Gli obblighi NIS2 entrano nel vivo: il 31 ottobre 2026 è il termine entro cui i soggetti nel perimetro della direttiva devono aver implementato le misure di sicurezza di base definite dall’Agenzia per la Cybersicurezza Nazionale (ACN). Da inizio anno è già operativo l’obbligo di notifica degli incidenti, con una pre-notifica al CSIRT Italia entro 24 ore. Non è una sigla astratta da rimandare: è una scadenza datata.
Molte piccole e medie imprese pensano che tutto questo non le riguardi. È un equivoco che può costare caro — soprattutto se sei fornitore di un’azienda più grande. Vediamo perché, e cosa fare concretamente da qui a ottobre.
Cos’è NIS2, in parole semplici
NIS2 è una direttiva europea che alza l’asticella della sicurezza informatica per i settori critici e per chi li serve. Energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, ma anche manifatturiero, alimentare, gestione rifiuti e servizi ICT: l’elenco dei settori coinvolti è molto più ampio di quanto si immagini.
La direttiva distingue tra soggetti “essenziali” e “importanti”, con obblighi proporzionati ma simili nella sostanza. E soprattutto non riguarda solo le grandi aziende: una PMI può rientrarvi per dimensione e settore, oppure — ed è il punto che molti ignorano — di riflesso, come anello di una filiera.
Il punto che molti ignorano: l’effetto filiera
Una PMI può finire nel perimetro NIS2 come fornitore di un soggetto essenziale o importante. La direttiva chiede infatti alle organizzazioni obbligate di mettere in sicurezza anche la propria catena di approvvigionamento. Tradotto: sempre più spesso sono i clienti grandi a trasferire i requisiti di sicurezza ai fornitori, per contratto.
“Non sei nell’elenco, ma il tuo cliente sì — e te lo gira.” Chi fornisce servizi IT, logistica, manutenzione, consulenza o qualsiasi servizio critico a un’azienda nel perimetro può vedersi richiedere garanzie di sicurezza come condizione per continuare a lavorare insieme. Ignorarlo significa rischiare di perdere commesse, non solo di prendere una sanzione.
Obblighi NIS2: cosa chiedono concretamente
Le misure di base si traducono in azioni pratiche, non in burocrazia fine a sé stessa:
- Gestione del rischio — sapere quali dati e sistemi sono critici e quali minacce li riguardano.
- Backup e continuità operativa — copie di sicurezza testate e un piano per ripartire dopo un incidente.
- Controllo degli accessi — chi entra dove, con autenticazione a più fattori e privilegi minimi.
- Gestione degli incidenti — saper rilevare un attacco e attivare la procedura di notifica nei tempi previsti.
- Formazione del personale — perché il punto d’ingresso, quasi sempre, è una persona.
Sono gli stessi pilastri che raccontiamo da tempo parlando di sicurezza informatica per le PMI: NIS2 non inventa nulla di esotico, rende obbligatorio ciò che era già buon senso.
Quanto pesa non adeguarsi
Il quadro sanzionatorio è severo. Per i soggetti essenziali sono previste sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale totale (si applica l’importo maggiore); per i soggetti importanti fino a 7 milioni di euro o all’1,4% del fatturato. A questo si aggiunge un rischio spesso più immediato e concreto per una PMI: perdere forniture verso clienti che esigono conformità.
Da novembre 2026, finita la fase di tolleranza, l’ACN avvia ufficialmente le attività ispettive e sanzionatorie. La finestra per arrivare in ordine, insomma, è adesso.
I primi 4 passi per arrivare pronti al 31 ottobre
Non serve stravolgere l’azienda. Servono quattro mosse, nell’ordine giusto:
- Capire se rientri nel perimetro — direttamente (per settore e dimensione) o indirettamente, come fornitore di un soggetto NIS2.
- Fare un audit dello stato attuale — fotografare cosa c’è già e cosa manca rispetto alle misure di base.
- Colmare i gap — partendo dai fondamentali: backup testati, controllo accessi con MFA, gestione degli incidenti.
- Formare il personale e impostare la procedura di notifica — così, se accade qualcosa, si sa cosa fare e in quali tempi.
È lo stesso tipo di lettura che proponevamo commentando i numeri del Rapporto Clusit 2026: la sicurezza non è un prodotto da comprare, ma un insieme di azioni messe in fila.
Come interveniamo
Affianchiamo le PMI lungo tutto il percorso: audit di posizionamento rispetto a NIS2 per capire se e come la direttiva ti riguarda, adeguamento tecnico (backup e snapshot, controllo accessi, EDR), documentazione e procedure di notifica, formazione del personale. Un percorso graduale, calibrato sulla dimensione reale dell’azienda.
C’è anche una buona notizia sul fronte costi: parte di questi interventi è finanziabile con il Voucher Cloud & Cybersecurity del MIMIT (fondo perduto fino al 50%), il cui sportello per le imprese è atteso nel secondo semestre 2026. Requisiti e tempistiche vanno verificati prima di dare per certa l’idoneità.
Vuoi sapere se la tua impresa rientra negli obblighi NIS2 e cosa fare entro ottobre? Richiedi un’analisi gratuita dello stato di sicurezza: partiamo dalla tua posizione reale, senza allarmismi.
Fonti:
- Agenzia per la Cybersicurezza Nazionale (ACN) — NIS2, misure di sicurezza di base e scadenza 31 ottobre 2026 — https://www.acn.gov.it/
- ICT Security Magazine — NIS2: la mappa completa degli adempimenti da qui a ottobre 2026 — https://www.ictsecuritymagazine.com/notizie/nis2-adempimenti/
- PMI.it — NIS2 2026 e 2027: nuovi adempimenti e scadenze — https://www.pmi.it/impresa/normativa/492125/nis2-nuovi-adempimenti-scadenze.html

