La direttiva NIS2 è arrivata, e non è una di quelle normative che puoi ignorare sperando che nessuno controlli. Le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale — e i dirigenti rispondono personalmente. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB), gestisce la compliance IT di oltre 200 aziende in Lombardia con un SLA del 99,2%. In questa guida ti spiego chi deve adeguarsi, cosa fare concretamente e quanto costa.
Cos'è la NIS2 e perché ti riguarda
La NIS2 (Direttiva UE 2022/2555) è la seconda versione della direttiva europea sulla sicurezza delle reti e dei sistemi informativi. È entrata in vigore il 16 gennaio 2023 e l'Italia l'ha recepita con il D.Lgs. 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024.
Rispetto alla vecchia NIS1 del 2016, cambia tutto: il numero di settori coinvolti passa da 7 a 18, le sanzioni diventano serie (prima erano ridicole), e i vertici aziendali diventano personalmente responsabili. Non è più una cosa che scarichi sul reparto IT — è una responsabilità del CDA.
Il concetto di fondo è semplice: l'Europa ha deciso che la cybersecurity non è più opzionale. Se la tua azienda fornisce servizi critici o opera in settori strategici, devi avere un livello minimo di sicurezza informatica. E devi poterlo dimostrare.
NIS1 vs NIS2: cosa cambia
Per capire quanto sia diversa la NIS2, ecco un confronto diretto con la vecchia direttiva.
| Aspetto | NIS1 (2016) | NIS2 (2022/2555) |
|---|---|---|
| Settori coperti | 7 settori | 18 settori (11 essenziali + 7 importanti) |
| Aziende coinvolte (stima IT) | ~500 in Italia | ~16.000+ in Italia |
| Sanzioni massime | Fino a 150.000 € | Fino a 10M € o 2% fatturato |
| Responsabilità dirigenziale | Non prevista | Sì — CDA personalmente responsabile |
| Notifica incidenti | 72 ore | 24h preallarme + 72h notifica completa |
| Supply chain | Non considerata | Obblighi su fornitori e terze parti |
| Autorità nazionale | Frammentata | ACN (Agenzia Cybersicurezza Nazionale) |
Da 500 aziende coinvolte a oltre 16.000: questo dà l'idea dell'impatto. E se sei un fornitore di una di queste 16.000 aziende, potresti essere coinvolto indirettamente tramite gli obblighi sulla supply chain.
Chi deve adeguarsi alla NIS2
La NIS2 divide i soggetti in due categorie: essenziali e importanti. La differenza non è solo di nome — cambia il livello di vigilanza e le sanzioni applicabili.
Settori essenziali (Allegato I)
Sono i settori ad alta criticità: energia (elettricità, petrolio, gas, idrogeno, teleriscaldamento), trasporti (aereo, ferroviario, marittimo, stradale), settore bancario e infrastrutture dei mercati finanziari, sanità (ospedali, laboratori, farmaceutica, dispositivi medici), acqua potabile e acque reflue, infrastrutture digitali (DNS, TLD, cloud, data center, CDN, trust services), gestione servizi ICT B2B (MSP e MSSP — sì, anche BullTech rientra), pubblica amministrazione, spazio.
Settori importanti (Allegato II)
Qui il perimetro si allarga parecchio: servizi postali e di corriere, gestione dei rifiuti, fabbricazione, produzione e distribuzione di sostanze chimiche, produzione, trasformazione e distribuzione di alimenti, fabbricazione (dispositivi medici, computer, elettronica, macchinari, veicoli), fornitori di servizi digitali (marketplace, motori di ricerca, social network), ricerca.
Il criterio dimensionale
Non basta essere nel settore giusto — serve anche la dimensione giusta. La NIS2 si applica a:
- Medie imprese: 50-249 dipendenti e fatturato tra 10 e 50 milioni di euro
- Grandi imprese: 250+ dipendenti o fatturato superiore a 50 milioni di euro
Ma attenzione: ci sono eccezioni importanti. Le aziende sotto soglia possono comunque rientrare se sono fornitori unici o critici per soggetti essenziali, se operano in infrastrutture digitali (DNS, TLD, cloud, trust services) indipendentemente dalla dimensione, o se lo Stato membro lo decide (l'ACN può includere soggetti specifici).
Le 10 misure minime di cybersecurity NIS2
L'articolo 21 della direttiva elenca 10 misure minime che tutti i soggetti devono implementare. Non sono suggerimenti — sono obblighi. Vediamoli uno per uno con cosa significano concretamente per una PMI.
