La direttiva NIS2 non riguarda solo le grandi aziende. Migliaia di PMI italiane sono direttamente soggette ai nuovi obblighi di cybersecurity, e molte altre lo sono indirettamente attraverso la supply chain. Ma quali PMI devono adeguarsi? Quali sono gli obblighi concreti? Quanto costa? E soprattutto: come farlo senza bloccare l'operatività aziendale? In questa guida rispondiamo a tutte queste domande con dati concreti e soluzioni pratiche.
Indice dei Contenuti
Quali PMI Sono Soggette alla NIS2
La NIS2 (recepita in Italia con il D.Lgs. 138/2024) si applica alle organizzazioni che soddisfano due criteri contemporaneamente: operano in un settore critico designato E superano determinate soglie dimensionali. Vediamoli nel dettaglio.
Il primo criterio è il settore di appartenenza. La NIS2 divide i settori in due categorie: i settori ad alta criticità (Allegato I) e gli altri settori critici (Allegato II). L'appartenenza a uno di questi settori è condizione necessaria ma non sufficiente per essere soggetti alla normativa.
ISettori ad Alta Criticità (Essenziali)
- Energia (elettricità, gas, petrolio, idrogeno)
- Trasporti (aereo, ferroviario, marittimo, stradale)
- Settore bancario e finanziario
- Settore sanitario
- Acqua potabile e acque reflue
- Infrastrutture digitali (DNS, cloud, data center)
- Gestione servizi ICT (B2B)
- Pubblica amministrazione
- Spazio
IIAltri Settori Critici (Importanti)
- Servizi postali e di corriere
- Gestione dei rifiuti
- Fabbricazione prodotti chimici
- Produzione e distribuzione alimentare
- Fabbricazione (dispositivi medici, elettronica, macchinari, veicoli)
- Fornitori di servizi digitali (marketplace, motori di ricerca, social)
- Ricerca scientifica
Soglie Dimensionali: Quando Scatta l'Obbligo
Il secondo criterio è la dimensione dell'azienda. La NIS2 adotta le definizioni europee di dimensione d'impresa:
| Categoria | Dipendenti | Fatturato/Bilancio | Soggetta NIS2? |
|---|---|---|---|
| Micro-impresa | < 10 | < €2 milioni | No* |
| Piccola impresa | < 50 | < €10 milioni | No* |
| Media impresa | 50 - 249 | €10 - €50 milioni | Sì (se in settore NIS2) |
| Grande impresa | ≥ 250 | > €50 milioni | Sì (se in settore NIS2) |
* Le micro e piccole imprese sono escluse a meno che: forniscano servizi DNS, di registrazione domini, servizi fiduciari, siano identificate dall'ACN per il ruolo critico del servizio, o siano fornitori critici nella supply chain di un soggetto NIS2.
La soglia è "OR", non "AND"
Attenzione: per essere classificata come media impresa (e quindi soggetta NIS2) basta superare UNA delle due soglie. Un'azienda con 45 dipendenti ma €12 milioni di fatturato è classificata come media impresa ed è soggetta alla NIS2 se opera in un settore critico. Il criterio è: almeno 50 dipendenti OPPURE fatturato/bilancio superiore a €10 milioni.
