Caricamento...
Caricamento...
La Direttiva NIS2 (Network and Information Security 2) e in vigore da ottobre 2024 e coinvolge oltre 50.000 aziende italiane. Le sanzioni arrivano fino a €10 milioni o il 2% del fatturato globale. In questa guida ti spieghiamo chi deve adeguarsi, cosa fare e come BullTech ti porta alla compliance — assessment da €2.000, piano completo da €5.000.
aziende italiane coinvolte dalla NIS2
entrata in vigore della Direttiva NIS2
sanzione massima per mancata conformita
scadenza registrazione presso ACN
TL;DR — Adeguamento NIS2 in 60 secondi
La Direttiva NIS2 è obbligatoria da ottobre 2024 e coinvolge oltre 50.000 aziende italiane, con sanzioni fino a 10 milioni di euro. BullTech, MSP con sedi a Vimercate e Lecco, aiuta le PMI di Milano e tutta la Lombardia con assessment NIS2 da 2.000 euro, piano di adeguamento completo da 5.000 euro e monitoraggio continuo da 500 euro/mese. In 15 anni abbiamo affiancato oltre 200 aziende nella compliance IT, dalla gap analysis alla documentazione per l'ACN. Il primo check è gratuito: in 15 minuti scopri se la tua azienda rientra nell'obbligo.
La Direttiva NIS2 (ufficialmente Direttiva UE 2022/2555) e la normativa europea sulla cybersecurity piu importante degli ultimi anni. Sostituisce la vecchia NIS del 2016, ampliando drasticamente il perimetro: da poche centinaia di operatori a oltre 50.000 organizzazioni solo in Italia, secondo le stime dell'ACN (Agenzia per la Cybersicurezza Nazionale).
In Italia la NIS2 e stata recepita con il D.Lgs. 138/2024, entrato in vigore il 16 ottobre 2024. La scadenza per la registrazione sulla piattaforma dell'ACN e fissata a settembre 2026 — ma attenzione: mettere in piedi le misure tecniche e organizzative richiede dai 6 ai 12 mesi. Chi inizia oggi e gia al limite.
Noi di BullTech siamo a Vimercate (MB) — a 25 km da Milano — e facciamo questo di mestiere: aiutiamo le aziende di Milano, dell'hinterland e di tutta Italia — dalla PMI alla media impresa — a passare dalla situazione attuale alla piena conformita NIS2. Gap analysis, risk assessment, documentazione, registrazione ACN, monitoraggio continuo. Tutto il percorso, senza perderti in tecnicismi inutili.
Usiamo gli strumenti dei nostri partner — firewall WatchGuard, antivirus Bitdefender GravityZone, Microsoft 365 — e ci mettiamo la consulenza organizzativa e documentale. Se hai macchinari connessi, PLC o sistemi SCADA, la NIS2 obbliga a includerli: scopri il nostro servizio di sicurezza IoT e OT industriale.
La NIS2 divide le organizzazioni in due categorie — essenziali e importanti — con obblighi e sanzioni differenti. Ecco i settori coinvolti.
Sanzioni fino a €10M o 2% fatturato
elettricita, petrolio, gas, idrogeno, teleriscaldamento
aereo, ferroviario, marittimo, stradale
ospedali, laboratori, produttori farmaceutici, dispositivi medici
potabile e reflue — gestori infrastrutture idriche
DNS, TLD, data center, CDN, cloud provider, IXP
PA centrali, enti critici, sanita pubblica
operatori di infrastrutture spaziali a terra
Sanzioni fino a €7M o 1,4% fatturato
dispositivi medici, computer, elettronica, automotive, macchinari
corrieri e servizi postali
raccolta, trattamento, smaltimento
produzione e distribuzione sostanze chimiche
produzione, trasformazione, distribuzione
marketplace, motori di ricerca, social network
organizzazioni di ricerca (non universita)
Grandi Imprese
250+ dipendenti o fatturato >€50M — sempre soggette se nel perimetro NIS2
Medie Imprese
50+ dipendenti o fatturato >€10M — soggette se operano nei settori elencati
PMI nella Supply Chain
Anche sotto le soglie, se sono fornitori critici di soggetti essenziali — coinvolte indirettamente
La NIS2 non e un aggiornamento minore: e una riscrittura completa che cambia le regole del gioco per la cybersecurity in Europa.
| Aspetto | NIS (2016) | NIS2 (2024) |
|---|---|---|
| Soggetti coinvolti | ~500 operatori in Italia | 50.000+ organizzazioni |
| Settori | 7 settori essenziali | 18 settori (essenziali + importanti) |
| Sanzioni massime | Non specificate | €10M o 2% fatturato |
| Responsabilita dirigenti | Nessuna | Personale, con possibile sospensione |
| Notifica incidenti | Entro 72 ore | Pre-notifica 24h + notifica 72h + report 30gg |
| Supply chain | Non richiesta | Valutazione obbligatoria dei fornitori |
| Vigilanza | Post-incidente | Proattiva (ispezioni, audit, richieste) |
| Autorita in Italia | Varie (settoriali) | ACN (Agenzia per la Cybersicurezza Nazionale) |
Facciamo un check gratuito in 15 minuti: ti diciamo se sei soggetto, cosa ti manca e quanto tempo ti serve.
L'articolo 21 della NIS2 elenca 10 misure minime che ogni soggetto deve implementare. Non sono suggerimenti — sono obblighi con sanzioni.
Devi avere un processo formale per identificare, valutare e gestire i rischi cyber. Non basta il buon senso: serve una metodologia documentata, un registro dei rischi aggiornato e un piano di trattamento con contromisure proporzionate.