1. Policy di analisi dei rischi e sicurezza dei sistemi informativi
Devi avere una policy scritta di risk assessment. Non un documento da 200 pagine che nessuno legge — un documento chiaro che identifica gli asset critici, le minacce, le vulnerabilità e le contromisure. Aggiornato almeno una volta l'anno. Se non sai da dove partire, un cybersecurity assessment è il primo passo.
2. Gestione degli incidenti
Devi avere un piano di incident response: chi fa cosa quando succede qualcosa. Il CSIRT (o il tuo MSP, se sei nostro cliente) deve essere avvisato entro 24 ore con un preallarme, e una notifica completa entro 72 ore. Serve un registro degli incidenti, una procedura di escalation e persone formate per gestire le crisi.
3. Continuità operativa e gestione delle crisi
Business continuity plan, disaster recovery plan, backup testati. Non il backup che "dovrebbe funzionare" — il backup che hai testato il mese scorso e sai che funziona. Serve anche un piano di comunicazione di crisi: chi avvisa i clienti, chi parla con l'ACN, chi gestisce i media.
4. Sicurezza della supply chain
Devi valutare i rischi dei tuoi fornitori. Se usi un software in cloud, quel fornitore ha misure di sicurezza adeguate? Hai contratti che prevedono requisiti di cybersecurity? Questo è il punto più sottovalutato: un attacco al tuo fornitore di backup può compromettere tutta la tua azienda.
5. Sicurezza nell'acquisizione, sviluppo e manutenzione di sistemi
Gestione delle vulnerabilità: patch management, vulnerability assessment, hardening dei sistemi. Se hai server con Windows Server 2012 R2 senza patch da 6 mesi, hai un problema. Un hardening server periodico diventa obbligatorio, non opzionale.
6. Policy e procedure per valutare l'efficacia delle misure
Non basta implementare le misure — devi verificare che funzionino. Audit interni, penetration test, vulnerability assessment periodici. Almeno una volta l'anno, meglio ogni 6 mesi per i sistemi critici.
7. Pratiche di igiene informatica e formazione
Formazione obbligatoria per tutti i dipendenti. Non il corso online da 30 minuti che nessuno segue — formazione seria con simulazioni di phishing e social engineering. Il 68% delle violazioni coinvolge il fattore umano (fonte: Verizon DBIR 2025). Puoi avere il miglior firewall del mondo, ma se il contabile clicca sul link sbagliato, sei fregato.
8. Policy sull'uso della crittografia
Dati sensibili crittografati a riposo e in transito. BitLocker sui laptop, TLS su tutte le comunicazioni, crittografia delle email contenenti dati personali. Non serve implementare un'infrastruttura PKI da enterprise — serve usare bene gli strumenti che hai già.
9. Sicurezza delle risorse umane, controllo accessi, gestione asset
Chi può accedere a cosa? Hai una matrice degli accessi aggiornata? Quando un dipendente lascia l'azienda, il suo account viene disabilitato lo stesso giorno? Active Directory (o Entra ID) deve essere gestito con policy rigorose: principio del minimo privilegio, revisione trimestrale degli accessi, MFA obbligatoria.
10. Autenticazione a più fattori (MFA) e comunicazioni sicure
MFA su tutto: email, VPN, applicazioni cloud, accessi amministrativi. Non è più un "nice to have" — è un obbligo NIS2. E le comunicazioni in emergenza devono avere un canale sicuro e alternativo (cosa succede se Teams non funziona durante un incidente?).
Scadenze NIS2: la timeline italiana
Le date da segnare in rosso sul calendario:
| Data | Scadenza | Cosa fare |
|---|---|---|
| 1 ott 2024 | Recepimento D.Lgs. 138/2024 | La legge è in vigore |
| 28 feb 2025 | Registrazione su piattaforma ACN | Registrarsi come soggetto NIS2 (se applicabile) |
| Apr 2025 | Lista soggetti essenziali/importanti | ACN pubblica l'elenco definitivo |
| Ott 2025 | Obbligo notifica incidenti | Attivare il processo di incident reporting |
| Gen-Ott 2026 | Implementazione misure minime | Tutte le 10 misure devono essere operative |
| 2026+ | Vigilanza e sanzioni | Ispezioni ACN e sanzioni per inadempienti |
Se stai leggendo questo articolo nel 2026, sei già in ritardo sulla registrazione. Ma non è troppo tardi per implementare le misure tecniche. Il punto è partire subito e documentare ogni passo — dimostrare che stai lavorando per adeguarti conta molto in caso di ispezione.
