NIS2 e Normativa Cybersecurity EU: Guida Pillar Definitiva per l’Adeguamento delle Aziende Italiane

Il tuo commercialista ti ha appena girato una mail del notaio: l’assicurazione chiede la certificazione NIS2. Il fornitore cloud ha mandato un avviso: o adegui i contratti entro 60 giorni o ti sospendono. La banca vuole vedere il registro dei fornitori. Sei in panico? Bene. Perché significa che stai prendendo la cybersecurity sul serio — e che il 2026 è l’anno in cui molte imprese italiane scopriranno di non essere pronte.

Noi, di Meteora Web, lavoriamo con aziende del Sud Italia e non solo. Da anni seguiamo clienti su compliance, sicurezza, sviluppo. Veniamo anche dalla contabilità: bilanci, partita doppia, IVA. Per questo quando parliamo di normative come NIS2, Cyber Resilience Act o DORA, ragioniamo in termini di costi, rischi e scadenze. Non di teoria. Questa è la guida pillar definitiva su NIS2 e la nuova legislazione europea per la cybersecurity. Copriamo tutto: chi è obbligato, cosa fare, come documentarlo, quali sanzioni evitare. E lo facciamo con il nostro stile: dritti al punto, nessun giro di parole.

1. NIS2 — Chi è Soggetto in Italia e Cosa Deve Fare

La direttiva NIS2 (Network and Information Security 2) è in vigore dal 2024 e in Italia è stata recepita con il D.Lgs. 48/2025 (o successive modifiche). Attenzione: le scadenze reali per l’adeguamento sono scattate a fine 2025, ma molte aziende stanno ancora ricevendo richieste di conformità dai propri partner nel 2026.

Chi è soggetto? La direttiva copre due macro-categorie: settori ad alta criticità (energia, trasporti, sanità, acqua, banche, infrastrutture digitali) e altri settori critici (chimica, alimentare, manifatturiero, PA, rifiuti, poste). Per ogni settore c’è una soglia dimensionale: di regola, imprese con più di 50 dipendenti e/o fatturato annuo superiore a 10 milioni di euro. Ma attenzione: molti fornitori di servizi digitali (hosting, cloud, motori di ricerca) sono obbligati anche sotto soglia.

E le PMI? La NIS2 prevede un approccio proporzionato: le PMI non in settori critici possono avere obblighi più leggeri. Ma attenzione: se sei fornitore di un’azienda soggetta, la tua compliance diventa requisito contrattuale. Lo vediamo sempre più spesso: contratti che richiedono certificazioni ISO 27001 o almeno un’autovalutazione NIS2.

Cosa deve fare un’azienda soggetta?

• Registrarsi all’ACN (Agenzia per la Cybersicurezza Nazionale) con i dati identificativi e il perimetro di conformità.
• Adottare misure tecniche e organizzative per la sicurezza (vedi sezione 2).
• Notificare incidenti significativi entro 24 ore (pre-allerta) e report completo entro 72 ore.
• Aggiornare il registro dei fornitori e valutare la supply chain.
• Effettuare audit interni periodici e formazione del personale.

Esempio concreto: Un nostro cliente, un’azienda manifatturiera siciliana con 80 dipendenti, ha ricevuto una richiesta da un grosso gruppo alimentare per cui è fornitore: “Certifica la tua conformità NIS2 entro 6 mesi, altrimenti perdiamo il contratto.” Abbiamo strutturato un percorso: autovalutazione, redazione del registro dei fornitori, attuazione delle misure base (MFA, backup, log, formazione) e ottenimento attestazione. Risultato: contratto rinnovato, nessuna sanzione.

2. Misure Tecniche Obbligatorie — Checklist per Aziende

La NIS2 non prescrive tecnologie specifiche, ma impone misure basate sul rischio. Ecco la checklist minima che adottiamo noi di Meteora Web per i nostri clienti:

• Autenticazione forte: MFA ovunque, password policy, gestione identità (IAM).
• Patching e aggiornamenti: Processo documentato, tempistiche definite (30 giorni per vulnerabilità critiche, 7 per zero-day).
• Backup e disaster recovery: Backup off-site, test di ripristino trimestrali, crittografia dei backup.
• Logging e monitoraggio: Log di accesso, eventi di sicurezza, retention minima 6 mesi (o 12 per settori critici).
• Controllo accessi: Principio del minimo privilegio, revisione trimestrale, gestione degli accessi di terze parti.
• Crittografia: Dati in transito (TLS 1.3) e a riposo (AES-256).
• Sicurezza della supply chain: Verifica dei fornitori, clausole contrattuali, obbligo di notifica incidenti.
• Formazione: Programma annuale per tutti i dipendenti, con test di phishing simulato.

Noi suggeriamo di usare framework come CIS Controls o NIST CSF come riferimento, e di documentare ogni scelta in un “Registro delle misure di sicurezza”.

