMI piemontesi

Da inizio 2025 abbiamo accompagnato decine di PMI sul percorso NIS2. Questi sono i pattern ricorrenti — e quanto costa correggerli quando si interviene tardi.

  1. “Ce ne occupiamo dopo l’estate”. Tra agosto e fine settembre 2026 saranno tutti in coda dai fornitori di sicurezza e dai consulenti. Chi parte a luglio paga il 30-40% in più, chi parte a settembre non arriva al 31 ottobre.
  2. “Abbiamo l’antivirus”. NIS2 non vi chiede “un antivirus”: vi chiede gestione del rischio dimostrata. L’antivirus tradizionale, senza EDR, senza patch management, senza log, senza policy, copre forse il 15% di quello che ACN si aspetta.
  3. “Abbiamo i backup”. Per ACN un backup non testato è un backup che non esiste. Il 70% delle PMI scopre solo al primo test reale che il backup non era ripristinabile per intero, o che conteneva il ransomware.
  4. “Non documentiamo, ce lo ricordiamo”. Per l’ispettore ACN, ciò che non è scritto non è successo. Una procedura di gestione incidenti applicata informalmente da anni, ma non scritta, vale zero in audit.
  5. “MFA solo per chi serve davvero”. NIS2 chiede MFA su tutti gli accessi rilevanti. Lasciare scoperti gli account di servizio o gli amministratori “perché era troppo complicato” è il primo finding dell’audit.
  6. “Il CdA non si occupa di queste cose”. NIS2 dice il contrario. Chi non aggiorna la governance per dare al board visibilità periodica sulla cyber, espone la società a sanzioni e i consiglieri a responsabilità personali.

8. Quanto costa davvero adeguarsi (numeri reali)

Le cifre che seguono sono ordini di grandezza basati su PMI piemontesi medie con cui lavoriamo. Variano in base al punto di partenza: una PMI già “decente” sul piano tecnico investirà meno, una che parte da zero investirà di più. La cifra include consulenza, software, servizi gestiti per i primi 12 mesi.

Dimensione PMI Setup iniziale (12 mesi) Recurring annuale post-setup
20-50 utenti €18.000 – €35.000 €10.000 – €18.000
50-150 utenti €35.000 – €80.000 €20.000 – €45.000
150-250 utenti €80.000 – €150.000 €45.000 – €90.000

Cosa entra nel setup iniziale, in ordine di peso tipico:

  • Consulenza assessment + gap analysis + scrittura policy (25-35% del budget)
  • Licenze EDR e DLP, primo anno (15-20%)
  • Migrazione e configurazione backup immutabile cloud (10-15%)
  • MFA, identity provider, hardening (10%)
  • Formazione awareness e simulazioni phishing (5-10%)
  • Vulnerability assessment e remediation (10%)
  • Contingency 10-15%

Per confronto: il costo medio di un ransomware su una PMI italiana 50-150 utenti è stimato tra 250.000 e 800.000 euro (downtime + ripristino + perdita ordini + danni reputazionali, esclusi eventuali riscatti). Adeguarsi alla NIS2 costa, in media, meno del 10% di quanto costa un incidente non gestito.

9. Domande frequenti

Siamo una PMI di 35 persone in subfornitura per un’azienda automotive grande. Siamo dentro la NIS2?

Direttamente probabilmente no (siete sotto soglia 50 dipendenti e 10M€). Indirettamente quasi certamente sì: il vostro cliente automotive è nel perimetro Soggetti Importanti e ha l’obbligo di valutare la sicurezza della propria supply chain. Aspettatevi un questionario entro 6-12 mesi. Meglio arrivare preparati.

La nostra azienda ha solo Microsoft 365 e qualche server. Quanto siamo lontani dall’essere conformi?

Dipende dalla configurazione. M365 ha già molti building block utili (Entra ID, MFA, Intune, Defender for Business, Purview), ma vanno configurati. Una PMI tipo che usa M365 “out of the box” copre forse il 30% delle misure ACN. Per arrivare al 90%+ serve un’attivazione seria di MFA, configurazione di Conditional Access, backup esterno di M365 (Microsoft non backuppa i vostri dati per voi), policy DLP base, e tutta la parte documentale.

Possiamo fare tutto in-house o ci serve un consulente esterno?

Le PMI con un IT interno strutturato (3+ persone) e una persona esperta di compliance possono coprire una buona parte in-house, ma tipicamente prendono supporto esterno per assessment iniziale, scrittura policy e audit. Le PMI con IT minimo (1 persona o fornitore generalista) hanno bisogno di un partner per arrivare in tempo. La soglia “fai-da-te sostenibile” è tipicamente intorno ai 100-150 utenti, con organizzazione matura.

Quanto tempo serve per essere conformi?

Da quando parte l’assessment al “pronti per l’audit ACN” servono indicativamente 5-9 mesi. Una PMI di 80 persone con stato iniziale “discreto” può chiudere in 5-6 mesi. Una PMI di 200 persone con stato iniziale “scarso” può richiedere 9-12 mesi. La parte tecnica è il 40-50% del tempo: il resto è documentazione, processi, formazione.

Se non ci adeguiamo entro ottobre 2026 cosa succede davvero?

Lo scenario realistico non è “il 1° novembre 2026 arriva una multa da 10 milioni”. È: (1) il primo audit ACN che vi tocca trovate findings gravi, (2) il primo cliente NIS2 che vi audita decide di non rinnovare il contratto, (3) la vostra polizza cyber non vi copre in caso di incidente perché non avevate le misure base. Il danno è graduale e composto: meno spettacolare di una multa, ma più costoso.

Cosa fa esattamente Seti per i clienti su NIS2?

Lavoriamo come partner end-to-end. Facciamo l’assessment, scriviamo le policy con voi, implementiamo le misure tecniche (EDR SentinelOne, backup immutabili Cove, MFA, DLP, monitoraggio N-Central), gestiamo la formazione awareness, vi affianchiamo agli audit. Tutto documentato, audit-ready, con report mensili al CdA. Dal 1999 facciamo IT per le PMI piemontesi e nel 2026 NIS2 è semplicemente il nostro lavoro quotidiano.

10. Da dove iniziare oggi

Se siete arrivati fin qui, una cosa è chiara: la NIS2 non è un adempimento da rimandare. Il tempo è quello che è. Tre cose pratiche da fare nei prossimi 30 giorni.

  1. Scaricate la nostra checklist NIS2 per PMI. 30 voci di controllo concrete, suddivise per i 10 ambiti misure ACN. È pensata per essere completata in mezza giornata dal vostro IT (interno o esterno) e dà subito una mappa rosso/giallo/verde.
  2. Mappate il vostro perimetro NIS2. ATECO, dimensione, principali clienti. Se anche uno solo è in elenco Allegato I o II, considerate l’effetto supply chain.
  3. Prenotate un assessment gratuito. 90 minuti con un nostro consulente per inquadrare il vostro punto di partenza. Senza vincoli, output un documento di 1 pagina con priorità e ordine di grandezza budget.

Volete una checklist concreta su cui partire questa settimana?

Scaricate la Checklist NIS2 per PMI piemontesi — 30 voci operative organizzate sui 10 ambiti misure ACN, glossario incluso, formato PDF. Oppure prenotate un assessment gratuito di 90 minuti con un nostro consulente.

Scarica la checklist (PDF) · Prenota assessment gratuito