Bandiby diShine
cybersecuritydigitalizzazionecredito-impostafinanziamenti-agevolativoucher

NIS2 per PMI italiane: cosa fare entro ottobre 2026 (e perché aspettare ti costa caro)

13 min di letturaPubblicato 15 maggio 2026Aggiornato 15 maggio 2026diShine

Il 2026 è l'anno in cui la NIS2 smette di essere un adempimento sulla carta. Recepita in Italia con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024, la direttiva europea sulla sicurezza delle reti entra ora nella fase pienamente operativa. Tre scadenze concrete in dodici mesi: notifica incidenti da gennaio, categorizzazione ACN da aprile, piena operatività entro ottobre 2026.

Per le PMI italiane il punto critico non è solo essere o non essere "soggetti essenziali o importanti". È capire un meccanismo meno raccontato: l'effetto cascata sulla supply chain. Se la tua impresa fornisce servizi o componenti a un'entità NIS, sei coinvolto, anche se hai 12 dipendenti e zero IT interno.

Questa guida spiega chi rientra, cosa bisogna fare entro ottobre 2026, quanto rischi se ignori, e come trasformare l'adempimento in un vantaggio commerciale.

Cos'è la NIS2 in due righe

La NIS2 (Direttiva UE 2022/2555) sostituisce la prima direttiva NIS del 2016 ampliando enormemente il perimetro: passa da 7 a 18 settori critici, da poche centinaia a decine di migliaia di soggetti coinvolti in Italia. L'autorità nazionale competente è l'ACN (Agenzia per la Cybersicurezza Nazionale), che cura registro, attività ispettive e sanzioni.

Recepimento italiano: D.Lgs. 138 del 4 settembre 2024, in vigore dal 16 ottobre 2024.

A chi si applica davvero

Due categorie di soggetti, con obblighi e sanzioni differenziati:

Soggetti essenziali (settori altamente critici, Allegato I)

  • Energia, trasporti, banche, infrastrutture mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali (data center, cloud, DNS, registri TLD, fornitori servizi gestiti, fornitori servizi gestiti di sicurezza), telecomunicazioni, aerospazio, pubblica amministrazione

Soggetti importanti (settori critici, Allegato II)

  • Servizi postali e di corriere, gestione dei rifiuti, fabbricazione/produzione/distribuzione sostanze chimiche, produzione/lavorazione/distribuzione alimenti, industria manifatturiera (dispositivi medici, elettronica, macchine, autoveicoli, altri mezzi di trasporto), fornitori servizi digitali (marketplace, motori di ricerca, social network), ricerca

Criterio dimensionale generale: imprese con almeno 50 dipendenti o 10 milioni di euro di fatturato/bilancio. Sotto soglia, in linea generale, la NIS2 non si applica direttamente.

Eccezione critica per le PMI piccole (quella che molti sottovalutano): se la tua PMI è fornitore critico di un soggetto essenziale o importante, sei comunque coinvolta. Il committente NIS deve mappare i propri fornitori rilevanti (la Determina ACN 127437/2026 lo rende obbligatorio dal 30 aprile 2026), e a cascata richiederà a quei fornitori di rispettare misure di sicurezza adeguate.

In pratica: un'agenzia di sviluppo software di 15 dipendenti che fornisce un applicativo a un ospedale, una software house che gestisce ticketing per un fornitore energia, una microimpresa che cura le anagrafiche di un trasportatore essenziale; tutti questi soggetti, formalmente "sotto soglia NIS2", ricevono richieste contrattuali NIS2 dai propri committenti. Approfondisci: Voucher cloud e cybersecurity 2026: requisiti, importi, tempi.

Il calendario degli adempimenti 2026

Tre tappe scandiscono il percorso di adeguamento in Italia.

Gennaio 2026: Operatività notifica incidenti

L'obbligo di notifica degli incidenti significativi allo CSIRT Italia è entrato in vigore. Tre fasi:

  • Pre-notifica entro 24 ore dalla scoperta dell'evento
  • Notifica formale entro 72 ore con valutazione dell'impatto e natura dell'incidente
  • Report finale entro un mese dal completamento della gestione

Un incidente è "significativo" quando provoca o può provocare grave interruzione operativa dei servizi, perdite finanziarie per l'entità, o effetti su terzi con significative perdite materiali o immateriali.