3. Cyber Resilience Act — Obblighi per Produttori Software e Hardware

Il Cyber Resilience Act (CRA) è un regolamento UE che impone requisiti di sicurezza per prodotti con componenti digitali (software, hardware, IoT). In vigore dal 2025, le prime scadenze sono arrivate nel 2026 per i produttori.

Chi è obbligato? Produttori, importatori e distributori di prodotti digitali messi in commercio nell’UE. Sono esclusi i software open source sviluppati da comunità non professionali (ma attenzione: se contribuisci a un progetto open source in modo professionale, potresti essere considerato produttore).

Cosa richiede il CRA?

• Progettare prodotti con principi di “security by design”.
• Fornire aggiornamenti di sicurezza per il ciclo di vita dichiarato (minimo 5 anni).
• Redigere una dichiarazione di conformità CE e apporre marcatura CE.
• Notificare vulnerabilità sfruttate attivamente e incidenti entro 24 ore.
• Mantenere una Software Bill of Materials (SBOM) per ogni prodotto.

Se sviluppi plugin WordPress, tema, componente Laravel o qualsiasi software a pagamento che viene venduto a clienti UE, sei coinvolto. Le sanzioni possono arrivare fino al 2,5% del fatturato annuo mondiale.

Esempio: Un’azienda che produce un dispositivo IoT per il monitoraggio di magazzini (es. sensori di temperatura) deve garantire che il firmware sia aggiornabile, che le credenziali siano sicure, e che ci sia un canale di segnalazione vulnerabilità. Noi abbiamo aiutato un cliente a rivedere il processo di sviluppo per rispettare il CRA, implementando SBOM automatici con strumenti come CycloneDX.

4. EU AI Act e Cybersecurity — Intersezione tra le Normative

L’AI Act (entrato in vigore nel 2025, applicabilità scaglionata fino al 2027) non è solo una normativa sull’intelligenza artificiale. Si incrocia con la cybersecurity in almeno tre punti:

• Modelli ad alto rischio: Devono avere sistemi di cybersecurity robusti, documentazione tecnica, log degli eventi e conformità al CRA se integrati in un prodotto.
• Trasparenza: Gli utenti devono essere informati se interagiscono con un sistema AI. Questo richiede meccanismi di logging e notifica.
• Data governance: I dati usati per l’addestramento devono essere protetti, con controlli di accesso e crittografia.

Se la tua azienda sviluppa un chatbot, un sistema di raccomandazione o un tool di automazione, devi valutare se rientri nell’AI Act. In quel caso, le misure di cybersecurity NIS2 e CRA si sommano. Noi consigliamo un unico framework integrato: valutazione dei rischi AI-specifici + misure di sicurezza generali.

5. DORA — Digital Operational Resilience Act per il Settore Finanziario

DORA è un regolamento UE che si applica a banche, assicurazioni, società di investimento e loro fornitori ICT (terze parti critiche). È in vigore dal 2025 e le prime verifiche sono partite nel 2026.

Obblighi principali:

• Gestione del rischio ICT: framework, test periodici (threat-led penetration testing ogni 3 anni per entità significative).
• Notifica di incidenti ICT gravi: report iniziale entro 4 ore, report finale entro 72 ore.
• Registro dei fornitori ICT: classificazione per criticità, monitoraggio continuo.
• Test di resilienza: esercizi di simulazione, audit interni.

Se sei una PMI fornitrice di un istituto finanziario (es. sviluppi un gestionale, un’app di mobile banking, anche solo il sito web), DORA ti impatta. Il tuo cliente finanziario ti chiederà di adeguarti a standard contrattuali, audit e SLA di sicurezza. Noi abbiamo già gestito queste richieste per clienti che forniscono software a banche: abbiamo strutturato la documentazione, implementato logging avanzato e test di penetrazione annuali.

6. Registro dei Fornitori NIS2 — Supply Chain Security

Uno degli aspetti più trascurati e più richiesti è il registro dei fornitori. NIS2 obbliga ogni soggetto a mappare e valutare i propri fornitori critici (IT e non solo) e a inserire clausole contrattuali che garantiscano la sicurezza.

Cosa deve contenere il registro?

• Identificazione del fornitore (ragione sociale, P.IVA, contatto di sicurezza).
• Categoria del servizio (cloud, hosting, sviluppo software, manutenzione, ecc.).
• Livello di criticità (basso, medio, alto) basato su impatto potenziale.
• Stato di conformità del fornitore (certificazioni, autovalutazione, audit).
• Data ultima revisione e prossima scadenza.

Noi abbiamo costruito per un cliente un semplice foglio Excel strutturato (poi migrato a un database interno) che gli permette di tenere traccia di ogni fornitore e delle scadenze contrattuali. Consigliamo di utilizzare strumenti come NIST SP 800-161 (Supply Chain Risk Management Practices) come riferimento.

7. Incident Reporting NIS2 — Tempistiche e Processi

La notifica degli incidenti è il punto su cui le aziende rischiano di più. La NIS2 impone una tempistica serrata:

• Pre-allerta: entro 24 ore dalla scoperta dell’incidente, una notifica iniziale (anche solo con i dati disponibili).
• Notifica completa: entro 72 ore, report dettagliato con causa, impatto, misure adottate.
• Report intermedio: su richiesta dell’autorità (ACN per l’Italia).
• Report finale: entro un mese dalla risoluzione.

