Adeguamento NIS2 per Aziende Italiane

Fidem supporta le aziende italiane nell’adeguamento alla Direttiva NIS2 (D.Lgs. 138/2024) con infrastruttura operativa reale: SOC h24, VAPT certificati, Attack Surface Management e Incident Response. Non solo consulenza legale — la conformità richiede sistemi tecnici operativi, governance strutturata e una Gap Analysis professionale come punto di partenza. Scadenza ottobre 2026.

Cos'è la Direttiva NIS2 e Chi Riguarda

La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, è la normativa europea sulla cybersecurity che sostituisce la NIS1 del 2016. Amplia significativamente i settori obbligati e il numero di organizzazioni coinvolte, introducendo un approccio “all-hazards” — multi-rischio, globale, inclusivo della supply chain.

La NIS2 distingue tra due categorie:

  • Soggetti Essenziali: settori ad alta criticità (energia, trasporti, bancario, sanità, infrastrutture digitali, PA). Sanzioni fino al 2% del fatturato globale o 10 milioni di euro.
  • Soggetti Importanti: settori rilevanti (manifatturiero, postale, gestione rifiuti, fornitori digitali). Sanzioni fino all’1,7% del fatturato o 7 milioni di euro.

Le PMI non sono automaticamente escluse: se forniscono servizi a soggetti essenziali o importanti (supply chain), possono ricadere nel perimetro. L’ACN (Agenzia per la Cybersicurezza Nazionale) notificherà individualmente ogni soggetto incluso nell’elenco nazionale NIS.

Le Scadenze NIS2 2026: Cosa Accade e Quando

Il 2026 è l’anno cruciale per la piena operatività della NIS2 in Italia. Queste sono le scadenze ufficiali:

  • 1 gennaio 2026: Entrano in vigore gli obblighi di notifica degli incidenti significativi al CSIRT Italia (Determinazione ACN 379907 del 15 gennaio 2026). Processo: pre-notifica entro 24h, notifica formale entro 72h, report finale entro 1 mese.
  • Aprile–Giugno 2026: Pubblicazione del modello di categorizzazione ACN e raccolta delle auto-dichiarazioni. Le aziende in perimetro devono comunicare l’elenco di attività e servizi erogati con definizione della propria rilevanza.
  • Ottobre 2026: Termine ultimo per l’adozione di tutte le misure di sicurezza di base tecniche, operative e organizzative previste dall’Art. 21.
  • Fine 2026: Avvio sistematico delle attività di ispezione e verifica da parte dell’ACN. Da questa data, la mancata conformità è sanzionabile.

Importante: Le scadenze individuali decorrono dalla data di ricezione della comunicazione ufficiale ACN di inclusione nell’elenco, non dalla data di entrata in vigore del decreto.

Come Adeguarsi alla NIS2: Le 4 Fasi Operative

L’adeguamento alla NIS2 non è un progetto una tantum — è un processo strutturato di miglioramento continuo. Il percorso standard si articola in quattro fasi:

Fase 1: Gap Analysis — Il Punto di Partenza Obbligatorio

Prima di qualsiasi intervento, è indispensabile capire dove si è. La Gap Analysis NIS2 analizza lo stato attuale della sicurezza dell’organizzazione rispetto ai requisiti del D.Lgs. 138/2024 e delle determinazioni ACN. Include:

  • Inventario degli asset IT/OT rilevanti e mappatura dei sistemi critici
  • Valutazione delle politiche di sicurezza esistenti rispetto all’Art. 21
  • Analisi dei processi di gestione degli incidenti e della supply chain
  • Identificazione dei gap documentali (evidence pack per le ispezioni ACN)
  • Piano di rimedio prioritizzato con cronoprogramma

Fidem produce un report di Gap Analysis con indicazione chiara di ogni gap rispetto all’Art. 21 e un piano di adeguamento con priorità e tempi realistici.

Fase 2: Governance e Pianificazione

La NIS2 responsabilizza direttamente gli organi di amministrazione e direzione (CDA). I dirigenti devono approvare le misure di gestione dei rischi, vigilare sulla loro attuazione e — in caso di violazioni — possono essere ritenuti personalmente responsabili. La cybersecurity non può più essere delegata come “tema tecnico” al solo IT. Fidem supporta la definizione di:

  • Policy di gestione del rischio approvata dal CDA
  • Nomina di responsabili con ruoli formalizzati
  • Piano di formazione per gli organi direttivi e il personale
  • Procedure di Business Continuity e Disaster Recovery

Fase 3: Implementazione Tecnica

Le misure tecniche richieste dall’Art. 21, erogate da Fidem attraverso il Defensio Framework:

  • SOC h24: Monitoraggio continuo e notifica incidenti (24h/72h/1 mese) conforme all’Art. 21
  • VAPT (Vulnerability Assessment & Penetration Testing): Verifica periodica delle vulnerabilità
  • Attack Surface Management (ASM): Monitoraggio continuo dell’esposizione esterna e della supply chain
  • Autenticazione Multi-Fattore (MFA), crittografia, segmentazione di rete, EDR
  • Gestione dei log e SIEM per incident detection e audit trail

Fase 4: Verifica Continua e Preparazione alle Ispezioni

La conformità non è uno stato — è un processo. Dopo l’implementazione iniziale, è necessario mantenere la conformità con:

  • Penetration test periodici come previsto dall’ACN
  • Aggiornamento documentale (evidence pack sempre aggiornato)
  • Revisione annuale del piano di gestione del rischio
  • Simulazioni di incident response per verificare i tempi di notifica 24h/72h

I 5 Obblighi Tecnici dell'Art. 21 e Come Fidem li Soddisfa

L’articolo 21 del D.Lgs. 138/2024 definisce le misure tecniche, operative e organizzative che ogni soggetto NIS2 deve adottare. Fidem copre tutti e 5 i cluster di obblighi attraverso il Defensio Framework:

  • Gestione del Rischio e Incidenti: SOC h24 Defensio con AI Triage, gestione degli incidenti conforme alla procedura ACN (notifica 24h/72h/1 mese), VAPT periodici per verifica delle vulnerabilità.
  • Business Continuity e Disaster Recovery: Managed Backup con RPO/RTO documentati, procedure di gestione della crisi, piani di ripristino testati.
  • Sicurezza della Supply Chain: Attack Surface Management (ASM) per il monitoraggio continuo dei fornitori e delle terze parti esposti su Internet.
  • Sicurezza dei Sistemi e Igiene Informatica: Endpoint Detection & Response (EDR), MFA, crittografia end-to-end, segmentazione di rete, gestione degli accessi privilegiati.
  • Formazione e Consapevolezza: Cyber Awareness Program strutturato per dipendenti e organi direttivi, conforme all’obbligo di formazione del CDA previsto dall’Art. 21.

Perché Fidem: Infrastruttura Operativa, Non Solo Consulenza Legale

La differenza tra Fidem e una consulenza legale o uno studio di conformità tradizionale è concreta: noi eroghiamo i servizi tecnici che la NIS2 richiede, non solo la documentazione che li descrive.

  • SOC operativo h24: Il Defensio SOC eroga il monitoraggio continuo richiesto dall’Art. 21. Non “consigliamo di avere un SOC” — siamo il SOC.
  • VAPT eseguiti direttamente: I Vulnerability Assessment e Penetration Test sono eseguiti dal nostro team con strumenti proprietari del Defensio Framework, non rivenduti da terzi.
  • ASM per la supply chain: Defensio XT monitora continuamente la superficie di attacco esterna, inclusa la catena di fornitura, come richiesto dall’Art. 21.
  • Gap Analysis + Piano di Adeguamento: Ogni percorso inizia con una Gap Analysis documentata che diventa il fondamento dell’evidence pack per le ispezioni ACN.
  • Datacenter italiani ACN-certificati: Tutti i dati elaborati rimangono su infrastruttura italiana con data residency EU.

I Vantaggi Concreti dell'Adeguamento NIS2 per la Tua Azienda

L’adeguamento alla NIS2 non è solo un obbligo — è un’opportunità strategica. Le aziende conformi guadagnano vantaggi competitivi diretti:

  • Partecipazione alle gare pubbliche (appalti): La mancata conformità NIS2 può comportare l’esclusione da bandi e appalti pubblici da fine 2026. Le aziende certificate possono partecipare a categorie di gara precluse ai non conformi.
  • Reputazione e fiducia della supply chain: I grandi clienti enterprise e PA inizieranno a richiedere dichiarazioni di conformità NIS2 ai propri fornitori. Essere conformi significa non perdere contratti esistenti.
  • Resilienza operativa: Le misure richieste dalla NIS2 (SOC, EDR, backup testato, Incident Response) riducono concretamente il rischio di downtime da attacco informatico — il cui costo medio supera i €200.000 per una PMI italiana.
  • Allineamento con GDPR e DORA: Le misure NIS2 accelerano anche la conformità GDPR (condivisione delle misure di sicurezza) e DORA per i soggetti nel settore finanziario, evitando doppia spesa di compliance.
  • Sostenibilità e rating ESG: La conformità NIS2 alimenta positivamente i rating ESG aziendali, sempre più richiesti da investitori e partner strategici.

