Caricamento...
Caricamento...
La Direttiva NIS2 è operativa in Italia con sanzioni fino a €10 milioni. Guida completa per PMI: chi è soggetto, misure obbligatorie, checklist e costi reali di adeguamento.
La Direttiva NIS2 (D.Lgs. 138/2024) è operativa in Italia. Sei soggetto se operi in settori critici con +50 dipendenti o fatturato >€10M, o se sei fornitore di un soggetto NIS2. Le misure obbligatorie includono MFA, EDR, backup immutabile, VA annuale e procedure di notifica all'ACN entro 24 ore. Sanzioni fino a €10M per le organizzazioni essenziali. Costo adeguamento PMI: da €800 per il gap assessment, €2.000-8.000 per l'adeguamento completo.
La NIS2 divide le organizzazioni in due categorie: essenziali (soggetti ad alta criticità) e importanti (altri settori critici). La distinzione si basa su settore di attività, dimensione (dipendenti e fatturato) e criticità dell'infrastruttura. Ma c'è una regola spesso dimenticata: se sei un fornitore di un soggetto NIS2 — anche una piccola azienda IT, un consulente, un provider cloud — devi rispettare gli obblighi NIS2 perché la responsabilità si estende alla supply chain.
Sanzione max: €10M o 2% fatturato
Sanzione max: €7M o 1,4% fatturato
| Dimensione Azienda | Dipendenti | Fatturato/Bilancio | Soggetta NIS2? |
|---|---|---|---|
| Grande impresa | >250 | >€50M / >€43M | ✅ Sempre se settore critico |
| Media impresa | 50-249 | >€10M / >€10M | ✅ Se settore critico |
| Piccola impresa | <50 | <€10M | ⚠️ Solo se soggetto essenziale critico |
| Micro impresa | <10 | <€2M | ❌ Generalmente esclusa (eccezioni) |
| Qualsiasi dimensione | — | — | ✅ Se è fornitore di soggetto NIS2 |
Da €800
Analisi dello stato attuale, registro rischi, piano di remediation. BullTech li eroga in 2-3 giorni.
€2.000-5.000
EDR, backup immutabile, MFA, vulnerability scan. Costo una-tantum su infrastruttura esistente.
€300-600/mese
Monitoring, patch management, VA annuale, aggiornamento documentazione, risposta incidenti.
Per una PMI di 20-50 dipendenti, il costo di adeguamento NIS2 varia da €800 a €5.000 a seconda delle lacune esistenti. BullTech offre un gap assessment NIS2 da €800 che include: analisi dello stato attuale, piano di remediation prioritizzato e documentazione per il registro dei rischi. Le misure tecniche (EDR, backup immutabile, MFA, vulnerability assessment) hanno costi che dipendono dall'infrastruttura esistente.
Il D.Lgs. 138/2024 che recepisce NIS2 in Italia è in vigore. Le organizzazioni soggette devono registrarsi all'ACN (Agenzia per la Cybersicurezza Nazionale) e avviare l'adeguamento. Le sanzioni sono operative dal 2025. Non esiste una 'scadenza finale' per le misure tecniche — l'adeguamento deve essere continuo e documentato. Chi non ha ancora avviato il percorso è già in ritardo.
Sei soggetto a NIS2 se la tua azienda opera in un settore critico (energia, trasporti, banche, sanità, acqua, infrastrutture digitali, PA) con più di 50 dipendenti O fatturato >€10M. Sei soggetto anche se sei un fornitore/subappaltatore di un'organizzazione soggetta NIS2 — la responsabilità si estende alla supply chain. Se non sei sicuro, l'ACN ha pubblicato uno strumento di autovalutazione sul suo sito.
Per le organizzazioni 'essenziali': fino a €10 milioni o 2% del fatturato globale annuo (il maggiore dei due). Per le organizzazioni 'importanti': fino a €7 milioni o 1,4% del fatturato. Le sanzioni si applicano in caso di violazione degli obblighi di sicurezza o di mancata notifica degli incidenti entro le scadenze previste (24 ore per la notifica iniziale all'ACN, 72 ore per la notifica completa).
La NIS2 richiede: 1) Politiche di sicurezza delle reti e dei sistemi informativi, 2) Gestione degli incidenti (con procedure di notifica), 3) Business continuity e disaster recovery, 4) Sicurezza della supply chain, 5) Sicurezza nell'acquisizione e sviluppo di sistemi, 6) Politiche di gestione delle vulnerabilità, 7) Formazione sulla cybersecurity, 8) Crittografia dove necessario, 9) Autenticazione a più fattori (MFA), 10) Sicurezza delle risorse umane. Non un singolo prodotto — un sistema di governance.
BullTech affianca PMI nel percorso NIS2: dal gap assessment alla documentazione, fino alle misure tecniche. Da €800 per verificare il tuo stato di conformità attuale.
Consulente cybersecurity e compliance per PMI italiane. Specializzato in adeguamento NIS2, GDPR e ISO 27001. Ha guidato oltre 50 aziende nel percorso di conformità.