Quanto costa adeguarsi alla NIS2 per una PMI?

Il gap assessment NIS2 BullTech costa da €800 e include analisi dello stato attuale, piano di remediation e documentazione per il registro dei rischi. La compliance completa per una PMI di 20-50 dipendenti parte da €350/mese e copre: EDR Bitdefender su tutti gli endpoint, backup immutabile Veeam, vulnerability assessment trimestrale, firewall WatchGuard gestito e formazione anti-phishing. Il costo totale dipende dalle lacune: chi ha già MFA e backup spende meno di chi parte da zero.

Chi deve adeguarsi alla NIS2 in Italia?

Sono soggette alla NIS2 le aziende con almeno 50 dipendenti O fatturato superiore a €10 milioni che operano in 18 settori critici (energia, trasporti, sanità, banche, acqua, infrastrutture digitali, PA, manifatturiero, alimentare, chimico). Ma attenzione: anche le PMI con meno di 50 dipendenti sono coinvolte se fanno parte della supply chain di un soggetto NIS2. Il tuo cliente grande ti chiederà di dimostrare la tua sicurezza IT.

Quali sono le sanzioni NIS2 per chi non si adegua?

Le sanzioni NIS2 vanno da €7 milioni (soggetti importanti) a €10 milioni o il 2% del fatturato globale (soggetti essenziali). Ma la novità vera è la responsabilità personale: i dirigenti possono essere ritenuti personalmente responsabili e subire la sospensione temporanea dalle funzioni. Non è più solo una multa all'azienda — è un rischio personale per il CDA.

Entro quando bisogna adeguarsi alla NIS2?

Il D.Lgs. 138/2024 è già in vigore dal 16 ottobre 2024. La registrazione all'ACN (Agenzia per la Cybersicurezza Nazionale) è obbligatoria per i soggetti identificati. Le sanzioni sono operative. Non esiste una scadenza finale per le misure tecniche — l'adeguamento deve essere continuo e documentato. BullTech consiglia di partire dal gap assessment (€800) per avere un piano con priorità chiare in 2 settimane.

La NIS2 vale anche per i fornitori IT delle grandi aziende?

Sì, la supply chain security è uno dei 10 pilastri obbligatori. Se sei fornitore IT di un soggetto NIS2, il tuo cliente ti chiederà: politiche di sicurezza documentate, MFA su tutti gli accessi, backup testati, vulnerability assessment, piano di incident response. BullTech offre un pacchetto supply chain compliance da €350/mese che include tutte queste misure più la documentazione da esibire al cliente.

Cosa succede se subisco un attacco informatico con la NIS2?

Con la NIS2 devi notificare all'ACN entro 24 ore dalla scoperta dell'incidente (notifica iniziale) e inviare un report completo entro 72 ore. Se non notifichi nei tempi previsti, le sanzioni si applicano anche se l'attacco non ha causato danni gravi. BullTech include nel piano compliance (da €350/mese) la procedura di incident response pre-compilata e il supporto in caso di emergenza per gestire notifiche e contenimento.

Posso fare da solo l'adeguamento NIS2 senza un consulente?

Tecnicamente sì, ma nella pratica è rischioso. La NIS2 richiede competenze trasversali: governance IT, cybersecurity, risk management, compliance normativa. Per una PMI senza un CISO interno, il percorso guidato costa meno degli errori. Il gap assessment BullTech (€800, una tantum) ti dice esattamente cosa manca e quanto costa colmare le lacune — poi decidi tu se proseguire da solo o con supporto.

Compliance 15 min di lettura21 Maggio 2026

NIS2 Obblighi PMI: Guida Completa 2026 con Checklist e Costi Reali

Nel 2026 la Direttiva NIS2 riguarda oltre 100.000 aziende italiane, comprese le PMI nella supply chain di soggetti critici. Le sanzioni arrivano a €10 milioni e i dirigenti rispondono personalmente. Questa guida ti spiega cosa fare, quanto costa e come partire senza perdere tempo.

