Sicurezza 17 aprile 2026 · Milan Cák · 10 min čítania

NIS2: obblighi concreti per le aziende nel 2026

Guida pratica alla direttiva NIS2 per le PMI europee — chi è soggetto, 10 misure minime, tempistiche di notifica degli incidenti, sanzioni e piano di implementazione in 12 settimane.

Súčasť série: Sicurezza e compliance in cloud ERP 2026: Guida completa per le PMI

In sintesi: La direttiva NIS2 (Direttiva UE 2022/2555) espande significativamente il campo di applicazione della sicurezza informatica obbligatoria. Le aziende soggette (18 settori, > 50 dipendenti o > 10M EUR) devono implementare 10 misure minime, segnalare gli incidenti gravi entro 24/72 ore e rispondere con sanzioni fino a 10M EUR o 2% del fatturato. Per l’ERP: risk assessment documentato, 2FA obbligatoria, backup testato, audit log e valutazione dei fornitori ICT.

Questo articolo fa parte della serie Sicurezza e compliance per ERP cloud.

Cos’è NIS2 e perché conta

NIS2 (Direttiva UE 2022/2555 — Network and Information Security 2) sostituisce la direttiva NIS del 2016. Recepita negli Stati membri entro ottobre 2024 (con ritardi in alcuni Paesi), è applicabile in Italia tramite il D.Lgs. di recepimento.

L’obiettivo: portare il livello di sicurezza informatica delle organizzazioni critiche europee a uno standard minimo comune, dopo aver constato che la NIS originale aveva creato standard molto divergenti tra gli Stati membri.

NIS2 rispetto a NIS1:

Portata 5 volte più ampia — da 7 a 18 settori
Soglie dimensionali più basse — include PMI “importanti”
Obblighi di sicurezza più specifici (10 misure minime esplicite)
Sanzioni molto più alte (10M EUR o 2% del fatturato)
Responsabilità personale dei dirigenti

Chi è soggetto a NIS2

18 settori NIS2

Settori essenziali (alta criticità):

Energia (elettricità, petrolio, gas, teleriscaldamento, idrogeno)
Trasporti (aereo, ferroviario, acquatico, stradale)
Bancario (enti creditizi)
Infrastrutture dei mercati finanziari (trading venues, CCP)
Sanità (ospedali, laboratori, R&D farmaceutica)
Acqua potabile
Acque reflue
Infrastruttura digitale (IXP, DNS, TLD, cloud, data center, CDN, TSP, QTSP)
Gestione dei servizi ICT B2B (MSP, MSSP)
Pubblica amministrazione (centrale e regionale)
Spazio (operatori infrastrutture terrestri)

Altri settori critici (entità importanti): 12. Servizi postali e di corriere 13. Gestione dei rifiuti 14. Fabbricazione, produzione e distribuzione di prodotti chimici 15. Produzione, trasformazione e distribuzione di alimenti 16. Fabbricazione (dispositivi medici, elettronici, macchinari, veicoli) 17. Fornitori digitali (piattaforme online, motori di ricerca, social network) 18. Ricerca

Soglie dimensionali

Entità essenziali: > 250 dipendenti O fatturato > 50M EUR E bilancio > 43M EUR

Entità importanti: > 50 dipendenti O fatturato > 10M EUR E bilancio > 10M EUR

Eccezione: alcune entità sono incluse a prescindere dalle dimensioni (DNS provider, TLD registry, CCT, servizi fiduciari qualificati, pubblica amministrazione).

10 misure minime di sicurezza (art. 21 NIS2)

NIS2 definisce 10 categorie di misure che ogni entità soggetta deve implementare:

1. Politiche di analisi dei rischi e sicurezza dei sistemi informativi

Documentazione del rischio ICT (asset inventory, threat assessment)
Politica di sicurezza approvata dall’organo di gestione
Risk assessment aggiornato almeno annualmente

2. Gestione degli incidenti

Procedura di rilevamento, analisi e risposta agli incidenti
Canale di segnalazione interno
Integrazione con gli obblighi di notifica alle autorità

3. Continuità operativa e gestione delle crisi

Business Continuity Plan (BCP) documentato e testato
Disaster Recovery Plan (DRP) con RTO e RPO definiti
Backup regolari testati (strategia 3-2-1-1-0)

4. Sicurezza della catena di approvvigionamento

Valutazione del rischio dei fornitori ICT (incluso ERP, cloud, telco)
Contratti con clausole di sicurezza
Monitoraggio continuo della conformità dei fornitori chiave

5. Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi

Sicurezza nel ciclo di vita del software (SDLC)
Patch management strutturato
Vulnerability scanning periodico

6. Politiche e procedure per valutare l’efficacia delle misure

KPI di sicurezza misurabili
Audit interni / penetration test
Revisione periodica delle politiche

7. Pratiche di igiene informatica di base e formazione

Formazione obbligatoria per tutti i dipendenti
Policy di uso accettabile delle risorse ICT
Gestione delle password (gestore di password, divieto di password condivise)

8. Politiche e procedure relative all’uso della crittografia

Crittografia at-rest per dati sensibili
Crittografia in-transit (TLS 1.2+)
Gestione delle chiavi crittografiche

9. Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset

Processo di onboarding/offboarding sicuro (revoca degli accessi)
Principio del minimo privilegio (RBAC)
2FA / MFA per tutti gli accessi remoti e sistemi critici
Inventory degli asset ICT aggiornato

10. Uso di soluzioni di autenticazione a più fattori o di autenticazione continua

2FA / MFA obbligatoria per accesso remoto, email, sistemi critici
Preferenza per metodi resistenti al phishing (passkey, hardware token)

Tempistiche di notifica degli incidenti

NIS2 introduce tempistiche di notifica più stringenti rispetto a NIS1:

Fase	Tempistica	Contenuto
Early warning	Entro 24 ore dalla conoscenza	Classificazione iniziale, se sospetta attività dolosa
Notifica dell’incidente	Entro 72 ore	Valutazione iniziale: gravità, impatto, indicatori di compromissione
Relazione finale	Entro 1 mese	Analisi completa: causa root, misure adottate, impatto, lessons learned

Autorità competente in Italia: ACN (Agenzia per la Cybersicurezza Nazionale) tramite il portale CSIRT Italia.

Incidente “significativo” (notificabile): incidente che causa o può causare grave interruzione operativa, perdite finanziarie per l’entità, o impatto significativo su terze parti.

Sanzioni

Entità essenziali:

Fino a 10 milioni EUR o il 2% del fatturato mondiale annuo totale (il maggiore dei due)
Supervisione proattiva con ispezioni regolari

Entità importanti:

Fino a 7 milioni EUR o l’1,4% del fatturato mondiale annuo totale
Supervisione principalmente reattiva

Responsabilità personale dei dirigenti:

I Paesi membri possono prevedere sanzioni personali
In Italia: responsabilità amministrativa e possibilità di responsabilità penale per violazioni gravi
Sospensione temporanea dall’esercizio di funzioni manageriali

Implicazioni NIS2 per l’ERP

Per le aziende soggette a NIS2 che usano ERP/CRM, le implicazioni pratiche:

1. Risk assessment del sistema ERP

Classificare l’ERP come asset critico (probabilmente sì)
Documentare le dipendenze: quali processi si fermano se l’ERP non è disponibile?
Valutare il rischio del fornitore ERP (come provider cloud)

2. Valutazione del fornitore ERP come supply chain risk

Il fornitore ERP ha certificazioni ISO 27001?
Dove sono i dati? (UE preferito, extra-UE richiede valutazione)
Quale SLA di disponibilità garantisce? (NIS2 richiede BCP/DRP)
Il fornitore notifica gli incidenti nei tempi NIS2?

3. MFA nell’ERP

2FA obbligatoria per tutti gli utenti ERP (misura 10 di NIS2)
Priorità: passkey o TOTP app, non SMS

4. Backup e recovery testati

Backup dell’ERP con strategia 3-2-1-1-0
Recovery test documentato (almeno 1 volta l’anno)
RTO e RPO definiti per l’ERP

5. Audit log per compliance

Log di tutte le azioni nell’ERP conservato per almeno 12 mesi
Log di accesso (chi ha fatto cosa, da quale IP, quando)
Disponibile per i controlli delle autorità

Piano di implementazione NIS2 in 12 settimane

Settimana	Attività
1-2	Gap analysis: dove siamo rispetto alle 10 misure NIS2
3-4	Asset inventory: sistemi ICT, dati, fornitori
5-6	Risk assessment documentato
7-8	Implementazione priorità alte: 2FA, patch management, backup test
9-10	Politiche documentate: sicurezza, incident response, BCP
11-12	Formazione del personale, test delle procedure, registrazione ACN

Modulario e NIS2

Per le entità soggette a NIS2 che usano Modulario:

ISO 27001 certificato — copre i requisiti di sicurezza supply chain di NIS2
2FA / Passkey nativamente disponibile — soddisfa la misura 10
Audit log completo — ogni azione registrata con timestamp e IP
Backup con immutabilità 7 giorni — soddisfa la misura 3 (BCP/DRP)
Hosting UE — dati in UE, nessuna complicazione CLOUD Act
Notifica incidenti contrattuale — inclusa nel contratto enterprise

Per la documentazione tecnica di sicurezza ai fini NIS2, contattare il team di compliance Modulario.