È fondamentale avere un processo documentato: chi si attiva, come si contatta il CSIRT di riferimento (per l’Italia, il CSIRT Italia gestito da ACN), quali template usare. Noi abbiamo redatto per i nostri clienti un playbook di incident response conforme NIS2, che include la checklist di notifica e le procedure di escalation.

Attenzione: la mancata notifica nei termini può portare a sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo mondiale.

8. NIS2 per PMI — Semplificazioni e Approccio Proporzionato

La NIS2 riconosce che le piccole imprese hanno meno risorse. Per questo prevede un “approccio proporzionato”: le PMI (sotto 50 dipendenti o fatturato sotto 10 milioni) possono applicare misure meno stringenti, purché documentate e basate sul rischio.

Cosa significa in pratica?

• Non serve un SOC (Security Operations Center) 24/7, ma un processo di monitoraggio base (es. log centralizzato con alert su eventi critici).
• Non serve la certificazione ISO 27001, ma un’autovalutazione con check-list pubblica (ACN fornisce un tool gratuito).
• La formazione può essere interna, con materiali gratuiti (es. corso di ENISA).

Noi invitiamo le PMI a non sottovalutare: anche se sei al di sotto delle soglie, se sei fornitore di aziende più grandi, la compliance diventa requisito di contratto. Meglio partire con un investimento modesto (ad esempio 5.000-10.000 euro per una prima analisi e implementazione base) che rischiare di perdere clienti.

9. ACN Italia — Agenzia Cybersicurezza Nazionale e Obblighi

Per le aziende italiane, l’autorità competente per NIS2 è l’Agenzia per la Cybersicurezza Nazionale (ACN). ACN gestisce:

• Il registro dei soggetti obbligati (iscrizione online).
• Le notifiche di incidenti (tramite portale dedicato o CSIRT Italia).
• Le attività ispettive e sanzionatorie.
• La pubblicazione di linee guida e buone pratiche.

Nel 2026, ACN ha intensificato i controlli, soprattutto nei settori energia e trasporti. Si prevedono verifiche a campione su campioni di aziende iscritte. Noi consigliamo di preparare un fascicolo di conformità con tutta la documentazione richiesta: analisi dei rischi, registro dei fornitori, evidenze delle misure adottate, verbali di formazione.

10. Certificazioni Cybersecurity — ISO 27001, ENISA e Conformità

La conformità NIS2 può essere dimostrata attraverso certificazioni riconosciute. La più comune è ISO 27001 (Sistema di Gestione della Sicurezza delle Informazioni). Altre: ISO 22301 (Business Continuity), CSA STAR per il cloud, Cyber Essentials Plus (UK, ma valido per supply chain).

L’ENISA (European Union Agency for Cybersecurity) sta sviluppando un sistema di certificazione europeo (EUCC, EUCS) che in futuro potrà sostituire le certificazioni nazionali. Nel frattempo, per le PMI, può essere sufficiente un’autovalutazione basata sullo Schema Nazionale per la Cybersicurezza (pubblicato da ACN).

Noi consigliamo di iniziare con un gap analysis rispetto ai requisiti NIS2, e poi decidere se puntare a una certificazione formale. Attenzione: i costi di una ISO 27001 (preparazione, auditor, manutenzione) partono da circa 15.000 euro per una PMI. Ma se il fatturato dipende da contratti con grandi gruppi, l’investimento si ripaga velocemente.

In Sintesi — Cosa Fare Adesso

1. Verifica se sei soggetto a NIS2 (usa il tool di autovalutazione ACN).
2. Registrati all’ACN entro 30 giorni dalla decisione di conformità (se obbligato).
3. Esegui un gap analysis delle misure tecniche e organizzative (vedi checklist sezione 2).
4. Documenta tutto: registro dei fornitori, incident response plan, analisi dei rischi.
5. Forma il personale almeno con un corso base di sensibilizzazione alla cybersecurity.
6. Se sei produttore di software/hardware, preparati al CRA: SBOM, security by design, canale di disclosure.
7. Se operi in ambito finanziario, verifica i requisiti DORA e aggiorna i contratti con i tuoi fornitori ICT.
8. Consulta professionisti: se non hai competenze interne, rivolgiti a un’agenzia come la nostra — abbiamo accompagnato decine di aziende nel percorso di adeguamento.

Noi, di Meteora Web, siamo a disposizione per una consulenza iniziale gratuita. Perché la cybersecurity non è un costo: è un investimento per non perdere clienti, contratti e reputazione.

Link utili:
- Direttiva NIS2 (UE) 2022/2555
- Agenzia per la Cybersicurezza Nazionale
- ISO 27001:2022
- ENISA

Articoli correlati:
- Nucleare cinese e rischi per l'Italia: l'energia non è solo un costo, è la spina dorsale del digitale