Direttiva NIS2: la tua PMI rientra negli obblighi di cybersicurezza? Soglie, scadenze e sanzioni

Home » Direttiva NIS2: la tua PMI rientra negli obblighi di cybersicurezza? Soglie, scadenze e sanzioni

"La cybersicurezza è roba da grandi aziende." È la convinzione che mette più PMI a rischio nel 2026. 🔐 Perché la Direttiva NIS2, la nuova normativa europea sulla sicurezza informatica, allarga sensibilmente la platea dei soggetti obbligati — e molte piccole e medie imprese italiane, soprattutto se inserite in filiere critiche o nei servizi digitali, ci rientrano già senza saperlo.

In questo articolo vediamo chi è coinvolto, quali sono le scadenze verso l'ACN e a quanto ammontano le sanzioni, senza tecnicismi inutili. ✨

Cosa scoprirai in questo articolo:

• Cos'è la NIS2 e da quando si applica
• La tua impresa rientra? Le soglie
• Scadenze e sanzioni
• Perché riguarda anche le PMI
• Takeaway pratico
• FAQ sulla NIS2

---

Cos'è la NIS2 e da quando si applica

La NIS2 è la Direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024 del 4 settembre 2024, in vigore dal 1° gennaio 2025. Il suo obiettivo è alzare il livello di sicurezza informatica nell'Unione, imponendo a un numero molto più ampio di organizzazioni misure di gestione del rischio e obblighi di notifica degli incidenti.

Rispetto alla normativa precedente, la NIS2 amplia i settori coinvolti (energia, trasporti, sanità, infrastrutture digitali, servizi ICT, gestione rifiuti, alimentare e altri) e introduce due categorie: entità "essenziali" ed entità "importanti".

La tua impresa rientra? Le soglie

Il criterio combina settore e dimensione:

• Entità "importanti": in linea generale, imprese dei settori coperti a partire da circa 50 dipendenti o oltre 10 milioni di euro di fatturato/bilancio annuo.
• Entità "essenziali": le realtà più grandi (sopra le soglie delle medie imprese, indicativamente ~250 dipendenti o ~50 milioni di euro) nei settori a maggiore criticità.

Attenzione: le soglie dimensionali precise variano per settore e vanno verificate sul testo del D.Lgs. 138/2024. Il punto chiave per una PMI è che non serve essere una multinazionale: una media impresa in un settore coperto, o un fornitore di servizi digitali, può rientrare a pieno titolo tra le "entità importanti".

Scadenze e sanzioni

Il percorso operativo è già partito. La registrazione sul portale dell'ACN (Agenzia per la Cybersicurezza Nazionale) si è svolta tra 1° dicembre 2024 e 28 febbraio 2025 (con scadenza anticipata al 17 gennaio 2025 per i fornitori di servizi digitali come cloud, DNS, data center, marketplace, motori di ricerca, social). L'ACN ha poi definito gli elenchi dei soggetti entro il 31 marzo 2025.

Le sanzioni non sono simboliche:

• fino a 10 milioni di euro o il 2% del fatturato annuo mondiale per le entità essenziali;
• fino a 7 milioni di euro o l'1,4% per le entità importanti (recepimento italiano NIS2).

Le tempistiche operative successive (notifiche e piena conformità delle misure) sono scandite dai provvedimenti ACN: chi è coinvolto deve seguirne gli aggiornamenti sul portale ufficiale.

Perché riguarda anche le PMI

Anche se la tua impresa non rientra direttamente, può esserne toccata come anello della filiera: le aziende soggette alla NIS2 sono tenute a valutare la sicurezza dei propri fornitori. Significa che, per lavorare con loro, potresti dover dimostrare standard di sicurezza adeguati.

E il contesto è serio. Il rapporto ENISA Threat Landscape 2025 (ottobre 2025) indica il ransomware come minaccia numero uno e il phishing come principale vettore di accesso iniziale, sottolineando esplicitamente che l'industrializzazione degli attacchi rende anche le PMI bersagli ad alto valore. La buona notizia: le misure di base richieste dalla NIS2 — gestione del rischio, backup, controllo degli accessi, formazione del personale, piano di risposta agli incidenti — sono esattamente ciò che ogni impresa dovrebbe avere comunque per proteggersi.

Takeaway pratico

Verifica due cose, subito. Primo: la tua impresa opera in uno dei settori coperti e supera i 50 dipendenti o i 10 milioni di fatturato? Se sì, controlla la tua posizione sul portale ACN. Secondo: anche se sei fuori scopo, prepara una scheda con le tue misure di sicurezza di base — ti servirà quando un cliente soggetto alla NIS2 te la chiederà. La conformità non è solo un obbligo: è un requisito commerciale crescente.

---

In sintesi

La NIS2 (Direttiva UE 2022/2555, recepita con il D.Lgs. 138/2024) allarga gli obblighi di cybersicurezza a molte PMI in settori critici e servizi digitali, con registrazione presso l'ACN e sanzioni fino a 10 milioni di euro o il 2% del fatturato. Anche chi è fuori scopo può essere coinvolto come fornitore. Con ransomware e phishing in cima alle minacce (ENISA, 2025) e le PMI ormai bersagli ad alto valore, mettere in regola le misure di base non è burocrazia: è protezione e, sempre più, un requisito per fare business.

[CTA] Non sai se la tua PMI rientra nella NIS2 o come metterti in regola? Contatta MKDA Agency per un orientamento sulla tua posizione.

FAQ sulla NIS2

La mia piccola impresa è obbligata a rispettare la NIS2? Dipende da settore e dimensione: in genere si rientra come "entità importante" da circa 50 dipendenti o 10 milioni di fatturato nei settori coperti. Le soglie precise vanno verificate sul D.Lgs. 138/2024 e sul portale ACN.

Cosa rischio se non mi adeguo? Sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale per le entità essenziali, fino a 7 milioni o l'1,4% per quelle importanti, oltre alle conseguenze reputazionali e commerciali.

Sono un piccolo fornitore di un'azienda più grande: mi riguarda? Sì, indirettamente. Le aziende soggette alla NIS2 devono valutare la sicurezza dei fornitori, quindi potrebbero chiederti di dimostrare misure di sicurezza adeguate per continuare a lavorare con loro.