Sanzioni NIS2: quanto rischi
Le sanzioni NIS2 sono divise in due livelli, in base alla classificazione del soggetto:
- Soggetti essenziali: fino a 10.000.000 € o il 2% del fatturato mondiale annuo (il maggiore tra i due)
- Soggetti importanti: fino a 7.000.000 € o l'1,4% del fatturato mondiale annuo
Ma la novità vera è un'altra: la responsabilità personale dei dirigenti. L'articolo 20 della NIS2 prevede che gli organi di gestione (CDA, amministratori) possano essere ritenuti personalmente responsabili per la mancata adozione delle misure. Questo significa che il CEO non può più dire "non ne sapevo niente, è colpa dell'IT". La cybersecurity diventa una responsabilità di governance.
Inoltre, l'ACN può disporre la sospensione temporanea delle certificazioni e, nei casi più gravi, il divieto temporaneo di esercizio delle funzioni dirigenziali per le persone fisiche responsabili.
Checklist conformità NIS2 per PMI
Ecco una checklist pratica per verificare dove sei rispetto ai requisiti NIS2. Rispondi sì/no a ogni punto:
- Hai una policy scritta di risk assessment aggiornata nell'ultimo anno?
- Hai un piano di incident response con ruoli e responsabilità definiti?
- Hai un piano di business continuity e disaster recovery testato?
- Hai valutato i rischi cybersecurity dei tuoi fornitori critici?
- Hai un processo di patch management e vulnerability assessment?
- Fai audit periodici sull'efficacia delle misure di sicurezza?
- I dipendenti ricevono formazione cybersecurity almeno annuale?
- Usi la crittografia per dati sensibili (a riposo e in transito)?
- Hai una matrice degli accessi aggiornata con revisione periodica?
- Hai MFA attivo su tutti gli accessi critici?
- Hai un SIEM o un sistema di log management centralizzato?
- Hai un firewall di nuova generazione con IPS attivo?
Se hai risposto "no" a più di 3 punti, hai bisogno di un piano di adeguamento serio. Se hai risposto "no" a più di 6, sei in una situazione di rischio alto.
Costi di adeguamento NIS2
I costi variano enormemente in base al punto di partenza. Un'azienda che ha già un MSP con firewall gestito, MFA e backup parte avvantaggiata. Un'azienda senza niente di tutto questo deve investire di più.
| Voce | PMI 50-100 dip. | PMI 100-250 dip. |
|---|---|---|
| Gap analysis e risk assessment | 3.000-8.000 € | 5.000-15.000 € |
| Misure tecniche (SIEM, EDR, backup, rete) | 5.000-20.000 € | 15.000-50.000 € |
| Policy e documentazione | 3.000-8.000 € | 5.000-15.000 € |
| Formazione dipendenti | 2.000-5.000 € | 5.000-12.000 € |
| Audit e verifica | 2.000-9.000 € | 5.000-15.000 € |
| Totale stimato | 15.000-50.000 € | 35.000-107.000 € |
Sembra tanto? Confrontalo con la sanzione minima (fino a 7 milioni di euro) o con il costo medio di un incidente ransomware per una PMI italiana: 120.000 € (fonte: Clusit 2025). L'adeguamento NIS2 non è un costo — è un investimento in protezione del business.
Come BullTech aiuta con la compliance NIS2
Non vendiamo "pacchetti NIS2" preconfezionati. Ogni azienda è diversa, e l'adeguamento dipende dal punto di partenza. Il nostro approccio è pratico e graduale:
- Assessment NIS2 iniziale: mappiamo la tua situazione attuale rispetto alle 10 misure minime. Identifichiamo gap, rischi e priorità. Tempo: 2-3 settimane.
- Piano di remediation: costruiamo un piano con priorità (alto/medio/basso), timeline e budget. Prima le cose urgenti, poi il resto.
- Implementazione tecnica: firewall, SIEM, EDR, backup, segmentazione rete, MFA — tutto quello che serve. Come MSP, gestiamo l'implementazione senza impattare le operazioni quotidiane.
- Policy e documentazione: scriviamo le policy richieste dalla NIS2 in modo chiaro e applicabile. Non documenti da 200 pagine — procedure che il tuo team può davvero seguire.
- Formazione dipendenti: corsi pratici con simulazioni di phishing e social engineering. Non slide morte — esercizi che lasciano il segno.
- Monitoring continuo: come MSP, monitoriamo 24/7 la tua infrastruttura. Se succede qualcosa, interveniamo noi e gestiamo la notifica all'ACN nei tempi previsti.
Devi adeguarti alla NIS2? Parti dall'assessment.
BullTech offre un assessment NIS2 gratuito per capire dove sei e cosa devi fare. Analizziamo la tua infrastruttura, identifichiamo i gap e costruiamo un piano di adeguamento su misura. Chiamaci al 039 6099 023 o scrivici.