C’era una volta una direttiva europea chiamata NIS1. Pochi la conoscevano, meno ancora la applicavano, e in Italia il recepimento fu talmente entusiasta che praticamente nessuna PMI ne aveva mai sentito parlare. L’Unione Europea ha preso nota di questo successo straordinario e ha deciso di alzare decisamente il livello: nasce così la NIS2, recepita in Italia con il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre dello stesso anno.

La differenza tra le due direttive non è incrementale, è strutturale. La NIS1 si occupava principalmente di grandi operatori in settori come energia, trasporti e banche. La NIS2 ha allargato il perimetro a 18 settori, inclusi manifatturiero, gestione dei rifiuti, produzione alimentare, servizi postali, fornitori di servizi cloud e data center. In pratica, se la tua azienda ha più di 50 dipendenti o supera i 10 milioni di euro di fatturato e opera in uno di questi settori, sei dentro. E se sei un fornitore critico di un’azienda che è dentro, probabilmente ci sei entrato anche tu, anche se non lo sai ancora.

Il calendario che nessuno vuole guardare

L’ACN (Agenzia per la Cybersicurezza Nazionale) ha strutturato il percorso di adeguamento in fasi precise. La prima scadenza rilevante era il 28 febbraio 2025: tutti i soggetti privati tenuti agli obblighi NIS2 dovevano registrarsi sulla piattaforma digitale dell’ACN. Seguiva il 31 luglio 2025, entro cui le organizzazioni classificate come soggetti NIS2 dovevano inviare all’ACN i dati tecnici e organizzativi fondamentali, come referenti, indirizzi IP, domini e strutture di governance. Dal 1° gennaio 2026 è scattato l’obbligo di notifica degli incidenti significativi al CSIRT Italia: 24 ore per il pre-allarme, 72 ore per la notifica dettagliata, 30 giorni per il report finale. La scadenza per l’adozione completa delle misure tecniche, operative e organizzative è fissata al 31 ottobre 2026.

Le sanzioni che fanno svegliare anche i CdA

La NIS2 ha finalmente trovato il modo di fare interessare davvero i vertici aziendali alla cybersecurity: mettendoci sopra un’etichetta con un numero grande. Per i soggetti essenziali, le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, applicandosi il massimo tra i due valori. Per i soggetti importanti, fino a 7 milioni o all’1,4% del fatturato. Ma la vera novità è che la responsabilità ricade esplicitamente sugli organi di amministrazione: i vertici aziendali non possono più delegare completamente la questione all’IT come se non li riguardasse.

Questo cambia profondamente le dinamiche organizzative. D’ora in avanti, il CdA che approva il bilancio senza aver esaminato il piano di cybersecurity dell’azienda si assume un rischio personale concreto. La direttiva impone che gli organi di amministrazione seguano una formazione in materia di sicurezza informatica e promuovano una formazione periodica per i dipendenti. Non basta più firmare una policy e dimenticarla in un cassetto.

Il punto sulla supply chain che molti sottovalutano

L’aspetto più insidioso della NIS2 per le PMI italiane non sono le sanzioni dirette, ma l’effetto cascata sulla catena di fornitura. L’articolo 21 della direttiva impone ai soggetti obbligati di gestire attivamente i rischi derivanti dai propri fornitori di servizi ICT. In pratica, se sei fornitore IT, logistico, di manutenzione o di qualsiasi servizio critico per un’azienda NIS2, il tuo profilo di sicurezza diventa parte della loro compliance. Possono chiederti documentazione, audit, certificazioni. E se non sei adeguato, possono semplicemente cambiare fornitore.