Serve un piano scritto per quando le cose vanno male. Chi fa cosa, come si contiene l'attacco, come si comunica. E soprattutto: obbligo di notifica all'ACN entro 24 ore dalla scoperta dell'incidente significativo.
Backup testati, piani di disaster recovery, procedure di ripristino con tempi definiti (RPO e RTO). La NIS2 vuole che tu possa tornare operativo in tempi ragionevoli dopo un attacco ransomware o un guasto critico.
I tuoi fornitori sono il tuo anello debole. La NIS2 ti obbliga a valutare i rischi cyber dei tuoi fornitori critici, inserire clausole di sicurezza nei contratti e monitorarli nel tempo. Se un tuo fornitore viene bucato, il problema diventa tuo.
Se sviluppi o acquisti software, devi garantire che il ciclo di vita includa test di sicurezza, gestione delle vulnerabilita e aggiornamenti tempestivi. Vale anche per i sistemi legacy che magari giri da 10 anni.
Non basta mettere in piedi le misure: devi dimostrare che funzionano. Audit interni, penetration test, vulnerability assessment periodici. L'ACN puo chiederti evidenza in qualsiasi momento.
Il personale va formato. Non un corso una tantum da dimenticare il giorno dopo, ma un programma continuo: phishing awareness, gestione password, procedure di sicurezza. Il 90% degli incidenti parte da un errore umano.
Policy chiare su quando e come usare la crittografia: dati a riposo, dati in transito, email, backup. La NIS2 non specifica algoritmi, ma vuole che tu abbia una strategia documentata e coerente.
Chi accede a cosa, con quali privilegi, come si autenticano. Autenticazione multi-fattore obbligatoria per gli accessi critici. Gestione degli account privilegiati. Zero trust dove possibile.
Un inventario completo e aggiornato di tutti gli asset IT: server, endpoint, dispositivi di rete, software, servizi cloud. Se non sai cosa hai, non puoi proteggerlo. Sembra banale ma il 70% delle aziende non ce l'ha.
Le sanzioni della NIS2 sono tra le piu severe mai previste per la cybersecurity in Europa. L'ACN ha poteri di vigilanza proattiva e puo intervenire anche senza attendere un incidente.
fino a €10M
o il 2% del fatturato mondiale annuo — il maggiore dei due. Energia, trasporti, sanita, acqua, infrastrutture digitali, banche, PA.
fino a €7M
o l'1,4% del fatturato mondiale annuo. Manifattura, postale, rifiuti, chimico, alimentare, servizi digitali, ricerca.
Responsabilita Personale
La NIS2 introduce la responsabilita diretta dei vertici aziendali. L'ACN puo disporre sospensione temporanea e divieto di esercizio.
Sei passaggi concreti per portarti dalla situazione attuale alla piena conformita NIS2, senza stress e senza sorprese. Assessment da €2.000.
Ci sediamo con te, guardiamo dove sei oggi rispetto a quello che chiede la NIS2, e ti diciamo chiaramente cosa manca. Controlliamo le policy di sicurezza, le procedure operative, i sistemi tecnici — e alla fine hai un quadro preciso di cosa va fatto, senza giri di parole.
Guardiamo i rischi concreti che corre la tua azienda: quali minacce ti riguardano davvero, dove sei esposto e cosa succederebbe se qualcosa andasse storto. Poi definiamo le contromisure giuste — proporzionate al tuo rischio reale, non un elenco generico da manuale.
Niente documenti che finiscono nel cassetto: ti prepariamo un piano operativo con cosa fare, chi lo fa, quanto costa e quando deve essere pronto. Ogni intervento ha una priorita chiara, cosi parti dalle cose urgenti e arrivi in regola per settembre 2026 senza stress dell'ultimo minuto.
Ti scriviamo tutta la documentazione che la NIS2 richiede: policy di sicurezza, procedure per gestire gli incidenti, piani di continuita, registro degli asset e i documenti per registrarti presso l'ACN (l'Agenzia per la Cybersicurezza Nazionale). Roba concreta, scritta sulla tua realta — non template copia-incolla.
La NIS2 ti chiede di tenere d'occhio anche i tuoi fornitori — perche se loro hanno un buco di sicurezza, il problema diventa tuo. Controlliamo i rischi della tua catena di fornitura, inseriamo le clausole di sicurezza giuste nei contratti e attiviamo un monitoraggio continuo per evitare brutte sorprese.
Non basta mettersi in regola una volta: la NIS2 vuole che tu resti conforme nel tempo. Ti facciamo controlli periodici, aggiorniamo le policy quando serve, organizziamo audit interni e ti aiutiamo con le notifiche di incidenti all'ACN. Cosi non devi piu pensarci tu.
Prezzi chiari, niente sorprese. Ogni percorso e personalizzato sulla tua realta — questi sono i punti di partenza per una PMI con 20-100 dipendenti.
da €2.000
una tantum
da €5.000
una tantum
da €500
al mese
Parti con l'assessment: capiamo dove sei e ti diamo un piano con costi e tempi reali.
L'adeguamento NIS2 si integra con questi servizi di cybersecurity che gia offriamo. Molti dei requisiti NIS2 li copri con strumenti che probabilmente ti servono comunque.
Le 8 domande che ci fanno piu spesso sulla Direttiva NIS2: chi deve adeguarsi, sanzioni, costi, tempi e obblighi.
Oltre 50.000 aziende italiane devono adeguarsi. Sanzioni fino a €10 milioni. Scadenza registrazione ACN: settembre 2026. Il tempo per iniziare e adesso.
Assessment NIS2 da €2.000 — Piano completo da €5.000 — Monitoraggio da €500/mese