NIS2 e PMI

NIS2 e PMI: quali sono gli obblighi?

NIS2 e PMI: la regola generale e le eccezioni

La normativa NIS2 è entrata in vigore nell’ordinamento italiano con il Decreto Legislativo n. 138 del 4 settembre 2024.

Secondo quanto indicato nell’Art. 3 – comma 2, questa normativa si applica ai soggetti che “superano i massimali per le piccole imprese, come indicati nella Raccomandazione 2003/361/CE”. Si applica quindi ai soggetti che superano i 10ML di euro di fatturato / totale bilancio annuo ed impiegano più di 50 dipendenti.

Stando così le cose, sembrerebbe NIS2 e PMI non hanno nulla a che fare l’una con le altre e che le piccole imprese e le microimprese, che in Italia rappresentano la quasi totalità del sistema produttivo, siano esenti dagli obblighi derivanti dall’introduzione di questa nuova legge.

Così non è. Sono infatti previste diverse eccezioni a questa regola generale e riguardano ad esempio le imprese “collegate”, dove tale termine non si riferisce solo a quanto previsto dal Codice Civile in tema di rapporti tra società, ma riguarda anche tutte le imprese collegate in termini di sistemi informativi e di rete nella fornitura di servizi; riguarda altresì le aziende di trasporto pubblico o quelle che svolgono attività di ricerca, indipendentemente dalle dimensioni.

La normativa NIS2 si applica anche e indipendentemente dalle dimensioni, ai soggetti considerati critici, in quanto elementi sistemici della catena di approvvigionamento, anche digitale, di uno o più soggetti considerati essenziali o importanti; si applica alla Pubblica Amministrazione, si applica ai soggetti che forniscono infrastrutture e servizi digitali.

In altre parole, la normativa stabilisce il principio che tutte le aziende che, indipendentemente dalle loro dimensioni, possono avere un impatto sulle attività o sulla sicurezza di altre aziende considerate essenziali o importanti secondo i principi della NIS2, devono anch’esse ricadere nell’ambito di applicazione della normativa.

Cosa prevede la NIS2

Rispetto alla normativa precedente (ne abbiamo parlato qui) il numero dei soggetti coinvolti aumenta di circa 50 mila unità.

Si estende anche la definizione del rischio, andando ad includere una vasta gamma di minacce, dal rischio tecnologico agli attacchi fisici e climatici. Di pari passo vengono definiti dei requisiti di sicurezza più dettagliati in termini di gestione, responsabilità e formazione.

Sono inoltre specificati i tempi e le modalità di segnalazione degli incidenti alle autorità competenti. L’ACN ha predisposto una specifica tassonomia per creare una classificazione unica, che permette di velocizzare la raccolta e di condividere più facilmente le informazioni rilevanti in termini di cybersicurezza.

Scadenze principali

Tutte le aziende coinvolte, comprese le PMI, qualora ricadano nell’ambito di applicazione, devono tenere conto delle seguenti scadenze:

  • Registrazione sul portale ACN entro il 28 febbraio 2025.
  • Notifica degli incidenti alle autorità competenti, secondo i tempi e le modalità previste dall’Art. 25 del Decreto Legislativo e dalla Tassonomia ACN a partire da gennaio 2026.
  • Implementazione delle misure di sicurezza di base entro ottobre 2026.

È essenziale rispettare queste scadenze per evitare sanzioni e garantire la continuità operativa.

Per avere un quadro sintetico dei principali aspetti della Normativa NIS2 puoi scaricare la nostra guida.

Un approccio pragmatico

Acquisita questa consapevolezza, la cosa migliore da fare per le PMI è adottare un approccio pragmatico e cogliere l’avvento della NIS2 come un’opportunità per rivedere ed eventualmente aggiornare tutti i processi, le procedure e gli strumenti di sicurezza dell’azienda.

Per prima cosa serve un’analisi sullo stato della sicurezza aziendale, che può essere fatta con il supporto di professionisti competenti, capaci di individuare le vulnerabilità del sistema e di definire un chiaro piano di azione per rendere l’azienda conforme a quanto richiesto dalla normativa.

Diventa poi necessario implementare tutte le misure per garantire la sicurezza: occorre quindi verificare lo stato della sicurezza di tutti i dispositivi e della rete aziendale, ivi compresi gli aggiornamenti dei software e delle licenze, le corrette configurazioni, la gestione degli accessi.

È importante sottolineare che l’Art. 23 indica una diretta responsabilità degli amministratori aziendali nell’adottare le idonee misure di gestione dei rischi per la sicurezza informatica, essi devono quindi partecipare al processo e sono tenuti a seguire ed a promuovere corsi di formazione sulla sicurezza informatica.


Cyberedge, con una pluriennale esperienza nell’ambito della Cybersecurity affianca le PMI nella corretta analisi e implementazione delle misure necessarie per essere conformi alla Normativa NIS2