f in x
NIS2 in Italia: chi è soggetto e cosa deve fare — Guida pratica 2026
> cd .. / HUB_EDITORIALE > Visualizza in Inglese
Sicurezza Informatica

NIS2 in Italia: chi è soggetto e cosa deve fare — Guida pratica 2026

[2026-06-01] Author: Ing. Calogero Bono

Hai ricevuto una mail dall’associazione di categoria che parla di NIS2 e non sai se ti riguarda? Oppure il tuo consulente ti ha detto che «dovresti adeguarti» ma senza dirti né a cosa né come. È il problema più frequente che vediamo quando parliamo con le PMI italiane: la direttiva NIS2 fa paura, ma nessuno spiega in soldoni chi deve davvero muoversi e cosa serve.

Noi di Meteora Web non siamo un ente di certificazione, ma lavoriamo da anni con aziende che devono mettere in sicurezza dati, siti e processi — dalle piccole imprese del Sud Italia a realtà con centinaia di clienti. Quando abbiamo iniziato a studiare NIS2 per i nostri clienti, la prima domanda è stata: «A chi si applica in Italia?». La risposta non è banale, perché il decreto di recepimento ha fatto scelte precise. In questa guida ti portiamo esattamente quello che serve: chi è dentro, chi è fuori, e soprattutto i passi concreti per non essere colto impreparato.

NIS2: perché ti riguarda (anche se non fai cybersecurity)

La direttiva NIS2 (Network and Information Security 2) è la legge europea che obbliga aziende e enti in settori critici a proteggersi meglio dagli attacchi informatici. In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. La scadenza per adeguarsi formalmente è il 17 gennaio 2025 (per la designazione degli operatori), ma i controlli partono dopo. Se sei soggetto, non puoi ignorarlo: le sanzioni arrivano fino al 2% del fatturato annuo mondiale.

Ma chi è soggetto? Non solo banche, ospedali e grandi aziende. La direttiva ha allargato il perimetro rispetto alla vecchia NIS1. In Italia, il recepimento ha seguito la linea europea, ma con alcune specificità.

Chi è soggetto in Italia: le due categorie

La normativa distingue tra soggetti essenziali (critical) e soggetti importanti (important). La differenza conta perché i controlli e le sanzioni sono più severi per i primi.

Soggetti essenziali

Appartengono a settori ad alto rischio: energia, trasporti, banche, infrastrutture finanziarie, sanità, acqua potabile, digitale (provider cloud, data center, motori di ricerca). In Italia si aggiungono anche le amministrazioni centrali dello Stato. Se la tua azienda rientra in uno di questi settori e ha almeno 250 dipendenti oppure un fatturato annuo superiore a 50 milioni di euro, sei essenziale. Eccezione: per il settore digitale la soglia scende.

Soggetti importanti

Rientrano settori come la produzione chimica, la gestione dei rifiuti, l’alimentare, la manifattura di dispositivi medici, la ricerca, i servizi postali, la pubblica amministrazione locale. La soglia dimensionale è almeno 50 dipendenti e fatturato superiore a 10 milioni di euro. Attenzione: anche se la tua azienda è più piccola, puoi essere comunque soggetto se l’Autorità nazionale (l’Agenzia per la Cybersicurezza Nazionale, ACN) ti designa come tale, in base alla criticità del servizio.

Qui entra il punto cruciale per le PMI italiane: molte aziende under 50 dipendenti forniscono servizi a soggetti essenziali (es. manutenzione IT, logistica, fornitura componenti). Anche se non sei direttamente soggetto, il tuo cliente essenziale ti chiederà garanzie di sicurezza — perché la direttiva impone la sicurezza della catena di fornitura. Quindi preparati, anche se per ora sei fuori dal perimetro.

Cosa devi fare se sei soggetto

Se il tuo profilo rientra, devi adottare un insieme di misure tecniche e organizzative. Non è un obbligo generico: la direttiva elenca i requisiti minimi, e l’ACN ha pubblicato linee guida. Ecco i punti principali.

1. Risk assessment e misure di sicurezza

Devi fare un’analisi dei rischi informatici e implementare misure proporzionate. Tra queste: crittografia, autenticazione a due fattori, gestione delle vulnerabilità, backup, continuità operativa. Non serve un SOC in casa, ma serve un minimo di governance. Noi, di Meteora Web, nei nostri progetti partiamo sempre da un audit semplice: porte aperte, password deboli, backup assenti — cose che spesso le aziende non sanno nemmeno di avere.

2. Notifica degli incidenti

Se subisci un attacco significativo (es. ransomware, furto dati), devi notificarlo all’ACN entro 24 ore per un primo alert, e una notifica completa entro 72 ore. Questo richiede di avere un processo di incident response. Non serve un team dedicato, ma almeno un referente che sappia cosa fare e come contattare l’ACN (piattaforma dedicata).

3. Sicurezza della catena di fornitura

Devi valutare i rischi derivanti dai tuoi fornitori (cloud, software, manutenzione) e includere clausole contrattuali adeguate. Se il tuo fornitore non è sicuro, la responsabilità rimane tua. Ecco perché ti conviene iniziare a chiedere ai tuoi partner le loro certificazioni.

4. Formazione e consapevolezza

Il personale deve essere formato sulle minacce informatiche. Non basta un corso una tantum: serve un programma continuo. Lo vediamo nei clienti: il fattore umano è il punto più debole. Una mail di phishing ben fatta e un dipendente non formato possono aprire la porta a tutto.

Come capire se la tua azienda è soggetta: checklist pratica

Ecco i passi immediati che puoi fare oggi.