Aprile 2026: Categorizzazione ACN e mappatura fornitori

L'ACN ha pubblicato il 13 aprile 2026 due provvedimenti chiave:

  • Determina n. 127434/2026 (applicabile dal 30 aprile): calendario degli adempimenti per i soggetti inseriti per la prima volta nell'elenco NIS nel 2026
  • Determina n. 127437/2026: obbligo per tutti i soggetti NIS di elencare i fornitori rilevanti nella piattaforma ACN

L'effetto pratico della 127437 è che le grandi entità essenziali e importanti stanno scrivendo nei contratti coi propri fornitori clausole NIS2 stringenti: certificazioni, audit, SLA di sicurezza, diritto di ispezione.

Ottobre 2026: Piena operatività delle misure

Termine entro cui le misure di sicurezza di base devono essere pienamente integrate nei processi aziendali quotidiani. Da qui in poi, le autorità di vigilanza possono effettuare controlli ispettivi e applicare sanzioni piene.

Le 10 misure di base obbligatorie (art. 21 D.Lgs. 138/2024)

I soggetti NIS devono adottare un set di misure tecniche, operative e organizzative:

  1. Politiche di analisi dei rischi e di sicurezza dei sistemi informativi
  2. Gestione degli incidenti: prevenzione, rilevamento, risposta, comunicazione
  3. Business continuity: backup, gestione delle crisi, disaster recovery
  4. Sicurezza della supply chain: valutazione vulnerabilità fornitori, requisiti contrattuali
  5. Sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi (vulnerability disclosure incluso)
  6. Politiche per valutare l'efficacia delle misure di gestione del rischio
  7. Igiene informatica di base e formazione in materia di cybersicurezza
  8. Crittografia, dove appropriato, e cifratura
  9. Sicurezza del personale, controllo accessi, gestione asset
  10. Autenticazione a più fattori o autenticazione continua, comunicazioni vocali video e testuali sicure, sistemi di comunicazione di emergenza interni

Le misure devono essere proporzionate: dimensione, livello di rischio, esposizione, probabilità di incidenti, gravità potenziale degli impatti sociali ed economici.

Responsabilità diretta del CdA: la novità che cambia tutto

L'art. 23 del D.Lgs. 138/2024 introduce una trasformazione strutturale: la cybersicurezza non è più delegabile alla sola funzione tecnica.

Gli organi di amministrazione e direttivi sono personalmente tenuti a:

  • Approvare le modalità di implementazione delle misure di gestione dei rischi
  • Sovraintendere all'attuazione
  • Rispondere delle violazioni nei limiti di legge
  • Seguire formazione specifica in materia di cybersicurezza
  • Promuovere la stessa formazione per i dipendenti

Qualunque assetto in cui la sicurezza viene delegata esclusivamente al CISO o all'IT, senza flussi informativi e decisionali strutturati verso il vertice, è strutturalmente non conforme.

Il CdA non può più dire "non lo sapevo". È la stessa logica del D.Lgs. 231/2001 applicata alla cybersicurezza.

Sanzioni: 10 milioni o 2% del fatturato

Il regime sanzionatorio è severo e differenziato per categoria.

CategoriaSanzione massima
Soggetti essenzialifino a 10 milioni di euro o 2% del fatturato mondiale annuo, il maggiore dei due
Soggetti importantifino a 7 milioni di euro o 1,4% del fatturato mondiale annuo, il maggiore dei due
Pubbliche amministrazionisanzioni minori
A queste si aggiungono sanzioni amministrative accessorie:
  • Ordini di adeguamento con scadenza
  • Sospensione temporanea della certificazione o autorizzazione
  • Divieto temporaneo di esercitare funzioni dirigenziali per il management responsabile
  • Pubblicazione delle decisioni sanzionatorie

Per un'impresa media italiana con 50 milioni di fatturato, il 2% sono 1 milione di euro. Un investimento di adeguamento di 50-100K si ammortizza in pochi mesi solo guardando al rischio sanzionatorio, senza contare:

  • Perdita di clienti enterprise che richiedono fornitori NIS2 compliant come prerequisito contrattuale
  • Costi diretti di un incidente non gestito (riscatti ransomware, perdita dati, fermo operativo)
  • Responsabilità civile verso terzi danneggiati
  • Danno reputazionale

Roadmap di adeguamento in 8 step

Per le PMI che si stanno muovendo adesso, ecco il percorso pratico per arrivare in regola entro ottobre 2026.

