Aggiornato: Aprile 2026

NIS2 per PMI: chi è soggetto e cosa fare nel 2026

La direttiva UE 2022/2555 (NIS2), recepita in Italia con il D.Lgs 138/2024, estende gli obblighi di cybersicurezza a 18 settori essenziali e importanti. Nel 2026 entrano a regime misure tecniche, incident reporting in 24/72 ore e sanzioni fino a 10 milioni di euro.

⚠️

Scadenza operativa

Le misure di sicurezza minime e la governance cyber devono essere operative entro il 17 gennaio 2026. Verifica iscrizione ACN e piano misure tecniche con il responsabile IT.

Chi è soggetto a NIS2

Sono soggette le imprese medie e grandi (oltre 50 dipendenti o 10 milioni di fatturato annuo) che operano nei settori definiti dagli Allegati I e II del decreto: energia, trasporti, banche, sanità, acqua, infrastrutture digitali, PA centrale e locale, spazio, manifattura critica, alimentare, rifiuti, chimica, ricerca, servizi digitali, fornitori cloud e DNS.

Le imprese più piccole possono essere coinvolte se identificate come soggetti critici dall'ACN in funzione del loro ruolo nella catena di fornitura.

Iscrizione ACN e governance

Iscrizione sul portale ACN con i dati aziendali, settore di appartenenza e referenti.
Nomina del responsabile della sicurezza informatica e del punto di contatto verso ACN.
Adozione di una policy di gestione del rischio cyber approvata dall'organo amministrativo, che resta personalmente responsabile.
Aggiornamento annuale dei dati di registrazione entro il 28 febbraio di ogni anno.

Misure tecniche minime e incident reporting

Analisi del rischio, gestione asset, controllo accessi con MFA, segmentazione di rete.
Backup testati, piani di continuità operativa e disaster recovery documentati.
Gestione vulnerabilità e patching, sicurezza della supply chain con clausole nei contratti fornitori.
Incident reporting: early warning entro 24 ore, notifica entro 72 ore, relazione finale entro 1 mese dalla scoperta dell'incidente significativo.

Domande frequenti

La mia PMI rientra in NIS2?

Sono soggette le imprese medie e grandi (oltre 50 dipendenti o 10 milioni di fatturato) che operano in 18 settori essenziali o importanti: energia, trasporti, salute, acqua, banche, infrastrutture digitali, PA, spazio, manifattura critica, alimentare, gestione rifiuti, chimica, ricerca, fornitori digitali. Anche micro e piccole imprese possono essere coinvolte se identificate come critiche dall'ACN.

Entro quando bisogna iscriversi all'ACN?

La prima finestra di registrazione si è chiusa il 28 febbraio 2025 sul portale dell'Agenzia per la Cybersicurezza Nazionale. Le imprese che diventano soggette in corso d'anno devono iscriversi entro i termini fissati dal decreto attuativo, con aggiornamento annuale dei dati entro il 28 febbraio.

Cosa devo segnalare e in quali tempi?

In caso di incidente significativo serve un early warning entro 24 ore, una notifica strutturata entro 72 ore e una relazione finale entro un mese. L'incidente è significativo se causa interruzione operativa, danno finanziario o impatto su terzi.

Quali sono le sanzioni?

Per i soggetti essenziali fino a 10 milioni di euro o 2% del fatturato globale (il maggiore tra i due); per gli importanti fino a 7 milioni o 1,4%. Sono previste sanzioni anche personali per gli organi di amministrazione in caso di violazioni gravi.

Fonti consultate

Verificate a aprile 2026. Le normative possono cambiare: consulta sempre la fonte ufficiale prima di agire.