NIS2 e PMI: Cosa Fare nel 2026 (Dopo 18 Mesi dall'Entrata in Vigore)

La Direttiva NIS2 è entrata in vigore in Italia il 16 ottobre 2024 con il D.Lgs. 138/2024. A 18 mesi di distanza, la situazione è meno teorica e più concreta: alcune aziende sono state sanzionate, ACN ha pubblicato linee guida operative e molte PMI stanno scoprendo di essere soggette alla normativa senza saperlo.

Questo articolo non è una spiegazione generica della direttiva. È un aggiornamento pratico su cosa è successo dopo 18 mesi, le scadenze 2026 ancora aperte e una checklist operativa per capire a che punto sei.

A chi si applica davvero la NIS2 (e perché pensavi di non essere interessato)

Il primo errore comune: pensare "sono una PMI piccola, la NIS2 non mi riguarda". La direttiva si applica ai soggetti essenziali e soggetti importanti individuati in 18 settori critici. La soglia dimensionale è media impresa (oltre 50 dipendenti o 10 milioni di fatturato), ma con eccezioni significative.

Sei soggetto alla NIS2 anche se sei una PMI sotto soglia, se operi in questi ambiti:

• Fornitori di servizi digitali: piattaforme cloud, marketplace online, motori di ricerca, data center
• Fornitori ICT critici per pubbliche amministrazioni o aziende essenziali (come fornitori di software gestionale per sanità, energia, trasporti)
• Produttori di dispositivi IoT, apparecchiature mediche, componenti elettronici critici
• Servizi postali e corrieri, gestione rifiuti, produzione alimentare

Molte PMI italiane sono soggette indirettamente perché fornitrici di soggetti essenziali: se produci software per un ospedale, gestisci la rete di un'azienda energetica o fornisci hosting a una PA, i requisiti NIS2 si estendono a te attraverso i contratti della supply chain. Il nostro consiglio: verifica con il tuo commercialista o un consulente privacy se rientri nell'ambito di applicazione.

Le scadenze 2026 ancora aperte

Il panorama normativo si è chiarito nell'ultimo anno. ACN (Agenzia per la Cybersicurezza Nazionale) ha emesso le determinazioni attuative con un calendario graduale:

• Registrazione al portale ACN: termine passato (17 gennaio 2025 per soggetti già identificati)
• Notifica degli incidenti significativi: obbligo attivo dal gennaio 2026, entro 24 ore dal rilevamento
• Adozione delle misure di sicurezza base: scadenza 30 ottobre 2026
• Adeguamento completo (governance, incident response, supply chain, crittografia): entro aprile 2027

La scadenza del 30 ottobre 2026 è quella più critica per le PMI. Entro quella data devi avere implementato almeno le misure di sicurezza minime: autenticazione multifattore, backup testati, gestione vulnerabilità, formazione del personale, policy di sicurezza scritte. Non sono suggerimenti: sono requisiti verificabili dagli ispettori ACN.

Cosa è successo davvero: sanzioni, casi e lezioni apprese

Nei primi 18 mesi di NIS2, le autorità europee hanno applicato sanzioni significative. In Italia i primi procedimenti ACN sono partiti nel quarto trimestre 2025, concentrandosi su omessa notifica di incidenti e mancata registrazione al portale. Le multe variano da 10.000 euro per violazioni minori a cifre a sei zeri per soggetti essenziali con violazioni gravi.

Il caso più discusso è stato quello di una media azienda manifatturiera sanzionata per 180.000 euro dopo un attacco ransomware: non tanto per l'attacco in sé, ma per aver impiegato 72 ore a notificare l'incidente, mancanza di backup aggiornati e assenza di un piano di continuità operativa. La lezione: la NIS2 non punisce chi subisce attacchi, punisce chi non è preparato a gestirli.

L'altro dato emerso: molte PMI hanno scoperto di essere soggette alla normativa solo quando i loro clienti enterprise hanno iniziato a richiedere dichiarazioni di conformità NIS2 nei contratti di fornitura. Non essere in regola oggi significa perdere contratti B2B con aziende più grandi che trasferiscono gli obblighi lungo la supply chain.

Checklist operativa: dove iniziare subito

Se non hai ancora iniziato, questa è la sequenza pragmatica che consiglio:

• Verifica applicabilità: analizza se la tua azienda rientra nei soggetti NIS2 direttamente o indirettamente tramite supply chain
• Nomina il referente cybersecurity: una persona interna responsabile degli adempimenti, con budget e autorità decisionale
• Audit infrastruttura IT: mappa server, applicazioni, dati sensibili, fornitori esterni. Non puoi proteggere ciò che non conosci
• Implementa le misure base: MFA su tutti gli accessi, backup 3-2-1 testati, endpoint protection aggiornato, segmentazione di rete
• Formalizza le policy: policy password, policy accessi, policy gestione incidenti, piano di continuità. Scritte e firmate, non a voce
• Formazione del personale: almeno annuale, con test di phishing simulato
• Incident response plan: procedura scritta per le 24 ore dopo un incidente, inclusa notifica ad ACN

Il tempo stringe. Ottobre 2026 è la prossima scadenza vincolante e, contrariamente ad altre normative europee, la NIS2 prevede controlli proattivi da parte di ACN, non solo in caso di incidente. Prepararsi ora costa meno che rimediare dopo una sanzione o un attacco.