In breve — NIS 2.0 in 60 secondi
Nel 2026, la NIS 2.0 (D.Lgs. 138/2024) obbliga oltre 16.000 aziende italiane ad adeguarsi a 10 pilastri di cybersecurity. Rientrano PMI con 50+ dipendenti o 10M€ di fatturato in 18 settori, più i fornitori nella supply chain. Sanzioni: fino a 10 milioni di euro o il 2% del fatturato, con responsabilità personale dei dirigenti. Scadenza adeguamento tecnico: 30 settembre 2026. BullTech offre: assessment 2.000€, adeguamento completo da 5.000€, monitoraggio SOC/MDR 500€/mese. Chiama il 039 5787 212.
La NIS 2.0 è la direttiva europea sulla cybersecurity più ambiziosa mai approvata. Recepita in Italia con il D.Lgs. 138/2024, coinvolge aziende di 18 settori — dall'energia alla sanità, dall'ICT alla manifattura — con soglia dimensionale di 50 dipendenti o 10 milioni di euro di fatturato. Ma non finisce qui: anche le PMI più piccole rientrano se fanno parte della supply chain di un soggetto essenziale. In questo articolo ti spieghiamo, senza paroloni, cosa cambia davvero per la tua azienda, quali sono i 10 pilastri obbligatori, quanto rischi se non ti adegui (spoiler: fino a 10 milioni di euro di sanzione e la sedia del CEO che traballa) e come BullTech ti accompagna nel percorso con prezzi chiari e zero fumo negli occhi.
Indice dei Contenuti
Perché la NIS 2.0 Cambia Tutto
Te la faccio semplice: la vecchia direttiva NIS (quella del 2016) copriva poche centinaia di aziende in Italia, quasi tutte grandissime. Risultato? Il 68% delle PMI italiane ha subito almeno un attacco informatico nel 2025 (fonte: Clusit 2026), e la maggior parte non aveva nessun obbligo di proteggersi. La NIS 2.0 sistema la questione allargando enormemente il perimetro.
La differenza rispetto alla NIS 1 è brutale: da circa 500 a oltre 16.000 soggetti obbligati in Italia (stima ACN, 2025). Non si parla più solo di infrastrutture critiche come centrali elettriche o ospedali. Ora ci rientrano MSP, aziende manifatturiere, fornitori di servizi digitali, industria alimentare, gestione rifiuti — e, per effetto della supply chain, anche i loro fornitori IT. Tipo te, forse.
L'altro cambiamento enorme è la responsabilità personale dei dirigenti. Il CDA non può più lavarsene le mani dicendo "la cyber è roba dell'IT". Deve approvare le misure di sicurezza, partecipare alla formazione e può essere sospeso dalle proprie funzioni se l'azienda non è conforme. Per approfondire le scadenze operative, leggi il nostro calendario NIS2 con tutte le deadline.
Chi È Coinvolto: Settori Essenziali vs Importanti
La NIS 2.0 divide i soggetti obbligati in due categorie, con sanzioni e obblighi diversi. La differenza sta nel livello di criticità del settore e nella dimensione dell'azienda.
Settori ad alta criticità (Allegato I) — Soggetti Essenziali
Energia
Elettricità, petrolio, gas, idrogeno, teleriscaldamento
Trasporti
Aereo, ferroviario, marittimo, stradale
Bancario e finanziario
Enti creditizi, infrastrutture mercati finanziari
Sanitario
Ospedali, laboratori, farmaceutico, dispositivi medici
Acqua
Fornitura e distribuzione acqua potabile, acque reflue
Infrastrutture digitali
DNS, TLD, data center, cloud, CDN, trust services
Gestione servizi ICT B2B
MSP, MSSP, managed services provider
Spazio
Operatori infrastrutture terrestri per servizi spaziali
Altri settori critici (Allegato II) — Soggetti Importanti
Postale e corrieri
Servizi postali e di corriere espresso
Gestione rifiuti
Raccolta, trattamento e smaltimento rifiuti
Chimico
Fabbricazione, produzione e distribuzione sostanze chimiche
Alimentare
Produzione, trasformazione e distribuzione alimenti
Manifatturiero
Dispositivi medici, computer, elettronica, macchinari, autoveicoli
Ricerca
Organismi di ricerca pubblici e privati
Fornitori digitali
Marketplace, motori di ricerca, social network
Soglie dimensionali e supply chain
La regola base è: ≥50 dipendenti oppure fatturato >10M€. Ma attenzione alla trappola supply chain: anche le PMI sotto soglia rientrano se sono fornitori critici di un soggetto essenziale. In pratica, se il tuo cliente principale è un ospedale, una banca o un'utility e tu gli fornisci servizi IT, potresti essere già dentro. Verificalo subito con il nostro assessment NIS2 gratuito.
I 10 Pilastri di Sicurezza Obbligatori della NIS 2.0
L'articolo 21 della Direttiva (UE) 2022/2555 e gli articoli 23-29 del D.Lgs. 138/2024 elencano 10 aree di sicurezza obbligatorie. Non sono suggerimenti: sono requisiti vincolanti su cui l'ACN può condurre ispezioni. Vediamoli uno per uno, in modo che tu possa capire se la tua azienda li copre già o se hai delle lacune. Per una checklist operativa dettagliata, consulta la nostra pagina sul servizio di adeguamento NIS2.
Analisi del rischio e policy di sicurezza
Valutazione formale dei rischi cyber, approvata dal CDA, con piano di trattamento documentato e aggiornato almeno una volta l’anno.
Gestione degli incidenti
Procedura scritta per rilevare, classificare e gestire incidenti significativi. Pre-notifica ACN entro 24 ore, notifica completa entro 72 ore, relazione finale entro 1 mese.
Continuità operativa e disaster recovery
Piano di business continuity con RTO/RPO definiti, backup 3-2-1 testati regolarmente, procedure di ripristino verificate almeno ogni 6 mesi.
Sicurezza della supply chain
Audit dei fornitori critici, clausole di sicurezza nei contratti, verifica periodica della postura di sicurezza della catena di fornitura.
Sicurezza nello sviluppo e manutenzione
Patch management strutturato, vulnerability assessment periodici, hardening dei sistemi e gestione sicura del ciclo di vita del software.
Valutazione dell’efficacia delle misure
Audit interni, penetration test, vulnerability scan programmati. Le misure non basta attivarle: vanno testate e migliorate continuamente.
Igiene informatica e formazione
Formazione obbligatoria per tutto il personale, incluso il CDA. Simulazioni di phishing, policy password, procedure di onboarding/offboarding sicuro.
Crittografia e cifratura
Cifratura dei dati sensibili at-rest e in-transit. Gestione delle chiavi crittografiche, certificati SSL/TLS aggiornati, VPN per accessi remoti.
Gestione degli accessi e autenticazione
MFA su tutti gli account critici, principio del least privilege, Zero Trust, Identity & Access Management (IAM) con log degli accessi.
Comunicazioni sicure e gestione delle crisi
Canali di comunicazione sicuri per le emergenze, procedure di escalation, coordinamento con CSIRT nazionale, comunicazione verso stakeholder e autorità.
Non basta "avere il firewall"
Un errore comune: pensare che avere un firewall e un antivirus significhi essere conformi. La NIS 2.0 richiede processi documentati, testati e aggiornati. Non basta avere il backup: devi dimostrare che funziona con test di restore periodici. Non basta avere il SIEM: devi avere procedure di incident response che il personale conosce e sa eseguire. Il vulnerability assessment è il primo passo per capire dove sei.
Sanzioni NIS 2.0: Fino a 10 Milioni di Euro e Responsabilità Personale
Qui la NIS 2.0 non scherza. Il regime sanzionatorio è modellato sul GDPR — ed è pensato per fare male. La differenza con il GDPR? Qui c'è la responsabilità personale dei dirigenti, che il GDPR non prevede.
€10.000.000
o 2% del fatturato mondiale
Sanzione massima per soggetti essenziali. Si applica il valore più alto tra importo fisso e percentuale del fatturato.
€7.000.000
o 1,4% del fatturato mondiale
Sanzione massima per soggetti importanti. Anche qui si applica il valore più alto.