Richiedi Gap Assessment NIS2 — da €800

In breve — NIS2 Obblighi PMI in 60 secondi

Nel 2026 la Direttiva NIS2 (D.Lgs. 138/2024) obbliga le aziende con 50+ dipendenti o €10M+ di fatturato in 18 settori critici ad implementare 10 misure di sicurezza: MFA, EDR, backup immutabile, vulnerability assessment, incident response con notifica ACN in 24h. Le sanzioni arrivano a €10 milioni. BullTech offre gap assessment NIS2 da €800 e compliance completa da €350/mese.

La Direttiva NIS2, recepita in Italia con il Decreto Legislativo 138/2024 ed entrata in vigore il 16 ottobre 2024, rappresenta il più importante aggiornamento normativo europeo in materia di cybersecurity degli ultimi dieci anni. Riguarda direttamente le PMI italiane che operano in 18 settori critici — dall'energia alla sanità, dalla manifattura ai servizi digitali — con almeno 50 dipendenti o un fatturato superiore a 10 milioni di euro. La novità dirompente è l'estensione alla supply chain: anche aziende sotto-soglia sono coinvolte se forniscono servizi a soggetti NIS2. Le 10 misure obbligatorie spaziano dalla governance (politiche di sicurezza, registro dei rischi) alle misure tecniche (MFA, EDR, backup immutabile, segmentazione di rete) fino alla formazione del personale. Le sanzioni non sono simboliche: fino a €10 milioni o il 2% del fatturato globale per i soggetti essenziali, con responsabilità personale dei dirigenti. BullTech Informatica accompagna le PMI lombarde nel percorso di adeguamento con un gap assessment da €800 e piani di compliance continuativa da €350 al mese.

Chi deve adeguarsi alla NIS2? I criteri per le PMI italiane

La NIS2 divide le organizzazioni in due categorie: soggetti essenziali (sanzioni più alte, obblighi più stringenti) e soggetti importanti. Ecco come capire se la tua PMI rientra.

Criterio	Soggetti essenziali	Soggetti importanti
Dipendenti	≥250	≥50
Fatturato annuo	≥€50M	≥€10M
Settori	11 settori ad alta criticità	7 settori critici aggiuntivi
Sanzione massima	€10M o 2% fatturato	€7M o 1,4% fatturato
Responsabilità dirigenti	Sì — sospensione possibile	Sì — sospensione possibile

I 18 settori coinvolti dalla Direttiva NIS2

11 Settori ad alta criticità

Energia (elettricità, gas, petrolio, idrogeno)
Trasporti (aereo, ferroviario, stradale, marittimo)
Banche e mercati finanziari
Sanità
Acqua potabile e acque reflue
Infrastrutture digitali (DNS, cloud, data center)
Pubblica Amministrazione
Spazio
ICT service management B2B
Gestione rifiuti
Produzione e distribuzione alimentare

7 Settori critici aggiuntivi

Servizi postali e di corriere
Gestione dei rifiuti
Produzione e distribuzione chimica
Produzione e distribuzione alimentare
Manifatturiero (dispositivi medici, elettronica, automotive)
Fornitori di servizi digitali
Ricerca scientifica

La trappola della supply chain: sei coinvolto anche se sei sotto-soglia

Ecco il punto che molte PMI sottovalutano: se sei fornitore IT, fornitore di servizi digitali o subappaltatore di un soggetto NIS2, il tuo cliente è obbligato a verificare la tua sicurezza informatica. Non importa se hai 15 dipendenti e fatturi €2 milioni. Se il tuo cliente è un ospedale, una banca o una utility, ti chiederà la documentazione NIS2. Chi non ce l'ha rischia di perdere il contratto. Noi di BullTech vediamo già questo scenario in Lombardia: aziende manifatturiere da 30 dipendenti che ricevono questionari di sicurezza dai loro clienti enterprise.

Quali sono i 10 obblighi NIS2 per le PMI?

La Direttiva NIS2 definisce 10 aree di sicurezza obbligatorie. Non è un singolo prodotto da comprare — è un sistema di governance che copre tecnologia, processi e persone.

Pilastro 1

Politiche di sicurezza

Documentazione completa delle policy di sicurezza delle reti e dei sistemi informativi, con revisione annuale.