Obblighi Specifici per le PMI
Se la tua PMI rientra nei criteri, ecco gli obblighi concreti a cui devi adempiere. Li dividiamo in quattro aree principali:
Governance e Responsabilità
- Il CDA (o l'organo direttivo) deve approvare le misure di cybersecurity e supervisionarne l'implementazione
- Nomina di un responsabile della sicurezza (può essere esterno: vCISO)
- I membri del CDA devono partecipare a formazione specifica sulla cybersecurity
- Policy di gestione del rischio cyber approvata e documentata
- Piano di risposta agli incidenti formalizzato e testato
Misure Tecniche di Sicurezza
- Analisi del rischio e policy di sicurezza dei sistemi informativi
- Gestione degli incidenti (prevenzione, rilevamento, risposta)
- Business continuity: backup, disaster recovery, gestione delle crisi
- Sicurezza della catena di approvvigionamento (supply chain)
- Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi
- Valutazione dell'efficacia delle misure (vulnerability assessment, penetration test)
- Igiene informatica di base e formazione cybersecurity per il personale
- Crittografia e cifratura dove appropriato
- Controllo degli accessi e gestione degli asset
- Autenticazione multi-fattore (MFA) e comunicazioni sicure
Notifica degli Incidenti
- Pre-notifica all'ACN entro 24 ore dalla scoperta di un incidente significativo
- Notifica completa entro 72 ore con valutazione iniziale (gravità, impatto, indicatori di compromissione)
- Relazione finale entro 1 mese con: descrizione dettagliata, causa, misure di mitigazione adottate
- Obbligo di informare i destinatari dei servizi se l'incidente può impattarli
Sicurezza della Supply Chain
- Censimento e classificazione dei fornitori critici (IT e non solo)
- Valutazione della postura di sicurezza dei fornitori
- Clausole di sicurezza nei contratti con fornitori critici
- Diritto di audit sulla sicurezza dei fornitori
- Monitoraggio continuo del rischio supply chain
PMI vs Grandi Aziende: Cosa Cambia Nella Pratica
La buona notizia per le PMI è che la NIS2 prevede un principio di proporzionalità: le misure devono essere adeguate alla dimensione dell'azienda, al grado di esposizione al rischio e alla criticità del servizio. In pratica, questo si traduce in differenze concrete:
| Requisito | Grande azienda | PMI (50-249 dip.) |
|---|---|---|
| SOC/SIEM | SOC interno 24/7 o MDR premium | Servizio SOC/MDR gestito (MSP) |
| CISO | CISO interno dedicato | vCISO esterno (MSP) |
| Penetration test | Annuale + red team | Annuale (vulnerability assessment) |
| Incident response | Team IR interno + retainer DFIR | Procedura documentata + MSP on-call |
| Formazione cyber | Programma continuo + phishing simulation | Formazione annuale + awareness base |
| Supply chain audit | Audit approfonditi fornitori critici | Questionario + clausole contrattuali |
| Business continuity | BIA completa + DR multi-site | Backup 3-2-1 + DR cloud |
| Budget annuo stimato | €200.000 - €1.000.000+ | €30.000 - €70.000 |
Come si vede dalla tabella, le PMI possono raggiungere la compliance con investimenti significativamente inferiori rispetto alle grandi aziende, a patto di affidarsi a partner specializzati che offrano servizi gestiti (SOC, vCISO, backup, DR) a canone.
Costi Stimati di Adeguamento per PMI
Quanto costa concretamente adeguarsi alla NIS2 per una PMI? Ecco una stima basata sulla nostra esperienza con aziende da 50 a 200 dipendenti in Lombardia:
Gap Analysis e Consulenza Iniziale
Assessment della postura di sicurezza attuale, identificazione delle lacune rispetto ai requisiti NIS2, definizione del piano di remediation. Costo una tantum.
€3.000 - €8.000
Implementazione Tecnica (Anno 1)
Firewall next-gen, EDR/XDR su tutti gli endpoint, backup 3-2-1 con DR cloud, MFA, segmentazione di rete, hardening. Costo una tantum (hardware + configurazione).
€15.000 - €40.000
Servizio SOC/MDR Gestito
Monitoraggio continuo 24/7, detection & response, gestione incidenti, reportistica. Canone mensile continuativo.
€800 - €2.500/mese
vCISO (Virtual CISO)
Gestione strategica della sicurezza, interfaccia con il CDA, supervisione compliance, reportistica trimestrale. Canone mensile.
€500 - €1.500/mese
Formazione Personale
Formazione cybersecurity per tutto il personale, formazione specifica CDA, simulazioni phishing. Costo annuo.
€2.000 - €5.000/anno
Vulnerability Assessment Annuale
Scansione delle vulnerabilità, test di sicurezza, reportistica con priorità di remediation. Costo annuo.
€2.000 - €5.000/anno
Documentazione e Policy
Redazione delle policy richieste: gestione rischio, incident response, supply chain security, business continuity. Costo una tantum.
€2.000 - €5.000
Stima totale primo anno: €30.000 - €70.000
Il costo può sembrare significativo, ma va confrontato con le alternative: una sanzione NIS2 può arrivare a €7.000.000 per i soggetti importanti, e il costo medio di un data breach per una PMI è di €43.000 (IBM 2025). Investire in sicurezza non è solo compliance: è protezione del business. Dal secondo anno, i costi si riducono al solo canone MSP continuativo (€2.000-5.000/mese).