Domande frequenti

Come faccio a sapere se la mia azienda rientra nel campo di applicazione di NIS2? Tre condizioni: (1) operare in uno dei 18 settori NIS2, (2) > 50 dipendenti O > 10M EUR di fatturato (entità importante) o > 250 dipendenti O > 50M EUR (entità essenziale), (3) operare nell’UE. In caso di dubbio, consultare ACN (Agenzia per la Cybersicurezza Nazionale).

Quali sono le sanzioni? Entità essenziali: fino a 10M EUR o 2% del fatturato mondiale. Entità importanti: fino a 7M EUR o 1,4% del fatturato. Responsabilità personale dei dirigenti prevista dalla normativa italiana.

Qual è la differenza tra NIS2 ed entità “essenziali” e “importanti”? Entità essenziali (EE): settori più critici (energia, trasporti, bancario, sanità, PA), > 250 dipendenti o > 50M EUR — supervisione proattiva. Entità importanti (EI): settori secondari (manifattura, alimentare, postale), > 50 dipendenti o > 10M EUR — supervisione reattiva. Sanzioni diverse: 10M/2% per EE vs 7M/1,4% per EI.

Milan Cák

Modulario

📚 Pillar článok

Sicurezza e compliance in cloud ERP 2026: Guida completa per le PMI

Guida completa alla sicurezza cloud ERP nell'UE per il 2026 — ISO 27001, GDPR, NIS2, DORA, audit log, DPIA, CLOUD Act vs. quadro giuridico UE. Per le PMI europee.

Prečítať komplet →

Často kladené otázky

Come faccio a sapere se la mia azienda rientra nel campo di applicazione di NIS2?

Tre condizioni: (1) l'azienda opera in uno dei 18 settori NIS2 (energia, trasporti, bancario, sanità, acqua, infrastruttura digitale, pubblica amministrazione, spazio, manifattura, postale, rifiuti, chimica, alimentare, ricerca, produttori di dispositivi medici, fornitori digitali), (2) l'azienda ha più di 50 dipendenti O fatturato/bilancio > 10 milioni EUR (soglia 'importante') o più di 250 dipendenti O fatturato > 50 milioni EUR (soglia 'essenziale'), (3) l'azienda opera nell'UE. Se sei un fornitore critico di un'entità essenziale, puoi essere incluso anche sotto la soglia dimensionale. In caso di dubbio, consultare l'autorità nazionale (per l'Italia: ACN - Agenzia per la Cybersicurezza Nazionale).

Quali sono le sanzioni per la non conformità a NIS2?

Per le entità essenziali: fino a 10 milioni EUR o il 2% del fatturato mondiale annuo totale (il maggiore dei due). Per le entità importanti: fino a 7 milioni EUR o l'1,4% del fatturato mondiale. Sanzioni personali per i dirigenti responsabili: la direttiva consente agli Stati membri di prevedere responsabilità personale. In Italia il D.Lgs. di recepimento NIS2 prevede sanzioni amministrative e in alcuni casi responsabilità penale per i dirigenti in caso di violazioni gravi.

Qual è la differenza tra NIS2 ed entità 'essenziali' e 'importanti'?

NIS2 distingue due categorie: Entità essenziali (EE) — i settori più critici: energia, trasporti, bancario, sanità, acqua, infrastruttura digitale, pubblica amministrazione, spazio — con soglia > 250 dipendenti o > 50M EUR. Entità importanti (EI) — settori secondari: manifattura, postale, rifiuti, chimica, alimentare, fornitori digitali — con soglia > 50 dipendenti o > 10M EUR. Le EE sono soggette a supervisione proattiva (ispezioni regolari); le EI a supervisione reattiva (principalmente in risposta agli incidenti). Le sanzioni massime differiscono: 10M/2% per EE vs 7M/1,4% per EI.