Pilastro 2

Gestione degli incidenti

Procedure di rilevamento, contenimento, risposta e notifica all'ACN entro 24/72 ore.

Pilastro 3

Business continuity e DR

Piano di continuità operativa testato, backup immutabile con regola 3-2-1-1-0, RPO/RTO definiti.

Pilastro 4

Sicurezza supply chain

Mappatura fornitori critici, clausole contrattuali NIS2, audit periodici della catena di fornitura.

Pilastro 5

Sicurezza acquisizione sistemi

Criteri di sicurezza nella scelta di hardware e software, gestione del ciclo di vita dei sistemi.

Pilastro 6

Gestione vulnerabilità

Vulnerability assessment almeno trimestrale, patching entro 72h per vulnerabilità critiche.

Pilastro 7

Formazione cybersecurity

Training anti-phishing per tutto il personale, formazione tecnica per gli amministratori IT.

Pilastro 8

Crittografia

Cifratura dei dati in transito e a riposo dove necessario, gestione delle chiavi crittografiche.

Pilastro 9

Autenticazione MFA

Multi-Factor Authentication su tutti gli accessi remoti, VPN, email e sistemi critici.

Pilastro 10

Sicurezza risorse umane

Controllo accessi basato su ruoli, offboarding sicuro, policy BYOD documentate.

Quanto costa la compliance NIS2 per una PMI?

I costi dipendono dallo stato attuale della tua sicurezza IT. Un'azienda che ha già firewall, backup e MFA spenderà molto meno di una che parte da zero. Ecco i numeri reali di BullTech per PMI lombarde da 20-80 dipendenti.

Cosa richiede la NIS2	Cosa offre BullTech	Costo
Gap assessment e registro rischi	Audit completo + piano remediation + documentazione	da €800
Vulnerability assessment	VA trimestrale con report e remediation	da €800/anno
Firewall perimetrale con IPS	WatchGuard T45/T85 gestito 24/7	da €150/mese
EDR su tutti gli endpoint	Bitdefender GravityZone con monitoraggio	da €5/endpoint/mese
Backup immutabile 3-2-1-1-0	Veeam con test trimestrale e DR plan	da €200/mese
MFA su tutti gli accessi	Microsoft Entra ID + configurazione completa	incluso nel piano
Formazione anti-phishing	Sessioni trimestrali + simulazioni phishing	da €500/anno
Incident response plan	Procedura pre-compilata + esercitazione annuale	incluso nel piano
Compliance completa gestita	Tutto il pacchetto: assessment + tech + governance + supporto	da €350/mese

Quanto costa NON adeguarsi? Il confronto che conta

Un ransomware medio costa a una PMI italiana circa €850.000 tra riscatto, fermo produzione e ripristino (fonte: Clusit 2026). La sanzione NIS2 per un soggetto importante arriva a €7 milioni. La compliance BullTech parte da €350/mese — meno di €4.200 l'anno. Il calcolo è semplice: investire in prevenzione costa 200 volte meno che subire un attacco.

E c'è un costo nascosto: la perdita di contratti. Le grandi aziende soggette NIS2 stanno già chiedendo ai fornitori documentazione sulla sicurezza IT. Chi non ce l'ha, perde il cliente. Chi ce l'ha, diventa un fornitore preferenziale.

Quali sono le scadenze NIS2 in Italia nel 2026?

La NIS2 non ha una singola “data di scadenza” — è un percorso continuo. Ma ci sono tappe precise che devi conoscere.

FATTO

Ottobre 2024

Entrata in vigore del D.Lgs. 138/2024 che recepisce la NIS2 in Italia.

FATTO

Gennaio 2025

Avvio della fase di registrazione all'ACN per le organizzazioni che rientrano nel perimetro.

FATTO

Aprile 2025

L'ACN ha iniziato a notificare le organizzazioni identificate come soggetti NIS2.

IN CORSO

2025-2026

Implementazione progressiva delle misure di sicurezza. Le sanzioni sono già operative per chi non ha avviato il percorso.