Supply Chain: Anche le PMI Non Soggette Sono Coinvolte
Questo è il punto che la maggior parte delle PMI sottovaluta: anche se la tua azienda non rientra direttamente nei criteri NIS2, potresti essere coinvolto come fornitore.
La NIS2 obbliga i soggetti essenziali e importanti a gestire il rischio della propria supply chain. In pratica, i tuoi clienti enterprise (banche, ospedali, utility, grandi manifatturiere) ti chiederanno di dimostrare la tua postura di sicurezza e di rispettare standard minimi. Se non sei in grado di farlo, rischi di perdere contratti importanti.
Clausole contrattuali NIS2
I clienti soggetti NIS2 inseriranno nei contratti clausole che richiedono: standard minimi di sicurezza (ISO 27001 o equivalente), obbligo di notifica incidenti al cliente entro 24 ore, diritto di audit sulla sicurezza IT del fornitore, penali per inadempienza. Se non puoi dimostrare la compliance, perdi il contratto.
Questionari di sicurezza
Aspettati questionari dettagliati sulla tua postura di sicurezza: quale firewall usi? Hai un EDR? Come gestisci il backup? Hai una policy di incident response? Formi il personale? Se le risposte non sono soddisfacenti, il cliente è obbligato a valutare fornitori alternativi.
Vantaggio competitivo
Le PMI che si adeguano proattivamente alla NIS2 acquisiscono un vantaggio competitivo: possono rispondere positivamente ai questionari, mantenere i clienti enterprise e acquisirne di nuovi. La compliance NIS2 diventa un differenziatore commerciale, non solo un costo.
Come un MSP Semplifica la Compliance NIS2
Per una PMI, assumere un CISO interno, costruire un SOC e gestire autonomamente la compliance NIS2 è economicamente insostenibile. La soluzione più efficiente è affidarsi a un MSP (Managed Service Provider) specializzato che offra tutti i servizi necessari a canone.
SOC/MDR Gestito
Monitoraggio continuo 24/7 delle minacce, detection & response automatizzata, gestione degli incidenti. Soddisfa i requisiti di monitoraggio e incident management della NIS2.
vCISO (Virtual CISO)
Un esperto di sicurezza dedicato alla tua azienda: definisce la strategia, supervisiona l'implementazione, reporta al CDA. Costo di una frazione di un CISO interno.
Sicurezza Gestita End-to-End
Firewall, EDR, backup, email security, vulnerability management: tutti gestiti dall'MSP con SLA garantiti. Un unico interlocutore per tutta la sicurezza IT.
Formazione e Awareness
Programmi di formazione cybersecurity per il personale e per il CDA, simulazioni di phishing, aggiornamenti normativi. Soddisfa i requisiti formativi della NIS2.
Documentazione e Policy
Redazione e aggiornamento di tutte le policy richieste: gestione rischio, incident response, business continuity, supply chain security. Documenti pronti per le ispezioni ACN.
Business Continuity e DR
Backup 3-2-1-1-0, disaster recovery testato, piano di business continuity. Garantisce la resilienza operativa richiesta dalla NIS2 e protegge il business da interruzioni.
Con un MSP come BullTech, una PMI può raggiungere la conformità NIS2 con un canone mensile prevedibile, senza investimenti hardware enormi, senza assumere personale specializzato e senza distogliere risorse dal core business. Scopri i nostri servizi SOC/MDR e i contratti di assistenza pensati per la compliance.
Domande Frequenti
La mia PMI ha 30 dipendenti e fattura 8 milioni: sono soggetta alla NIS2?
Dipende dal settore. Se operi in uno dei settori degli Allegati I o II del D.Lgs. 138/2024 (energia, trasporti, sanitario, manifatturiero critico, fornitori digitali, alimentare, chimico, ecc.), la soglia è: almeno 50 dipendenti OPPURE fatturato/bilancio annuo superiore a €10 milioni. Con 30 dipendenti e €8 milioni di fatturato, non raggiungi nessuna delle due soglie, quindi NON saresti direttamente soggetto. Attenzione però: potresti essere incluso indirettamente se sei fornitore critico di un soggetto NIS2, oppure se l'ACN ti identifica specificamente per il ruolo critico del tuo servizio.