Step 1: Inquadramento giuridico (1-2 settimane)

  • Verifica se rientri tra soggetti essenziali o importanti per settore e dimensione
  • Verifica se sei fornitore critico di un soggetto NIS (chiedi ai clienti enterprise)
  • Verifica iscrizione nell'elenco ACN se applicabile

Step 2: Risk assessment e gap analysis (3-4 settimane)

  • Inventario asset IT, dati, sistemi, applicazioni
  • Mappatura processi critici e dipendenze IT
  • Identificazione minacce, vulnerabilità, rischi
  • Misurazione gap rispetto alle 10 misure dell'art. 21

Step 3: Governance e organizzazione (2-3 settimane)

  • Designazione del responsabile NIS2 (può essere CISO esterno per le PMI piccole)
  • Formazione del CdA (obbligatoria per art. 23)
  • Definizione flussi informativi tra IT, sicurezza, vertice

Step 4: Piano di adeguamento (1-2 settimane)

  • Priorità basata sui rischi, non sugli adempimenti formali
  • Roadmap 3-6-9 mesi con milestone
  • Budget chiaro per voce

Step 5: Implementazione misure tecniche (4-12 settimane)

  • MFA su tutti gli accessi
  • Backup offline e disaster recovery testati
  • Encryption at rest e in transit dove appropriato
  • Patch management automatizzato
  • EDR/SIEM proporzionato alla dimensione

Step 6: Procedure operative (2-4 settimane)

  • Procedura di gestione incidenti (con flussi di notifica ACN/CSIRT a 24-72h)
  • Procedura di gestione fornitori (clausole NIS2 nei contratti)
  • Procedura di backup e business continuity
  • Piano di formazione annuale

Step 7: Test e validazione (2-3 settimane)

  • Tabletop exercise su incidente simulato
  • Test di ripristino dei backup
  • Audit interno o esterno sulle misure

Step 8: Documentazione e mantenimento

  • Tutto deve essere documentato: la NIS2 si verifica su carta prima che sui sistemi
  • Revisione annuale di policy e risk assessment
  • Aggiornamento continuo del registro fornitori e dei contratti

In totale, per una PMI di 50-150 dipendenti, 4-6 mesi di lavoro consulenziale concentrato + investimento interno. Chi inizia ora arriva pronto a ottobre. Chi inizia a settembre 2026 arriva in ritardo.

Tre casi pratici

Caso 1: PMI manifatturiera 80 dipendenti, fornitore di un'industria farmaceutica

  • Soggetto NIS? Formalmente no (sotto soglia per "manifatturiero" puro)
  • Fornitore critico di un soggetto importante? Sì
  • Cosa fa: clausole NIS2 nei contratti col cliente farma, gap analysis, MFA + backup + procedura incidenti, formazione CdA
  • Costo stimato: 35-50K una tantum + 12-18K/anno

Caso 2: Software house 25 dipendenti, sviluppa ticketing per ospedale

  • Soggetto NIS? Formalmente no (sotto soglia)
  • Fornitore critico di un soggetto essenziale (sanità)? Sì
  • Cosa fa: ISO 27001 lite o certificazione equivalente, contratto SLA cyber con cliente, vulnerability disclosure, supply chain security verso i propri sub-fornitori
  • Costo stimato: 50-70K una tantum + 20K/anno

Caso 3: Logistica 250 dipendenti, fatturato 35 mln

  • Soggetto NIS? Sì, importante (trasporti, sopra soglia)
  • Cosa fa: registrazione ACN, set completo misure art. 21, formazione CdA, registro fornitori rilevanti
  • Costo stimato: 80-150K una tantum + 30-50K/anno (a seconda della maturità di partenza)

La sovrapposizione con AI Act, GDPR, DORA, CER

NIS2 non vive da sola. Si interseca con almeno 4 altri impianti normativi attivi nel 2026:

  • AI Act (Reg. UE 2024/1689): per i sistemi AI ad alto rischio, gli obblighi di cybersicurezza dell'art. 15 AI Act si integrano con NIS2. Vedi: AI Act e PMI italiane: adempimenti e opportunità 2026
  • GDPR: incident management cyber e data breach notification (72h GDPR vs 24h pre-notifica NIS2) sono parzialmente sovrapposti ma con destinatari diversi (Garante vs CSIRT)
  • DORA (Reg. UE 2022/2554): per banche, assicurazioni, intermediari finanziari, prevale per la cybersicurezza operativa
  • CER (Direttiva UE 2022/2557): per le infrastrutture critiche, complementare a NIS2 sul piano fisico

Per costruire una governance integrata che eviti duplicazioni e razionalizzi le risorse, il playbook gratuito di compliance.dishine.it copre il quadro AI Act + NIS2 + GDPR + DSA. Per misurare prima di adeguare, la scorecard gratuita di digital-map.dishine.it restituisce una baseline di maturità digitale e cyber in 15 minuti.

Finanziamenti pubblici per la compliance NIS2

Buona notizia: l'adeguamento NIS2 è finanziabile con strumenti pubblici già attivi.

Per la mappa completa: Bandi digitalizzazione PMI 2026: tutti i voucher e gli incentivi.

NIS2 come leva commerciale, non solo come costo

Le aziende che si preparano in anticipo trovano un vantaggio competitivo non banale: le grandi corporate stanno escludendo dalle gare i fornitori che non dimostrano compliance NIS2. Una PMI con risk assessment, ISO 27001 o equivalente, procedure documentate e formazione del CdA, può:

  • Vincere gare dove i concorrenti non qualificano
  • Aumentare i prezzi sui contratti enterprise (la compliance è un servizio)
  • Aprire mercati esteri (la NIS2 è UE, l'effetto cascata è transfrontaliero)
  • Ridurre il premio assicurativo cyber (le polizze cyber chiedono lo stesso set di misure)

FAQ

Sono sicuro di non essere soggetto NIS2 perché ho 30 dipendenti?

Non automatico. Se fornisci servizi critici a un soggetto essenziale o importante, sei dentro per effetto contrattuale. Inoltre, alcuni settori sono soggetti NIS2 a prescindere dalla dimensione: fornitori di servizi DNS, registri TLD, alcuni servizi digitali specifici. Verifica caso per caso.

Cosa è il CSIRT Italia?

Il Computer Security Incident Response Team nazionale, all'interno dell'ACN. È l'unità a cui notificare gli incidenti significativi entro 24h (pre-notifica) e 72h (notifica formale).

Devo registrarmi all'ACN?

Sì, se sei soggetto essenziale o importante. La registrazione iniziale è avvenuta entro febbraio 2025. Chi è stato individuato successivamente segue il calendario della Determina ACN 127434/2026.

Cosa è la "pre-notifica a 24 ore"?

Una comunicazione iniziale di un incidente significativo, anche se le informazioni sono parziali. Serve all'ACN/CSIRT per attivare il monitoraggio. Entro 72h va integrata con la notifica formale completa.

Le sanzioni si applicano anche se sono fornitore critico ma non soggetto NIS diretto?

Le sanzioni dirette NIS2 si applicano ai soggetti essenziali o importanti. Tu fornitore critico sei sanzionato contrattualmente dal tuo cliente, che può risolvere il contratto, addebitare penali, escluderti dalle gare future. In molti casi è peggio della sanzione amministrativa pubblica.

Posso usare ISO 27001 per dimostrare la compliance?

ISO 27001 è una base solida e copre buona parte delle 10 misure dell'art. 21. Non sostituisce automaticamente la NIS2 (ci sono misure NIS2 più specifiche, soprattutto su notifica incidenti e supply chain), ma le grandi entità accettano ISO 27001 come prova significativa di adeguamento per i fornitori.

Il CdA può delegare ufficialmente al CISO o all'IT?

Può delegare l'operatività, non la responsabilità. L'art. 23 impone al CdA di approvare, sovrintendere, rispondere. La delega è uno strumento di gestione, non un'esimente.

NIS2 sostituisce il GDPR per i data breach?

No. Si aggiunge. Un incidente che coinvolge dati personali va notificato sia al CSIRT (NIS2) sia al Garante Privacy (GDPR), con tempistiche e contenuti differenti. Le procedure interne devono prevedere entrambi i flussi.

Quanto costa l'adeguamento per una PMI tipo?

Range tipico: 30-100K una tantum per PMI di 50-150 dipendenti, + 15-50K/anno di costi di mantenimento. Variabili: punto di partenza (maturità cyber esistente), settore, complessità infrastruttura. Una microimpresa che è fornitore critico cava 10-25K una tantum.

Cosa succede se ottobre 2026 mi trova non conforme?

A ottobre 2026 scatta la piena operatività delle misure. Da quel momento ACN può svolgere ispezioni e applicare sanzioni. Non c'è un "click day" delle sanzioni, ma chi viene controllato e trovato non conforme rischia il regime sanzionatorio pieno.

Normativa di riferimento

  • Direttiva (UE) 2022/2555 (NIS2)
  • D.Lgs. 4 settembre 2024, n. 138 - recepimento italiano NIS2, in vigore dal 16 ottobre 2024
  • Determina ACN n. 127434/2026 - calendario adempimenti nuovi soggetti
  • Determina ACN n. 127437/2026 - obbligo mappatura fornitori rilevanti
  • Reg. (UE) 2024/1689 (AI Act) - sovrapposizioni cyber su sistemi AI ad alto rischio
  • Reg. (UE) 2016/679 (GDPR) - data breach notification
  • Reg. (UE) 2022/2554 (DORA) - settore finanziario

Condividi questa guida

Aiuta altri a scoprirlo. Niente tracking.

WhatsApp LinkedIn Post Email

Verifica idoneità in 60 secondi

Rispondi a 4 domande e ricevi via email i bandi più rilevanti per la tua impresa.

Verifica idoneità Iscriviti newsletter

Continua con le altre guide

AI Act 2026 dopo il Digital Omnibus: cosa cambia davvero per le PMI italiane

Digital Omnibus approvato il 26 marzo 2026: rinvio AI Act sistemi alto rischio fino al 2027-2028, ma divieti e trasparenza restano al 2 agosto 2026. Cosa fare adesso.

Leggi guida

Transizione 5.0 nel 2026: cosa resta, cosa è cambiato e cosa fare se hai una pratica aperta

Scopri Transizione 5.0, l'incentivo per innovazione e sostenibilità delle imprese italiane nel 2026. Requisiti, procedure e vantaggi.

Leggi guida

Iperammortamento 2026-2028: la guida definitiva alla maxi-deduzione per beni 4.0 e green

Iperammortamento 2026-2028: maggiorazione fino al 220% sui beni 4.0 e green. Aliquote, requisiti, procedura GSE e cumulo con ZES Unica e Sabatini.

Leggi guida

I bandi di questa guida

Gli strumenti principali analizzati in questo articolo. Verifica scadenze e requisiti.

Bando principale
Aperto
Voucher

Voucher Cloud & Cybersecurity per PMI

MIMIT

Voucher a fondo perduto del 50% per PMI e lavoratori autonomi che investono in servizi e prodotti di cloud computing e cybersecurity. L'importo massimo del contributo è di 20.000 euro, con un piano di spesa minimo di 4.000 euro. La scadenza per la registrazione dei fornitori è il 27 maggio 2026; i termini per le domande delle imprese saranno definiti con successivo provvedimento.

Importo max
€20k
Contributo
50% delle spese ammissibili, fino a un massimo di 20.000€
Sportello continuo
Micro impresaLavoratori autonomiMedia impresa
Aperto
Voucher

Voucher Digitali I4.0 (Network Camere di Commercio)

Punto Impresa Digitale

Il bando Voucher Digitali I4.0 del Network Camere di Commercio offre contributi a fondo perduto per la digitalizzazione delle micro, piccole e medie imprese italiane. Finanzia consulenza, formazione e tecnologie 4.0. Le scadenze e gli importi variano a seconda della Camera di Commercio, con bandi aperti fino a dicembre 2026.

Importo max
€50k
Contributo
L'importo massimo e la percentuale di copertura variano in base al…
213 giorni · 15 dic 2026
Micro impresaMedia impresaPiccola impresa
Aperto
Voucher

Bando voucher doppia transizione digitale ed ecologica – 2026

Camera di Commercio di Arezzo - Siena

l Bando Voucher Doppia Transizione offre contributi a fondo perduto del 50% (max 3.500€) per investimenti in digitalizzazione 4.0 e sostenibilità ambientale. Con un investimento minimo di 2.000€, le PMI locali possono finanziare consulenza, formazione e tecnologie. Lo sportello ha aperto il 30 aprile 2026 e, data la dotazione limitata di circa 146.000€, l'accesso è legato alla tempestività dell'invio (click-day).

Importo max
€4k
Contributo
50% delle spese ammissibili fino a un massimo di 3.500 euro +…
213 giorni · 15 dic 2026
Micro impresaPiccola impresaMedia impresa