NIS2 e PMI: sei obbligato? Cosa devi fare entro quando (guida pratica 2025)

C’è una nuova sigla che sta togliendo il sonno a molti imprenditori europei, e per una buona ragione: NIS2.

Si tratta della nuova direttiva europea sulla cybersecurity che punta ad alzare drasticamente le difese del mercato comune.

Se pensi che sia una “roba da multinazionali” e che la tua PMI sia troppo piccola per essere coinvolta, potresti commettere un errore fatale.

La NIS2 ha infatti abbassato notevolmente le soglie dimensionali rispetto al passato, portando sotto il suo ombrello normativo oltre 18.000 operatori solo in Italia. Le sanzioni per chi ignora gli obblighi non scherzano: si arriva fino a 10 milioni di euro o al 2% del fatturato mondiale annuo. In questo articolo capiremo se la tua azienda è obbligata ad adeguarsi, cosa devi fare concretamente e come gestire questa trasformazione senza paralizzare il tuo business.

————————————————————————————————————————

Cos’è la NIS2 in parole semplici

La NIS2 (Network and Information Security Directive 2) è l’evoluzione della precedente normativa UE sulla sicurezza informatica, recepita ufficialmente in Italia nell’ottobre 2024 con il D.Lgs. 138/2024.

Il suo obiettivo non è solo imporre l’acquisto di un software, ma elevare il livello di resilienza cyber attraverso governance, monitoraggio e una risposta rapida agli incidenti.

Perché questo cambiamento interessa così da vicino le PMI italiane? Se la vecchia NIS1 si concentrava solo sulle grandi infrastrutture critiche, la NIS2 amplia i settori coinvolti e include esplicitamente le medie imprese e i fornitori della supply chain di settori essenziali.

Il vero punto di rottura rispetto al passato è il cambio di mentalità: la sicurezza informatica smette di essere un “costo tecnico” per diventare un obbligo legale.

Gli organi direttivi — CEO e Board — sono ora ritenuti direttamente responsabili della supervisione e dell’approvazione delle misure di gestione dei rischi. Non è più possibile delegare tutto a un tecnico esterno senza supervisione: la conformità richiede un approccio basato sul rischio, documentato e verificabile.

————————————————————————————————————————

Quali PMI sono obbligate: settori e criteri

La direttiva suddivide le aziende in due grandi categorie, a seconda della criticità del settore in cui operano.

1. SOGGETTI ESSENZIALI (Sanzioni fino a 10M€ o 2% fatturato)

Rientrano in questa categoria le infrastrutture vitali per lo Stato:

  • Energia: elettricità, gas, petrolio, idrogeno.
  • Trasporti: aereo, ferroviario, marittimo e stradale.
  • Settore Bancario e infrastrutture dei mercati finanziari.
  • Sanità: ospedali, laboratori, farmaceutica e dispositivi medici.
  • Acqua: potabile e reflue.
  • Infrastrutture Digitali: cloud provider, data center, DNS, TLC.
  • Pubblica Amministrazione e Spazio.

2. SOGGETTI IMPORTANTI (Sanzioni fino a 7M€ o 1,4% fatturato)

Questa categoria tocca il cuore produttivo delle PMI italiane:

  • Servizi postali e corrieri.
  • Gestione dei rifiuti.
  • Chimica: produzione e distribuzione.
  • Alimentare: produzione, trasformazione e distribuzione.
  • Manifattura Critica: elettronica, macchinari, automotive e mezzi di trasporto.
  • Fornitori di servizi digitali: marketplace, motori di ricerca e social media.
  • Ricerca.

I criteri dimensionali: quando scatta l’obbligo?

In linea generale, sei soggetto alla NIS2 se la tua azienda rientra in uno dei settori sopra citati e soddisfa questi requisiti:

  • Medie Imprese: più di 50 dipendenti OPPURE un fatturato annuo superiore a 10 milioni di euro.
  • Grandi Imprese: più di 250 dipendenti o oltre 50 milioni di fatturato.

ATTENZIONE: esiste un’eccezione fondamentale. Anche se la tua PMI è sotto queste soglie, potresti essere obbligato se sei un fornitore critico di un soggetto essenziale. La NIS2 impone infatti alle grandi aziende di controllare la sicurezza della propria intera catena di fornitura.

Domande per capire se sei “dentro”:

  1. Operi in uno dei settori elencati come “Essenziali” o “Importanti”?
  2. Hai più di 50 dipendenti O più di 10 milioni di euro di fatturato?
  3. Fornisci prodotti o servizi critici ad aziende nei settori dell’energia, sanità o trasporti?
  4. Gestisci dati sensibili o infrastrutture digitali per conto di terzi?

Se hai risposto “Sì” alla combinazione 1+2, oppure alle domande 3 o 4, sei con ogni probabilità un soggetto NIS2.

Il caso grigio: la Supply Chain

Immaginiamo una PMI manifatturiera con 40 dipendenti e 8 milioni di fatturato. Sulla carta sarebbe fuori dai limiti dimensionali. Tuttavia, se questa azienda fornisce componenti critici per le turbine di un colosso dell’energia, verrà travolta dagli obblighi NIS2 tramite le richieste contrattuali del suo cliente, che dovrà garantire la resilienza dell’intera catena del valore.

Il messaggio è chiaro: nel dubbio, verifica immediatamente. Le scadenze operative sono già definite: l’obbligo di notifica degli incidenti scatta il 1° gennaio 2026, e l’implementazione delle misure di sicurezza base deve essere completata entro ottobre 2026. Le sanzioni e la responsabilità personale del management non perdonano chi sceglie di non sapere.

Vuoi scoprire il livello di sicurezza della tua azienda? Contatta il team di Exasys per una consulenza personalizzata.

Richiedi consulenza gratuita ora
case studies

See More Case Studies

Prenota una consulenza gratuita

Un unico partner per la sicurezza e la crescita del tuo business

La tua Fortezza Digitale parte da qui: integriamo sicurezza, infrastruttura e conformità in un sistema unico e sostenibile.
Riduci i rischi, elimini la complessità e proteggi il tuo business nel tempo.
Chiamaci qui: 080 214 80 12
I vantaggi per la tua azienda:
  • Unico interlocutore
  • Riduzione dei rischi
  • Maggiore controllo
  • Ottimizzazione costi
  • Conformità normativa strutturata
  • Continuità operativa garantita
Qual è il prossimo step?
1

Pianifica una consulenza gratuita senza impegno

2
Valutiamo rischi e interventi necessari
3
Presentiamo una soluzione su misura
Pianifica una consulenza gratuita
senza impegno