Quanto costa adeguarsi alla NIS2 per una PMI?
I costi variano enormemente in base alla maturità cyber attuale dell'azienda. Per una PMI con 50-100 dipendenti e una postura di sicurezza di base (firewall, antivirus, backup), stimiamo: gap analysis e consulenza €3.000-8.000, implementazione tecnica (firewall next-gen, EDR, SIEM/SOC) €15.000-40.000 nel primo anno, formazione personale €2.000-5.000, servizio MSP continuativo per mantenimento €2.000-5.000/mese. Totale primo anno: €30.000-70.000. Dal secondo anno, solo il canone MSP continuativo. Queste cifre possono ridursi significativamente se l'azienda ha già investito in cybersecurity.
Quali sono le differenze tra obblighi per soggetti essenziali e importanti?
Le misure di sicurezza richieste sono sostanzialmente le stesse (art. 21 della Direttiva), ma ci sono differenze su: regime di vigilanza — i soggetti essenziali sono soggetti a vigilanza preventiva (ispezioni proattive), i soggetti importanti a vigilanza reattiva (ispezioni solo su segnalazione o incidente); sanzioni — massimali diversi (€10M/2% vs €7M/1,4%); proporzionalità — l'ACN tiene conto della dimensione dell'azienda nell'applicazione delle misure, quindi le PMI classificate come 'importanti' hanno un onere proporzionalmente inferiore rispetto alle grandi aziende.
La NIS2 si applica anche alle micro-imprese?
In generale, no. La NIS2 esclude le imprese con meno di 50 dipendenti E un fatturato/bilancio annuo inferiore a €10 milioni. Tuttavia, ci sono eccezioni importanti: i fornitori di servizi di registrazione di nomi di dominio, i fornitori di servizi DNS, i fornitori di servizi fiduciari (firma digitale), e i soggetti identificati individualmente dall'ACN per il ruolo critico del loro servizio. Inoltre, una micro-impresa che è fornitore critico di un soggetto essenziale potrebbe essere obbligata contrattualmente a rispettare standard NIS2 dalla supply chain clause.
Posso adeguarmi alla NIS2 senza assumere un CISO interno?
Sì, assolutamente. La NIS2 richiede di nominare un responsabile della sicurezza, ma non impone che sia un dipendente interno. Per le PMI, la soluzione più pragmatica ed economica è il servizio di vCISO (virtual CISO) offerto da MSP specializzati. Un vCISO esterno svolge le stesse funzioni di un CISO interno — definizione della strategia di sicurezza, gestione del rischio, supervisione dell'implementazione, reportistica al CDA — a una frazione del costo. BullTech offre il servizio vCISO come parte dei piani MSP Premium.
Come gestisco i requisiti NIS2 sulla supply chain?
La NIS2 richiede di valutare e gestire il rischio cyber della catena di fornitura. Per le PMI, questo si traduce in azioni concrete: censimento dei fornitori critici IT (MSP, cloud provider, software house, fornitori di servizi digitali), valutazione della loro postura di sicurezza (tramite questionari o certificazioni), inserimento di clausole di sicurezza nei contratti (obblighi di notifica incidenti, standard minimi di sicurezza, diritto di audit), monitoraggio continuo. Un MSP può supportarti nella gestione della supply chain security, fornendo anche le proprie certificazioni come garanzia.
La NIS2 rappresenta una sfida per le PMI italiane, ma anche un'opportunità: investire in cybersecurity oggi protegge il business da minacce sempre più sofisticate, rafforza la fiducia dei clienti e crea un vantaggio competitivo reale. L'importante è non affrontare il percorso da soli e non rimandare.
Vuoi scoprire se la tua PMI è soggetta alla NIS2 e quanto costerebbe adeguarsi? Contattaci per un check di compliance gratuito: in 30 minuti ti diciamo se rientri nei criteri, qual è il tuo livello di rischio e quale percorso di adeguamento è più adatto alla tua realtà. Per un quadro completo delle scadenze, leggi il nostro calendario NIS2 2026.