La novità che fa tremare i CDA: responsabilità personale
La NIS 2.0 introduce per la prima volta la responsabilità personale degli organi di gestione. In pratica: se l'azienda non è conforme, il CEO e i membri del CDA rischiano la sospensione temporanea dalle funzioni dirigenziali. Non è più un problema solo dell'IT: è un problema del consiglio di amministrazione. E il CDA deve anche partecipare alla formazione cybersecurity — non basta delegare.
Oltre alle sanzioni pecuniarie, l'ACN può disporre la sospensione delle certificazioni, l'obbligo di adeguamento con tempi imposti e ispezioni a sorpresa. Un motivo in più per non aspettare l'ultimo momento. Se vuoi proteggere la tua azienda anche dal punto di vista assicurativo, leggi la nostra guida sulla cyber insurance.
Percorso BullTech: 3 Step con Prezzi Chiari
Niente giri di parole. Ecco come BullTech ti porta alla conformità NIS 2.0 con un percorso in 3 fasi, prezzi trasparenti e zero sorprese. Siamo un MSP che fa questo di mestiere dal 2009 — non un consulente che ti lascia un PDF e sparisce.
Step 1
Assessment e Gap Analysis — 2.000€
Mappiamo la tua infrastruttura IT, valutiamo la postura di sicurezza attuale e la confrontiamo con i 10 requisiti NIS 2.0. Output: relazione dettagliata con priorità, rischi classificati per gravità e piano di remediation operativo. Durata: 2-3 settimane. Include vulnerability assessment completo.
Step 2
Adeguamento Tecnico e Documentale — da 5.000€
Attiviamo le misure di sicurezza mancanti: firewall next-gen, EDR/XDR su tutti gli endpoint, backup 3-2-1 con test di restore, MFA su ogni account, SIEM o SOC/MDR gestito, policy di incident response, formazione del personale e del CDA. Il prezzo dipende da cosa hai già e dalla complessità dell'infrastruttura. Durata: 8-16 settimane.
Step 3
Monitoraggio Continuo e Compliance — 500€/mese
La NIS 2.0 non è un progetto una tantum: richiede monitoraggio continuo, aggiornamento delle misure e gestione degli incidenti 24/7. Il nostro servizio SOC/MDR gestito include: monitoraggio H24, vulnerability assessment periodici, gestione incidenti con notifica ACN, report di compliance trimestrali. Tutto incluso a 500€/mese per PMI fino a 50 postazioni.
Requisito NIS 2.0 → Cosa Serve → Soluzione BullTech
Ecco la mappa completa: per ogni requisito della NIS 2.0, cosa ti serve concretamente e come BullTech lo risolve con prezzi reali.
| Requisito NIS 2.0 | Cosa serve in pratica | Soluzione BullTech | Prezzo indicativo |
|---|---|---|---|
| Risk assessment | Analisi formale dei rischi cyber documentata | Assessment NIS2 completo + report priorità | €2.000 |
| Incident response | Procedura notifica ACN 24h/72h, team formato | SOC/MDR gestito + runbook incidenti | €500/mese |
| Business continuity | Backup 3-2-1, DR testato, RTO/RPO definiti | Veeam Backup + replica offsite + test restore | da €200/mese |
| Supply chain security | Audit fornitori, clausole contrattuali | Assessment fornitori + template contratti | incluso nello Step 1 |
| Vulnerability management | Scan periodici, patch management | VA trimestrale + patch automatico Atera | da €150/mese |
| MFA e gestione accessi | MFA ovunque, least privilege, IAM | WatchGuard AuthPoint + Active Directory | da €3/utente/mese |
| Crittografia | Cifratura at-rest e in-transit | BitLocker + VPN WatchGuard + SSL | incluso nel contratto MSP |
| Formazione personale | Training cybersecurity + CDA | Programma formativo 4h + simulazione phishing | €500-1.000 |
| Monitoraggio continuo | SIEM/SOC operativo H24 | SOC/MDR gestito BullTech | €500/mese |
| Comunicazioni di crisi | Canali sicuri, escalation, CSIRT | Procedura crisi + canale Teams dedicato | incluso nello Step 2 |
La buona notizia: tutte queste spese sono 100% deducibili come costi di business. E se la tua azienda ha meno di 250 dipendenti, potresti accedere ai bandi di digitalizzazione 2026 che coprono fino al 50% dei costi di cybersecurity.
