La direttiva NIS2 (Network and Information Security 2) è entrata in vigore in Italia con il D.Lgs. 138/2024 il 16 ottobre 2024. Non è l'ennesima normativa europea che rimane sulla carta: le sanzioni sono reali, le scadenze sono ravvicinate, e molte PMI del Veneto e del Friuli sono già coinvolte senza saperlo.
Chi è obbligato dalla NIS2
La direttiva si applica direttamente a organizzazioni in 18 settori critici (energia, trasporti, sanità, infrastrutture digitali, ecc.) con più di 50 dipendenti o 10 milioni di fatturato. Ma c'è una trappola che colpisce le PMI più piccole: la supply chain.
Se la tua azienda fornisce servizi IT, logistica, manutenzione o qualsiasi altro servizio a un'organizzazione soggetta NIS2, il tuo profilo di sicurezza diventa parte della loro compliance. In pratica: se lavori come fornitore di un'azienda con 100+ dipendenti nel settore manifatturiero, energetico o sanitario, dovrai dimostrare requisiti minimi di sicurezza informatica.
Nel Nord-Est — dove l'economia è fatta di filiere produttive e subappalti — questo riguarda una quota enorme di PMI.
Le scadenze concrete del 2026
- Gennaio 2026: obbligo di notifica incidenti significativi. Entro 24 ore il pre-allarme, entro 72 ore la notifica completa al CSIRT Italia.
- Aprile 2026: registrazione obbligatoria per tutti i soggetti essenziali e importanti.
- Ottobre 2026: adeguamento completo alle misure tecniche e organizzative previste dall'articolo 21.
Cosa richiede concretamente l'articolo 21
Le misure minime previste dalla NIS2 includono:
Autenticazione multi-fattore (MFA) su tutti gli accessi privilegiati — VPN, pannelli di amministrazione, email di dominio. Non è facoltativo.
Backup regolari con test di ripristino documentati. Non basta avere il backup: devi dimostrare di averlo testato. Un backup non verificato è inutile dal punto di vista normativo.
Patch management strutturato. Sistemi non aggiornati entro 30 giorni dalla disponibilità delle patch critiche non sono conformi.
Segmentazione della rete. I sistemi critici (server, NAS, PLC industriali) devono essere isolati dalla rete utenti.
Gestione degli incidenti. Devi avere una procedura scritta per rilevare, gestire e notificare un incidente informatico. Non serve un SOC dedicato, ma una procedura documentata sì.
Formazione del personale. I dipendenti devono ricevere formazione periodica sulla cybersecurity. Un phishing non riconosciuto che porta a un ransomware non è "sfortuna": diventa responsabilità dell'azienda.
Le sanzioni
Le sanzioni NIS2 sono molto più pesanti della GDPR:
- Soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato globale annuo (il maggiore tra i due)
- Soggetti importanti: fino a 7 milioni di euro o l'1,4% del fatturato globale annuo
Ma il rischio più concreto per una PMI non è la multa: è la responsabilità personale degli amministratori. La NIS2 prevede che i vertici aziendali possano essere ritenuti direttamente responsabili in caso di violazione grave.
Come si adegua una PMI del Nord-Est
La buona notizia è che partire non richiede un budget enorme. Un percorso pratico si struttura in tre fasi:
Fase 1 — Analisi del rischio (4-8 settimane): mappatura degli asset critici, vulnerability assessment, identificazione dei gap rispetto ai requisiti NIS2.
Fase 2 — Misure tecniche (2-3 mesi): implementazione MFA, hardening dei sistemi, configurazione backup conforme alla regola 3-2-1, segmentazione rete.
Fase 3 — Documentazione e formazione (1-2 mesi): redazione delle policy di sicurezza, piano di risposta agli incidenti, formazione del personale.
Il costo di adeguarsi è incomparabilmente inferiore al costo di un incidente — che per una PMI italiana si stima tra 50.000 e 500.000 euro, senza contare i 23 giorni medi di downtime.
Il ruolo del tuo MSP
Se hai già un Managed Service Provider, è il primo interlocutore per il percorso NIS2. Un MSP strutturato come Kubee può affiancarti dalla fase di analisi fino alla documentazione finale, perché gestisce già infrastruttura, backup, sicurezza e formazione come parte del contratto di manutenzione.
Se ancora gestisci l'IT internamente o con un tecnico singolo, ottobre 2026 è la scadenza che non puoi ignorare.
Kubee è un MSP certificato ISO/IEC 27001:2022 con sede a San Donà di Piave. Supportiamo PMI di Veneto e Friuli nel percorso di adeguamento NIS2. Contattaci per una consulenza gratuita.