SEMPRE

Continuo

Adeguamento costante: VA trimestrali, formazione annuale, test DR, aggiornamento policy. Non è un progetto una tantum.

Il messaggio chiave: chi non ha ancora avviato il percorso è già in ritardo. L'ACN può effettuare verifiche e le sanzioni si applicano non solo in caso di incidente, ma anche per la mancata implementazione delle misure minime. Il consiglio pratico? Parti dal gap assessment BullTech da €800: in 2 settimane hai un quadro chiaro di cosa manca e un piano con le priorità.

Checklist NIS2 per PMI: cosa devi fare concretamente?

Ecco la checklist operativa che usiamo noi di BullTech con le PMI lombarde. Stampala, spunta quello che hai già fatto e parti da quello che manca.

Governance e documentazione

Nomina il responsabile NIS2 (CEO o CISO)
Redigi la politica di sicurezza IT documentata
Crea il registro dei rischi informatici aggiornato
Definisci le procedure di incident response e notifica ACN
Registrati sulla piattaforma ACN

Misure tecniche obbligatorie

Implementa MFA su tutti gli accessi remoti e sistemi critici
Installa EDR su tutti gli endpoint (non basta l'antivirus)
Attiva backup immutabile 3-2-1-1-0 testato trimestralmente
Esegui vulnerability assessment almeno trimestrale
Segmenta la rete (VLAN separate per reparti e ospiti)
Configura firewall perimetrale con IPS/IDS attivo
Cifra i dati sensibili a riposo e in transito

Sicurezza della supply chain

Mappa tutti i fornitori con accesso ai tuoi sistemi
Inserisci clausole NIS2 nei contratti con fornitori IT
Verifica le misure di sicurezza dei fornitori critici
Richiedi ai fornitori documentazione sulle policy di sicurezza

Formazione e awareness

Forma tutto il personale su phishing e social engineering
Training specifico per amministratori IT (almeno annuale)
Esercitazione del piano di incident response (almeno annuale)
Documenta tutte le sessioni di formazione svolte

Come adeguarsi alla NIS2 in pratica? Il percorso BullTech in 4 fasi

Non devi fare tutto in una volta. Il nostro percorso per PMI lombarde prevede 4 fasi progressive, dalla fotografia iniziale alla compliance continuativa. Ogni fase produce documentazione utilizzabile in caso di audit ACN.

Fase 11

Gap Assessment NIS2

2 settimane da €800

Audit completo della tua infrastruttura IT rispetto ai 10 pilastri NIS2. Produciamo: registro dei rischi, gap analysis, piano di remediation con priorità e costi stimati. Alla fine sai esattamente cosa manca e quanto costa colmare le lacune.

Fase 22

Remediation tecnica

1-3 mesi variabile

Implementiamo le misure tecniche mancanti: firewall WatchGuard, EDR Bitdefender, backup immutabile Veeam, MFA, segmentazione di rete. Partiamo dalle vulnerabilità critiche e procediamo in ordine di rischio. Ogni intervento viene documentato per il registro NIS2.

Fase 33

Governance e formazione

1 mese incluso nel piano

Redigiamo le policy di sicurezza, la procedura di incident response con notifica ACN in 24/72h, il piano di business continuity. Formiamo il personale su phishing e social engineering con sessioni pratiche e simulazioni.

Fase 44

Compliance continuativa

ongoing da €350/mese

La NIS2 non è un progetto una tantum. Il piano continuativo include: vulnerability assessment trimestrale, formazione annuale, test del piano DR, aggiornamento policy, monitoraggio 24/7 e supporto in caso di incidente con gestione notifica ACN.

Quali sono le sanzioni NIS2 e la responsabilità dei dirigenti?

Le sanzioni NIS2 non sono teoriche — sono operative. E la novità rispetto alla precedente Direttiva NIS è la responsabilità personale dei dirigenti.

Soggetti essenziali

€10M

o il 2% del fatturato globale annuo (il maggiore dei due)

Soggetti importanti

€7M

o l'1,4% del fatturato globale annuo (il maggiore dei due)

Responsabilità personale: cosa rischia il CDA?

La NIS2 introduce la responsabilità personale degli organi di gestione (CDA, amministratore unico, dirigenti). In caso di violazione, l'ACN può disporre:

Sospensione temporanea del dirigente dalle funzioni
Obbligo di adottare le misure correttive entro termini specifici
Ordine di comunicare pubblicamente la non conformità
Sanzioni pecuniarie personali aggiuntive

Il punto pratico: il CDA non può più delegare la cybersecurity al “ragazzo dell'IT” e lavarsi le mani. I dirigenti devono approvare le misure di sicurezza, supervisionarne l'attuazione e seguire una formazione specifica. È un cambio culturale, non solo tecnologico. Noi di BullTech lo spieghiamo così ai nostri clienti: la sicurezza IT ora è come la sicurezza sul lavoro — il datore di lavoro ne risponde personalmente.

Come funziona la notifica degli incidenti all'ACN?

La NIS2 introduce obblighi stringenti di notifica degli incidenti informatici all'ACN (Agenzia per la Cybersicurezza Nazionale). Le tempistiche sono serrate e non rispettarle significa sanzioni aggiuntive.

Entro 24 ore

Notifica iniziale

Dalla scoperta dell'incidente, devi inviare una notifica preliminare all'ACN: cos'è successo, quando, impatto iniziale stimato. Non serve il report completo — serve la velocità.

Entro 72 ore

Notifica completa

Report dettagliato: causa dell'incidente, sistemi coinvolti, dati compromessi, misure di contenimento adottate, impatto sulla continuità operativa, piano di ripristino.

Entro 1 mese

Report finale

Analisi completa dell'incidente: root cause analysis, lezioni apprese, misure correttive implementate per prevenire il ripetersi. Questo report viene archiviato dall'ACN.

Il piano compliance BullTech (da €350/mese) include una procedura di incident response pre-compilata con template per tutte e tre le notifiche ACN, numeri di emergenza e workflow di escalation. In caso di incidente, il nostro team ti supporta nella gestione tecnica e nella compilazione delle notifiche — non ti lasciamo solo con un PDF da 200 pagine.

Domande frequenti sulla NIS2 per PMI

Parti dal gap assessment NIS2 — da €800

In 2 settimane sai esattamente dove sei, cosa manca e quanto costa adeguarti. Nessun impegno successivo — il report è tuo e puoi procedere con chi vuoi.

Richiedi Gap Assessment NIS2 039 5787 212

Andrea Panzeri|Scopri il team

Il team di esperti IT di BullTech Informatica condivide analisi, guide e best practice per la sicurezza e la gestione IT aziendale.

Approfondimenti NIS2 e cybersecurity

Checklist

Checklist NIS2: 25 Punti Compliance PMI

Scadenze

NIS2 Scadenze 2026: Calendario Completo

Sicurezza

Firewall Aziendale: Guida Completa

Criterio

Soggetti essenziali

Soggetti importanti

Dipendenti

≥250

≥50

Fatturato annuo

≥€50M

≥€10M

Settori

11 settori ad alta criticità

7 settori critici aggiuntivi

Sanzione massima

€10M o 2% fatturato

€7M o 1,4% fatturato

Responsabilità dirigenti

Sì — sospensione possibile

Cosa richiede la NIS2

Cosa offre BullTech

Costo

Gap assessment e registro rischi

Audit completo + piano remediation + documentazione

da €800

Vulnerability assessment

VA trimestrale con report e remediation

da €800/anno

Firewall perimetrale con IPS

WatchGuard T45/T85 gestito 24/7

da €150/mese

EDR su tutti gli endpoint

Bitdefender GravityZone con monitoraggio

da €5/endpoint/mese

Backup immutabile 3-2-1-1-0

Veeam con test trimestrale e DR plan

da €200/mese

MFA su tutti gli accessi

Microsoft Entra ID + configurazione completa

incluso nel piano

Formazione anti-phishing

Sessioni trimestrali + simulazioni phishing

da €500/anno

Incident response plan

Procedura pre-compilata + esercitazione annuale

incluso nel piano

Compliance completa gestita

Tutto il pacchetto: assessment + tech + governance + supporto

da €350/mese