  1. Identifica il tuo settore secondo l’allegato del D.Lgs. 138/2024. Scarica il decreto dal sito dell’ACN. Controlla se il tuo codice ATECO rientra in uno dei settori critici o importanti.
  2. Calcola i parametri: numero di dipendenti medi nell’ultimo anno e fatturato. Se superi le soglie (250 dip. o 50M per essenziali; 50 dip. o 10M per importanti), sei soggetto. Se sei sotto, ma fornisci servizi a soggetti essenziali, preparati comunque.
  3. Verifica se l’ACN ti ha già notificato: entro ottobre 2025 gli operatori dei settori critici dovevano registrarsi. Se non hai ricevuto nulla, non significa che sei fuori: puoi essere aggiunto in seguito.
  4. Mappa i tuoi fornitori IT: cloud, SaaS, manutenzione. Chiedi loro se hanno certificazioni (ISO 27001, SOC2, o almeno una policy di sicurezza). Se non rispondono, è un campanello d’allarme.
  5. Fai un mini-audit interno: controlla se esiste un backup funzionante, se le password sono robuste, se i software sono aggiornati. Se non hai tempo, chiama un consulente. Ma fallo.

Strumenti operativi per iniziare

Non devi reinventare la ruota. L’ACN ha pubblicato il «Manuale per l’adozione delle misure minime di sicurezza» (ispirato alle linee guida AgID). In pratica, per le PMI, puoi partire da queste misure:

  • Autenticazione a più fattori (2FA) per tutti gli accessi remoti e amministrativi.
  • Backup giornaliero con conservazione esterna (offline o su cloud separato).
  • Patch management: aggiornamenti automatici per sistemi operativi e applicativi.
  • Antimalware su tutti i dispositivi aziendali.
  • Log degli accessi con retention di almeno 6 mesi.

Noi lo implementiamo quotidianamente sui server dei nostri clienti. Un esempio concreto: quando su un server si è rotto il rinnovo automatico dei certificati SSL, l’abbiamo risolto e automatizzato senza far andare offline il cliente. Quella attenzione ai dettagli è quello che NIS2 richiede: non lasciare buchi aperti.

Errori comuni da evitare

«Tanto sono piccolo, non mi beccano» — Sbagliato. La legge prevede che l’ACN possa verificare anche su segnalazione di un cliente o di un concorrente. E le sanzioni non sono sospese per le piccole imprese.

«Basta un antivirus» — Non basta. NIS2 richiede un approccio sistemico: governance, risk assessment, formazione. L’antivirus è solo un pezzo.

«Lo farò dopo, tanto le ispezioni non partono subito» — La scadenza per adeguarsi è già passata. L’ACN ha iniziato le verifiche nel 2026. Se arriva una comunicazione, hai tempi strettissimi per rispondere. Meglio essere pronti.

In sintesi — cosa fare adesso

  1. Autovalutati con la checklist sopra. Scarica il D.Lgs. 138/2024 e verifica la tua soglia.
  2. Se sei soggetto: nomina un referente per la cybersecurity (puoi esternalizzare un DPO o un MSSP) e avvia un’analisi dei rischi.
  3. Se non sei soggetto ma sei in catena di fornitura: chiedi ai tuoi clienti essenziali cosa richiedono. Spesso hanno già questionari da compilare.
  4. Metti in sicurezza il minimo indispensabile: 2FA, backup, aggiornamenti, formazione base. Questo è il tuo “NIS2 starter pack”.
  5. Monitora le novità: l’ACN aggiorna regolarmente le linee guida. Segui la sezione «Normativa» sul sito ufficiale.

Noi di Meteora Web aiutiamo le aziende a fare questo percorso senza vendere fumo. Veniamo dalla contabilità e dall’ERP, quindi sappiamo che ogni euro investito in sicurezza deve avere un ritorno. Se vuoi una chiacchierata senza impegno per capire dove sei, contattaci. Intanto, inizia dalla checklist.

Sponsored Protocol

Ing. Calogero Bono

> AUTHOR_EXTRACTED

Ing. Calogero Bono

Co-founder di Meteora Web. Ingegnere informatico, sviluppo ecosistemi digitali ad alte prestazioni. AI, automazione, SEO tecnica e infrastrutture web. Scrivo di tecnologia per rendere complesso… semplice.

[ Read Full Dossier ]

Hai bisogno di applicare questa strategia?

Esegui il protocollo di contatto per iniziare un progetto con noi.

> INIZIA_PROGETTO

Sponsored

> MW_JOURNAL

Hacker rubano account Instagram sfruttando il chatbot AI del supporto Meta
2026-06-01

Hacker rubano account Instagram sfruttando il chatbot AI del supporto Meta

Privacy e AI: DuckDuckGo, Strava e la nuova minaccia FROST scuotono il web
2026-06-01

Privacy e AI: DuckDuckGo, Strava e la nuova minaccia FROST scuotono il web

Atari compra lo studio di Crossy Road e PlayStation lancia un fight stick wireless e un monitor da gaming
2026-06-01

Atari compra lo studio di Crossy Road e PlayStation lancia un fight stick wireless e un monitor da gaming

Cervello digitale made in Cina: l’Europa sta già perdendo la partita?
2026-06-01

Cervello digitale made in Cina: l’Europa sta già perdendo la partita?

MiniMax-M3 Sfida GPT-5.5 e Gemini 3.1 Pro con AI Open-Weight a Costo Ridotto
2026-06-01

MiniMax-M3 Sfida GPT-5.5 e Gemini 3.1 Pro con AI Open-Weight a Costo Ridotto

> READ_ALL()