La direttiva NIS2 (Network and Information Security 2) è la normativa europea che sostituisce la NIS1 e introduce obblighi di cybersicurezza significativamente più stringenti per migliaia di aziende italiane, incluse molte PMI che con la prima NIS erano fuori scope. Recepita in Italia con il D.lgs 138/2024 (entrato in vigore il 16 ottobre 2024) e con i provvedimenti attuativi dell’Agenzia per la Cybersicurezza Nazionale (ACN) che si stanno completando nel 2025-2026, NIS2 ha già obbligato le aziende a registrarsi sulla piattaforma ACN e a iniziare il percorso di compliance.
Questo articolo è una fotografia operativa al 2026: chi è in scope, cosa va fatto, in quali tempi, e — punto critico per le PMI con stack Microsoft 365 — come Business Premium copre la grande maggioranza dei requisiti tecnici minimi.
Chi è in scope: settori essential vs important
NIS2 distingue due categorie di soggetti:
Settori “essential” (allegato I)
Aziende che operano in settori critici per la collettività, sottoposte ai controlli più stringenti:
- Energia (elettricità, gas, oil, district heating)
- Trasporti (aerei, ferroviari, stradali, marittimi)
- Bancario e infrastrutture finanziarie
- Sanità (ospedali, laboratori, farmaceutico, dispositivi medici)
- Acqua (potabile, reflue)
- Infrastruttura digitale (DNS, TLD registry, cloud provider, datacenter, CDN, trust service provider, public communications networks, e-comms providers)
- ICT service management (B2B): MSP, MSSP
- Pubblica Amministrazione (centrale e regionale)
- Spazio
Settori “important” (allegato II)
Aziende rilevanti ma non critiche al pari delle essential:
- Servizi postali e di corriere
- Gestione rifiuti
- Manifattura e distribuzione di prodotti chimici
- Produzione, trasformazione e distribuzione alimentare
- Manifattura (dispositivi medici, computer, prodotti elettronici, macchinari, autoveicoli, altri mezzi di trasporto)
- Provider digitali (online marketplace, motori di ricerca, social network)
- Ricerca
Soglie dimensionali per le PMI italiane
Una PMI italiana è in scope se opera in uno dei settori sopra E supera una di queste soglie:
- Almeno 50 dipendenti OR
- Fatturato annuo o bilancio > 10 milioni €
Sotto queste soglie l’azienda è generalmente fuori dal perimetro obbligatorio NIS2 (ma può scegliere di adottarne i principi volontariamente, e in alcuni casi specifici può comunque essere in scope per ragioni settoriali — es. fornitori critici di soggetti essential).
Nota importante: la categoria “manifattura” include molte tipologie produttive italiane tipiche (meccanica, elettronica, automotive, dispositivi medici, ecc.). Una PMI manifattura italiana sopra 50 dipendenti è quasi certamente important e deve adempiere a NIS2.
Timeline italiana
Date chiave da memorizzare:
- 16 ottobre 2024: entrata in vigore D.lgs 138/2024.
- 17 gennaio 2025: scadenza per registrazione delle aziende in scope sulla piattaforma ACN (“censimento NIS2”). Scaduta.
- Fine 2025 / primi 2026: ACN pubblica le determinazioni tecniche specifiche con misure minime obbligatorie, modalità di notifica incidenti, tempistiche di adeguamento. In corso di completamento.
- 2026: periodo di transizione operativa. Aziende devono adottare le misure minime di sicurezza e i processi di notifica incidenti.
- 2027 in avanti: piena enforcement, audit ACN, sanzioni.
Stato attuale per la maggior parte delle PMI in scope: registrazione ACN completata (o da completare urgentemente se mancata al 17/01/2025), determinazioni tecniche in studio, implementazione misure tecniche in corso o pianificata.
Adempimenti chiave
NIS2 impone (sintesi):
1. Registrazione e identificazione
- Iscrizione sulla piattaforma ACN come soggetto NIS2 entro le scadenze indicate.
- Designazione di un punto di contatto unico per ACN.
- Aggiornamento annuale dei dati anagrafici e categorizzazione.
2. Misure tecniche e organizzative minime
NIS2 art. 21 impone misure su 10 macro-aree (the famous “10 measures”):
- Risk management policy documentata.
- Incident management (rilevamento, risposta, notifica).
- Business continuity e disaster recovery.
- Supply chain security (controlli sui fornitori critici).
- Network security (segmentation, monitoring, hardening).
- Cryptography (politiche di cifratura dati at-rest e in-transit).
- Access control (least privilege, MFA, gestione identità).
- Asset management (inventario asset IT).
- Awareness training del personale.
- Endpoint security (anti-malware, EDR, MDM).
3. Notifica incidenti
Incidenti significativi vanno notificati ad ACN secondo timeline rigorose:
- Early warning entro 24 ore dall’awareness dell’incidente.
- Incident notification entro 72 ore con assessment iniziale.
- Final report entro 1 mese.
Sanzioni per mancata notifica o ritardi: fino a 7 milioni € o 1,4% del fatturato (settori important), fino a 10 milioni € o 2% (essential).
4. Responsabilità della governance
Direzione aziendale (CEO, board) è personalmente responsabile della compliance NIS2. Deve:
- Approvare formalmente le misure di sicurezza.
- Ricevere training specifico cybersecurity.
- Garantire controlli efficaci.
In caso di non-compliance grave, sanzioni personali per gli amministratori sono previste.
Come Microsoft 365 Business Premium copre i requisiti tecnici
Per una PMI italiana che usa già Microsoft 365 Business Premium (o pianifica l’upgrade da Standard), gran parte delle misure tecniche minime NIS2 sono già coperte dal bundle. Mappatura sintetica:
| Misura NIS2 art. 21 | Coperto da Microsoft 365 Business Premium |
|---|---|
| Endpoint security (EDR, anti-malware) | ✓ Microsoft Defender for Business (EDR + behavioral analysis + isolation automatico) |
| Access control (MFA, identity) | ✓ Entra ID P1: Conditional Access, MFA enforcement, Self-Service Password Reset |
| Network security (basic) | ✓ Defender for Office 365: anti-phishing AI, Safe Attachments, Safe Links. Per network segmentation servono soluzioni dedicate (firewall, NAC) |
| Cryptography (data-at-rest e in-transit) | ✓ M365 cifra tutti i dati at-rest + in-transit by default. Sensitivity Labels per encryption file confidenziali |
| Asset management (device IT) | ✓ Microsoft Intune: inventory device, configuration policies, compliance tracking |
| Awareness training | ✓ Attack simulator (phishing simulation) in Defender for Office 365 + Microsoft Learn training |
| Incident management | ✓ Microsoft 365 Defender portal: alert centralizzati, incident timeline, response actions |
| Audit & logging | ✓ Microsoft Purview audit log retention 180 giorni (estendibile a 1 anno) |
Cosa NON copre M365 Business Premium (richiede integrazioni specifiche):
- Network security avanzata: firewall di nuova generazione, NAC, segmentation VLAN.
- Backup e disaster recovery: M365 ha base backup 30-90 giorni, ma per business continuity NIS2 serve backup esteso (Veeam Backup for M365 + Azure Blob immutable storage).
- OT security (per manifattura): ambienti di produzione con PLC e sistemi OT richiedono soluzioni dedicate (Defender for IoT o equivalenti).
- Supply chain security: serve processo formale di vendor risk management — competenza organizzativa più che tecnologica.
Risultato pratico: una PMI italiana sopra 50 dipendenti che usa Microsoft 365 Business Premium copre già 70-80% delle misure tecniche minime NIS2. Il restante 20-30% è specifico al contesto (network, OT, backup esteso) e va affrontato con soluzioni mirate.
Primi passi per le PMI 2026
Roadmap operativa consigliata (PMI 50-150 dipendenti già su M365):
Fase 1 — Assessment e gap analysis (4-6 settimane)
- Verificare iscrizione completata sulla piattaforma ACN; designare il punto di contatto unico.
- Mappare misure NIS2 art. 21 vs configurazione M365 attuale.
- Identificare gap su: network security (firewall NGFW?), backup esteso (Veeam + Azure?), OT (se manifattura), policy organizzative.
- Documentare risk management policy formale (richiesto dalla normativa).
Fase 2 — Hardening tecnico M365 (4-8 settimane)
- Configurare Conditional Access policy hardened (5 policy baseline — vedi guida dedicata).
- Deploy Defender for Business + Intune se non già attivi.
- Sensitivity Labels + DLP policy per dati confidenziali.
- Enable audit log esteso, definire alert routing.
- Backup M365 esteso (Veeam + Azure Blob immutable).
Fase 3 — Processi e governance (parallelo)
- Formalizzare incident response runbook con timeline ACN (24h early warning, 72h notification).
- Awareness training utenti: phishing simulation trimestrale + briefing direzione cybersecurity (NIS2 obbligo).
- Vendor management: identificare fornitori critici, raccogliere attestazioni di sicurezza, includere clausole NIS2 nei contratti nuovi.
- Business continuity plan documentato e testato.
Fase 4 — Audit-ready (3 mesi)
- Documentazione formale di tutte le misure adottate.
- Test incidente simulato per validare il processo di notifica ACN.
- Review trimestrale board su KPI cybersecurity.
Tempo totale percorso compliance per PMI tipica: 6-12 mesi dalla fase 1 alla fase 4. Aziende che hanno iniziato nel 2025 sono in fase 2-3 oggi; aziende che iniziano nel 2026 hanno ancora margine ma il tempo si sta restringendo.
Sanzioni: realismo e proporzionalità
Le sanzioni NIS2 hanno tetti elevati (7M€ / 10M€), ma applicate proporzionalmente. ACN ha indicato approccio risk-based: nei primi anni di enforcement (2026-2027) priorità a violazioni gravi e mancata cooperazione. Aziende che mostrano percorso di adeguamento documentato e in corso sono trattate con minore severità rispetto a chi ignora gli obblighi.
Tradotto: l’urgenza non è “essere già 100% compliant nel 2026” ma “avere un percorso documentato e visibile”. Iniziare con assessment + hardening base è sufficiente per essere in posizione corretta.
Per il tuo percorso NIS2: contattaci per assessment gratuito sui gap NIS2 vs configurazione Microsoft 365 attuale, prioritizzazione interventi a costo contenuto, supporto registrazione ACN se non ancora completata.