Domande Frequenti sull'Adeguamento NIS2

La mia azienda è obbligata alla NIS2?
Dipende da due fattori: il settore di attività e le dimensioni aziendali. I soggetti essenziali sono tipicamente aziende con >250 dipendenti o >50M€ di fatturato nei settori critici (energia, sanità, banche, infrastrutture digitali). I soggetti importanti includono medie imprese nei settori rilevanti. Le PMI non sono automaticamente escluse se fanno parte della supply chain di un soggetto essenziale. L’ACN notificherà ogni soggetto incluso — ma è consigliabile verificarsi autonomamente prima di ricevere la comunicazione, viste le scadenze strette del 2026.

Come si fa una Gap Analysis NIS2?
La Gap Analysis NIS2 è un’analisi strutturata dello stato attuale della sicurezza rispetto ai requisiti del D.Lgs. 138/2024. Si parte dall’inventario degli asset IT/OT rilevanti, si valutano le politiche esistenti, si mappano i processi critici e si identificano i gap rispetto agli obblighi dell’Art. 21. Il risultato è un piano di rimedio prioritizzato con cronoprogramma. Fidem esegue la Gap Analysis combinando l’analisi documentale con strumenti tecnici di vulnerability assessment e attack surface analysis per avere sia la fotografia legale che quella operativa reale.

Cosa succede se non mi adeguo entro ottobre 2026?
Le sanzioni variano in base alla categoria: soggetti essenziali rischiano fino al 2% del fatturato mondiale o 10 milioni di euro; soggetti importanti fino all’1,7% o 7 milioni di euro. Ma la sanzione economica è solo parte del rischio: il D.Lgs. 138/2024 prevede, in caso di inottemperanza alla diffida ACN, la sospensione temporanea dalle funzioni dirigenziali — una conseguenza personale per il management. Le ispezioni ACN inizieranno sistematicamente da fine 2026.

Come funziona la notifica degli incidenti?
La procedura di notifica è vincolante dal 1° gennaio 2026. Un incidente “significativo” deve essere notificato al CSIRT Italia in tre fasi: pre-notifica entro 24 ore dalla consapevolezza dell’incidente, notifica formale entro 72 ore con valutazione dell’impatto e natura dell’incidente, e un report finale entro 1 mese dalla conclusione della gestione. Il Defensio SOC h24 di Fidem integra il supporto alla notifica nel servizio di incident response, garantendo il rispetto dei tempi anche di notte o nei weekend.

La NIS2 si applica anche alle PMI?
Le soglie dimensionali sono precise. Grandi imprese (soggetti essenziali): >250 dipendenti e fatturato annuo ≥50 milioni di euro o totale di bilancio ≥43 milioni. Medie imprese (soggetti importanti): 50-249 dipendenti, fatturato <50 milioni. PMI <50 dipendenti: generalmente escluse, tranne se operano in settori critici specifici (energia, sanità, ecc.) o se forniscono servizi a soggetti essenziali/importanti come MSP, provider cloud, fornitori di software o OT. La clausola supply chain è il punto critico: molte PMI italiane rientrano nel perimetro NIS2 senza saperlo.

Quali strumenti tecnici specifici richiede la NIS2 (SIEM, EDR, NGFW, OT)?
Il D.Lgs. 138/2024 non prescrive brand o prodotti specifici, ma le misure richieste si traducono in categorie tecnologiche precise: SOC (Security Operations Center) per il monitoraggio h24 e la gestione centralizzata dei log — il servizio Fidem evolve e supera il tradizionale SIEM con detection basata su AI, correlazione multi-sorgente e risposta gestita (Defensio SOC & MDR); EDR (Endpoint Detection & Response) per la protezione degli endpoint inclusi scenari di smart working; Defensio Sensor per il monitoraggio della rete interna, la segmentazione e la funzione equivalente a un NGFW — il sensore on-premise Defensio copre threat detection, NetFlow e vulnerability assessment in tempo reale; MFA per la gestione delle identità e degli accessi; Managed Backup + Disaster Recovery con RPO/RTO documentati e ripristino testato. Per le aziende con sistemi OT (Operational Technology) — produzione, energia, utilities — la NIS2 richiede misure di OT security specifiche, distinte dalle misure IT standard. Il Defensio Framework copre tutti questi strati in modalità gestita.

Verifica Se la Tua Azienda Rientra nel Perimetro NIS2

Il primo passo è capire se e come la NIS2 si applica alla tua organizzazione. Fidem esegue una Gap Analysis NIS2 che produce un report documentale con lo stato attuale rispetto ai requisiti del D.Lgs. 138/2024 e un piano di adeguamento con priorità chiare. I dati restano su datacenter italiani ACN-certificati.

Richiedi la Gap Analysis NIS2