Fondatore di BullTech Informatica, MSP specializzato in cybersecurity per PMI dal 2009. Segue l'adeguamento NIS2 di decine di aziende in Lombardia con un approccio pragmatico: sicurezza operativa, non compliance documentale.
Domande Frequenti sulla NIS 2.0
Quanto costa adeguarsi alla NIS 2.0 con BullTech?
L’assessment iniziale costa 2.000€ e include gap analysis, mappa dei rischi e piano di remediation prioritizzato. L’adeguamento completo (misure tecniche + policy + formazione) parte da 5.000€ per PMI 20-50 dipendenti, fino a 25.000€ per aziende più strutturate. Il monitoraggio continuo con SOC/MDR gestito costa 500€/mese. Tutte le spese sono 100% deducibili. Per un preventivo su misura chiama il 039 5787 212.
La mia PMI con meno di 50 dipendenti è soggetta alla NIS 2.0?
Con BullTech lo verifichi gratis in 30 minuti. La soglia standard è 50 dipendenti o 10M€ di fatturato, ma attenzione: se sei fornitore IT, cloud o servizi digitali di un soggetto essenziale (ospedale, banca, utility), la NIS 2.0 ti include automaticamente come supply chain. Anche i provider DNS, TLD, data center e trust services rientrano a prescindere dalla dimensione. Verifica subito la tua posizione: il rischio è scoprirlo durante un’ispezione ACN.
Quali sono le sanzioni NIS 2.0 per chi non si adegua?
BullTech ti aiuta a evitarle con un percorso da 2.000€. Le sanzioni sono pesanti: fino a 10.000.000€ o il 2% del fatturato mondiale per i soggetti essenziali, fino a 7.000.000€ o l’1,4% per i soggetti importanti. In più, l’ACN può sospendere le certificazioni aziendali e vietare temporaneamente le funzioni dirigenziali ai responsabili. La responsabilità è personale del CDA.
Quanto tempo serve per adeguarsi alla NIS 2.0?
Con il percorso BullTech servono dai 4 ai 8 mesi, a seconda della maturità cyber attuale. La fase di assessment (2.000€) richiede 2-3 settimane. Le misure tecniche obbligatorie (firewall, EDR, backup, MFA) richiedono 8-12 settimane. Policy, formazione e audit interno altre 4-6 settimane. La scadenza per l’adeguamento tecnico è il 30 settembre 2026: se parti ad aprile hai ancora tempo, ma non rimandare oltre maggio.
Posso delegare tutto l’adeguamento NIS 2.0 a BullTech?
BullTech gestisce l’intero percorso tecnico a partire da 5.000€: assessment, implementazione misure di sicurezza (firewall, EDR, SIEM, backup), redazione policy, formazione del personale e monitoraggio continuo con SOC/MDR a 500€/mese. La responsabilità legale resta in capo all’azienda e ai dirigenti, ma con un MSP certificato come partner tecnico riduci drasticamente il rischio di non conformità. Scopri il nostro servizio di adeguamento NIS2.
La NIS 2.0 non è un altro pezzo di burocrazia da mettere nel cassetto. È un cambio di paradigma: la cybersecurity diventa un obbligo di legge con sanzioni vere e responsabilità personali. Ma è anche un'opportunità: le aziende che si adeguano per prime avranno un vantaggio competitivo concreto, soprattutto nelle gare d'appalto e nei rapporti con clienti enterprise.
Il consiglio è uno solo: non aspettare settembre. Parti adesso con l'assessment, metti in fila le priorità e lavora con un partner tecnico che sa cosa fare. Noi ci siamo: contattaci o chiama il 039 5787 212.
Guide correlate sulla NIS2 e Cybersecurity:
- Servizio Adeguamento NIS2 BullTech — il percorso completo con prezzi, tempistiche e deliverable
- NIS2 Scadenze 2026: Calendario e Adempimenti — tutte le deadline ACN mese per mese
- Vulnerability Assessment BullTech — il primo passo per capire dove sei
- SOC/MDR Gestito BullTech — monitoraggio H24 e gestione incidenti per la compliance NIS2
- Cyber Insurance: Serve alla Tua Azienda? — come proteggerti anche dal punto di vista assicurativo