Obblighi NIS2: dal 31 ottobre riguardano anche le PMI

Obblighi NIS2 dal 31 ottobre 2026: scadenza e misure di sicurezza per PMI

Gli obblighi NIS2 entrano nel vivo: il 31 ottobre 2026 è il termine entro cui i soggetti nel perimetro della direttiva devono aver implementato le misure di sicurezza di base definite dall’Agenzia per la Cybersicurezza Nazionale (ACN). Da inizio anno è già operativo l’obbligo di notifica degli incidenti, con una pre-notifica al CSIRT Italia entro 24 ore. Non è una sigla astratta da rimandare: è una scadenza datata.

Molte piccole e medie imprese pensano che tutto questo non le riguardi. È un equivoco che può costare caro — soprattutto se sei fornitore di un’azienda più grande. Vediamo perché, e cosa fare concretamente da qui a ottobre.


Cos’è NIS2, in parole semplici

NIS2 è una direttiva europea che alza l’asticella della sicurezza informatica per i settori critici e per chi li serve. Energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, ma anche manifatturiero, alimentare, gestione rifiuti e servizi ICT: l’elenco dei settori coinvolti è molto più ampio di quanto si immagini.

La direttiva distingue tra soggetti “essenziali” e “importanti”, con obblighi proporzionati ma simili nella sostanza. E soprattutto non riguarda solo le grandi aziende: una PMI può rientrarvi per dimensione e settore, oppure — ed è il punto che molti ignorano — di riflesso, come anello di una filiera.


Il punto che molti ignorano: l’effetto filiera

Una PMI può finire nel perimetro NIS2 come fornitore di un soggetto essenziale o importante. La direttiva chiede infatti alle organizzazioni obbligate di mettere in sicurezza anche la propria catena di approvvigionamento. Tradotto: sempre più spesso sono i clienti grandi a trasferire i requisiti di sicurezza ai fornitori, per contratto.

“Non sei nell’elenco, ma il tuo cliente sì — e te lo gira.” Chi fornisce servizi IT, logistica, manutenzione, consulenza o qualsiasi servizio critico a un’azienda nel perimetro può vedersi richiedere garanzie di sicurezza come condizione per continuare a lavorare insieme. Ignorarlo significa rischiare di perdere commesse, non solo di prendere una sanzione.


Obblighi NIS2: cosa chiedono concretamente

Le misure di base si traducono in azioni pratiche, non in burocrazia fine a sé stessa:

  • Gestione del rischio — sapere quali dati e sistemi sono critici e quali minacce li riguardano.
  • Backup e continuità operativa — copie di sicurezza testate e un piano per ripartire dopo un incidente.
  • Controllo degli accessi — chi entra dove, con autenticazione a più fattori e privilegi minimi.
  • Gestione degli incidenti — saper rilevare un attacco e attivare la procedura di notifica nei tempi previsti.
  • Formazione del personale — perché il punto d’ingresso, quasi sempre, è una persona.

Sono gli stessi pilastri che raccontiamo da tempo parlando di sicurezza informatica per le PMI: NIS2 non inventa nulla di esotico, rende obbligatorio ciò che era già buon senso.


Quanto pesa non adeguarsi

Il quadro sanzionatorio è severo. Per i soggetti essenziali sono previste sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale totale (si applica l’importo maggiore); per i soggetti importanti fino a 7 milioni di euro o all’1,4% del fatturato. A questo si aggiunge un rischio spesso più immediato e concreto per una PMI: perdere forniture verso clienti che esigono conformità.

Da novembre 2026, finita la fase di tolleranza, l’ACN avvia ufficialmente le attività ispettive e sanzionatorie. La finestra per arrivare in ordine, insomma, è adesso.


I primi 4 passi per arrivare pronti al 31 ottobre

Non serve stravolgere l’azienda. Servono quattro mosse, nell’ordine giusto:

  1. Capire se rientri nel perimetro — direttamente (per settore e dimensione) o indirettamente, come fornitore di un soggetto NIS2.
  2. Fare un audit dello stato attuale — fotografare cosa c’è già e cosa manca rispetto alle misure di base.
  3. Colmare i gap — partendo dai fondamentali: backup testati, controllo accessi con MFA, gestione degli incidenti.
  4. Formare il personale e impostare la procedura di notifica — così, se accade qualcosa, si sa cosa fare e in quali tempi.

È lo stesso tipo di lettura che proponevamo commentando i numeri del Rapporto Clusit 2026: la sicurezza non è un prodotto da comprare, ma un insieme di azioni messe in fila.


Come interveniamo

Affianchiamo le PMI lungo tutto il percorso: audit di posizionamento rispetto a NIS2 per capire se e come la direttiva ti riguarda, adeguamento tecnico (backup e snapshot, controllo accessi, EDR), documentazione e procedure di notifica, formazione del personale. Un percorso graduale, calibrato sulla dimensione reale dell’azienda.

C’è anche una buona notizia sul fronte costi: parte di questi interventi è finanziabile con il Voucher Cloud & Cybersecurity del MIMIT (fondo perduto fino al 50%), il cui sportello per le imprese è atteso nel secondo semestre 2026. Requisiti e tempistiche vanno verificati prima di dare per certa l’idoneità.

Vuoi sapere se la tua impresa rientra negli obblighi NIS2 e cosa fare entro ottobre? Richiedi un’analisi gratuita dello stato di sicurezza: partiamo dalla tua posizione reale, senza allarmismi.


Fonti: