Cybersecurity / Normativa

    NIS2 e PMI italiane: cosa scade il 30 giugno 2026 e cosa fare entro ottobre

    Le scadenze ACN del 30 giugno e 31 ottobre 2026, quando una PMI rientra nel perimetro (anche come fornitore) e una roadmap operativa in 18 settimane.

    Pubblicato il 22 giugno 2026Cybersecurity Tempo di lettura: 9 minuti
    NIS2: tre date che ogni PMI italiana dovrebbe tenere d'occhio nel 2026

    Se gestisci una PMI italiana, c'è una scadenza che probabilmente non hai in agenda e che si chiude tra otto giorni: il 30 giugno 2026. Secondo il calendario aggiornato dell'ACN, entro quella data alcuni soggetti coinvolti nel perimetro NIS2 sono tenuti a completare adempimenti iniziali di categorizzazione delle proprie attività e dei servizi sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale. È un primo passaggio informativo, ed è la ragione per cui molte PMI italiane stanno scoprendo in queste settimane di poter essere coinvolte — direttamente o indirettamente — nel perimetro NIS2.

    Questa guida ti serve per tre cose: capire cosa scade davvero a giugno, capire se la tua PMI è in perimetro (direttamente o come fornitore), e portarti a casa una roadmap in 5 step per arrivare alla scadenza del 31 ottobre 2026 senza affanno.

    Cos'è la NIS2 e perché riguarda anche le PMI

    La NIS2 è la direttiva europea (UE) 2022/2555 che alza il livello minimo di cybersicurezza in tutta l'Unione. In Italia è stata recepita con il decreto legislativo 4 settembre 2024, n. 138 (D.Lgs. 138/2024), entrato in vigore il 16 ottobre 2024. L'autorità competente è l'ACN, che ha il compito di tenere l'elenco dei soggetti obbligati, definire le misure di sicurezza e vigilare sull'applicazione.

    La NIS2 distingue due categorie di soggetti:

    • Soggetti essenziali — grandi aziende (oltre 250 dipendenti) nei settori più critici: energia, trasporti, banche e infrastrutture finanziarie, sanità, acqua potabile e reflua, infrastrutture digitali (cloud, data center, DNS, IXP), gestione dei servizi TIC business-to-business, pubblica amministrazione, spazio.
    • Soggetti importanti — aziende medie (50–250 dipendenti, oltre 10 milioni di fatturato) negli stessi settori più altri: poste, gestione rifiuti, chimica, alimentare, manifatturiero specifico (medicale, elettronico, ottico, macchinari, veicoli), provider digitali e ricerca.

    Tre categorie aggiuntive vengono assoggettate anche se di dimensione minore: chi è fornitore unico di un servizio essenziale, le pubbliche amministrazioni in elenco, e i soggetti identificati come critici dall'autorità.

    Il punto che cambia tutto per le PMI è il quarto: l'estensione a catena tramite la supply chain. La NIS2 prevede che i soggetti essenziali e importanti gestiscano il rischio della propria catena di fornitura. In pratica, una grande azienda in perimetro NIS2 tenderà a richiedere ai propri fornitori IT, di servizi gestiti, di logistica critica o di manutenzione un livello di sicurezza coerente. Anche se tu, fornitore, non sei direttamente in elenco, la normativa può finire per riguardarti indirettamente, attraverso requisiti contrattuali, clausole e controlli di sicurezza. Una strategia di cybersecurity coerente diventa quindi non solo questione tecnica, ma anche di posizionamento commerciale.

    Il calendario NIS2 2026 in Italia

    Le scadenze 2026 sono quelle che trasformano la NIS2 da impianto formale a impianto operativo. Il quadro principale è quello che segue (le date sono quelle indicate dal calendario aggiornato dell'ACN: si raccomanda di verificare sempre il portale ufficiale per i dettagli applicabili al proprio caso).

    Data Scadenza A chi si applica
    15 gennaio 2026 Piena operatività dell'obbligo di notifica degli incidenti significativi al CSIRT Italia (pre-notifica 24h, notifica 72h, relazione finale 1 mese) Soggetti già in elenco 2025
    1° gennaio – 28 febbraio 2026 Finestra di registrazione e aggiornamento sul Portale ACN (art. 7 D.Lgs. 138/2024) Tutti i soggetti NIS2
    1° maggio – 30 giugno 2026 Adempimenti iniziali di categorizzazione di attività e servizi sulla piattaforma ACN Soggetti coinvolti nel perimetro NIS2
    31 ottobre 2026 Prima scadenza operativa per l'adozione delle misure di sicurezza previste dalla disciplina ACN Soggetti già censiti nel perimetro
    1° gennaio 2027 Avvio dell'obbligo di notifica incidenti Soggetti inseriti per la prima volta nel 2026
    31 luglio 2027 Scadenza successiva per l'adozione delle misure di sicurezza Soggetti inseriti successivamente nel perimetro

    Il punto che molti decisori non hanno ancora messo a fuoco è che la scadenza del 30 giugno non è puramente formale. Per i soggetti coinvolti, completare gli adempimenti iniziali sulla piattaforma è propedeutico alla definizione, nei mesi successivi, delle misure di sicurezza proporzionali al ruolo svolto. Saltare la finestra significa accumulare ritardo prima ancora di iniziare a parlare di sicurezza tecnica.

    Il caso "fornitore critico": perché molte PMI scoprono di rientrare nel perimetro

    È in questo passaggio che si concentra la novità più rilevante per le PMI italiane. La disciplina ACN richiede ai soggetti NIS2 di mappare la propria catena di approvvigionamento e di comunicare all'Agenzia i fornitori che, per il ruolo svolto, potrebbero a loro volta essere qualificati come essenziali o importanti ai sensi dell'art. 3, comma 9, lettera f) del decreto.

    In pratica, le grandi aziende in perimetro NIS2 stanno costruendo in queste settimane le loro liste di fornitori critici. Se sei una PMI che:

    • fornisce servizi IT gestiti (MSP, MSSP) a un soggetto NIS2;
    • gestisce data center, cloud, DNS o servizi digitali B2B;
    • fa manutenzione di sistemi industriali, OT, impianti critici;
    • fornisce logistica essenziale o trasporti per soggetti in settori NIS2;
    • eroga servizi di sicurezza informatica o di consulenza tecnica continuativa;

    allora con buona probabilità la normativa NIS2 ti riguarderà indirettamente. Gli effetti pratici sono concreti:

    • Clausole contrattuali NIS2 nei rinnovi e nelle nuove forniture (alcuni soggetti stanno già inserendo addendum di compliance);
    • Richieste di audit sulla tua sicurezza informatica, anche se sei una piccola realtà;
    • Requisiti tecnici minimi che dovrai dimostrare di rispettare;
    • Rischio di esclusione dalle filiere di soggetti NIS2 se non ti adegui.

    Il messaggio operativo per una PMI fornitrice è semplice: non aspettare di essere contattato dal tuo cliente NIS2. Quando arriverà la richiesta — e arriverà — partire da zero ti farà perdere settimane. Iniziare ora ti mette in posizione di vantaggio competitivo verso i tuoi concorrenti meno preparati.

    Le aree minime di sicurezza richieste dalla NIS2

    La normativa NIS2 individua dieci macro-aree di sicurezza che i soggetti coinvolti sono tenuti a presidiare e che la disciplina ACN traduce in misure operative. Sono il riferimento utile per qualsiasi gap analysis aziendale:

    1. Analisi del rischio e politiche di sicurezza delle informazioni
    2. Gestione degli incidenti: identificazione, contenimento, ripristino, lessons learned
    3. Continuità operativa: backup, disaster recovery, gestione delle crisi
    4. Sicurezza della catena di approvvigionamento: vendor risk management, clausole contrattuali
    5. Sicurezza nell'acquisizione, sviluppo e manutenzione di reti e sistemi informatici, inclusa la gestione delle vulnerabilità
    6. Politiche e procedure per valutare l'efficacia delle misure di cybersicurezza
    7. Pratiche di base di igiene cibernetica e formazione del personale
    8. Politiche e procedure sull'uso della crittografia e, dove appropriato, della cifratura
    9. Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset
    10. Autenticazione multifattore o continua, comunicazioni vocali, video e testo protette, comunicazioni di emergenza sicure

    La buona notizia per le PMI: queste dieci aree non sono un trattato di sicurezza enterprise. Sono i fondamentali che ogni azienda ben gestita dovrebbe avere già, anche fuori dall'obbligo normativo. Chi ha già fatto un percorso serio di cybersecurity nei due-tre anni precedenti si troverà a colmare gap, non a partire da zero.

    Le sanzioni: non solo multe

    Il regime sanzionatorio della NIS2 (art. 38 del D.Lgs. 138/2024) prevede sanzioni significative, differenziate tra soggetti essenziali e importanti e commisurate anche al fatturato annuo dell'azienda.

    Le multe però sono solo la punta dell'iceberg. Ci sono tre conseguenze meno discusse ma più dolorose:

    • Responsabilità diretta del board (art. 23 D.Lgs. 138/2024): gli organi di vertice sono personalmente responsabili dell'adeguamento. Non è più un tema che si può delegare totalmente all'IT.
    • Esclusione dalle filiere: i soggetti NIS2 hanno l'obbligo di garantire la sicurezza dei propri fornitori. Un fornitore non conforme verrà progressivamente sostituito.
    • Provvedimenti dell'autorità: l'ACN può imporre ispezioni, ordini correttivi, e in casi gravi sospensioni dell'attività.

    Per una PMI il rischio reale non è la sanzione massima, che difficilmente verrà comminata in prima istanza. È la perdita silenziosa di contratti con i clienti grandi che, per essere a loro volta in regola, smettono di lavorare con fornitori non conformi.

    Roadmap pratica per arrivare al 31 ottobre

    Le esperienze di adeguamento delle prime aziende italiane convergono su una roadmap operativa di circa 18 settimane. Da fine giugno a fine ottobre restano poco più di 18 settimane: la finestra è stretta ma ancora fattibile, a condizione di partire subito.

    1. Verifica del perimetro (settimane 1-2)

    Stabilisci se la tua azienda è soggetta NIS2 direttamente (sei in elenco ACN?) o indirettamente (sei fornitore di un soggetto NIS2?). Per il secondo caso, contatta i tuoi principali clienti aziendali e chiedi se ti hanno incluso nelle loro mappature. Aspettare di scoprirlo via clausola contrattuale è già un ritardo.

    2. Mappatura e assessment (settimane 3-6)

    Inventario degli asset (sistemi, dati, fornitori, processi), identificazione dei servizi essenziali e dei sistemi che li supportano. Senza questa fase, le misure di sicurezza si applicano nel vuoto.

    3. Gap analysis (settimane 7-10)

    Confronto tra le tue misure attuali e le dieci aree richieste dalla normativa. Il risultato è una lista priorizzata di gap, ciascuno con stima di effort e costo.

    4. Remediation plan e implementazione (settimane 11-16)

    Esecuzione dei piani: aggiornamento di policy, attivazione di MFA, segmentazione della rete, definizione del piano di incident response, formazione del personale, clausole NIS2 nei contratti coi fornitori. Questa è la fase più lunga e quella in cui la maggior parte delle PMI sottostima il tempo necessario — vedere anche la nostra analisi sull'allarme ransomware Qilin, che descrive misure tecniche perfettamente sovrapponibili.

    5. Documentazione e prova di evidenze (settimane 17-18)

    ACN non verifica solo che le misure esistano: verifica che siano documentate con evidenze. Procedure scritte, log di audit, registri di incidenti, evidenze di formazione. Una misura senza documentazione è, dal punto di vista della conformità, come se non esistesse.

    Scarica la checklist NIS2 per fornitori critici

    Una guida operativa in PDF con i requisiti minimi che i clienti NIS2 stanno già chiedendo ai propri fornitori.

    Richiedi la checklist

    Cosa fare negli ultimi otto giorni se non sei ancora pronto

    Se leggi questo articolo nella settimana del 22 giugno 2026 e non hai ancora iniziato, queste sono le tre azioni a impatto più alto da fare entro la scadenza del 30 giugno:

    1. Verifica se sei in elenco accedendo al portale ACN. Se non lo sei direttamente, prepara un'email da inviare ai tuoi primi 10 clienti chiedendo esplicitamente se ti hanno incluso come fornitore critico.
    2. Identifica il responsabile interno: la NIS2 richiede un Referente CSIRT (per chi è in perimetro) o quantomeno una figura interna responsabile della cybersecurity. Senza qualcuno cui assegnare il dossier, le settimane successive si perdono.
    3. Avvia la gap analysis in parallelo. Anche un'analisi preliminare in due settimane vale più di un piano perfetto a settembre.

    Le ultime sei-otto settimane prima della scadenza di ottobre saranno il vero collo di bottiglia. Tutti i provider e tutti i consulenti italiani avranno l'agenda piena. Vale anche un altro tema collegato che approfondiremo presto: l'uso non controllato di strumenti AI in azienda, che incrocia direttamente la gestione dei dati e la sicurezza richieste dalla NIS2.

    Domande frequenti

    La mia PMI ha meno di 50 dipendenti. Sono comunque tenuto alla NIS2?

    In linea generale no: la NIS2 si applica a partire dalle medie imprese (oltre 50 dipendenti e oltre 10 milioni di fatturato) in 18 settori critici. Tuttavia, sei coinvolto se sei fornitore unico di un servizio essenziale, identificato come critico dall'autorità, oppure fornitore di un soggetto NIS2 che ti include nella propria mappa della supply chain. Quest'ultimo caso è oggi il più frequente per le piccole PMI italiane.

    Cosa scade esattamente il 30 giugno 2026?

    Secondo il calendario aggiornato dell'ACN, entro quella data alcuni soggetti coinvolti nel perimetro NIS2 sono tenuti a completare adempimenti iniziali di categorizzazione delle proprie attività e dei servizi sulla piattaforma dell'Agenzia. È un primo passaggio informativo, propedeutico alla definizione delle misure di sicurezza proporzionali nei mesi successivi. Per i dettagli specifici applicabili al proprio caso si rimanda al portale ACN.

    Cosa scade il 31 ottobre 2026?

    Per i soggetti già censiti nel perimetro NIS2, il 31 ottobre 2026 è la prima scadenza operativa per l'adozione delle misure di sicurezza previste dalla disciplina ACN. È la scadenza più impegnativa del 2026 perché richiede risultati tecnici e organizzativi documentabili, non solo dichiarazioni.

    Quali sono le sanzioni per chi non si adegua?

    L'art. 38 del D.Lgs. 138/2024 prevede sanzioni significative, differenziate tra soggetti essenziali e importanti e commisurate al fatturato annuo dell'azienda. A queste si aggiungono la responsabilità diretta del board (art. 23), possibili ispezioni e ordini correttivi, e — in pratica — la perdita di contratti con clienti che hanno l'obbligo di gestire il rischio di supply chain.

    La NIS2 obbliga anche la mia PMI che fornisce servizi IT a un soggetto NIS2?

    Non automaticamente in senso giuridico diretto, ma operativamente sì. I soggetti NIS2 devono gestire la sicurezza della propria catena di fornitura e ti chiederanno via contratto il rispetto di requisiti minimi, audit periodici e clausole specifiche. Senza adeguarti, il rischio concreto è la non-rinnovabilità dei contratti.

    Quanto costa adeguarsi alla NIS2 per una PMI italiana?

    Dipende dal punto di partenza. Per una PMI che ha già un livello base di igiene cibernetica (antivirus, backup, qualche policy), un percorso completo in 18 settimane può costare nell'ordine delle decine di migliaia di euro tra consulenza, tecnologie e formazione. Per una PMI che parte da zero, l'investimento è significativamente più alto. In entrambi i casi è inferiore al costo di un singolo incidente serio o della perdita di un grande cliente.

    Conclusione: la finestra utile si chiude in otto giorni

    Il 2026 è l'anno in cui la NIS2 smette di essere "una direttiva di cui si parla" e diventa una serie di obblighi misurabili, con scadenze e controlli. La scadenza del 30 giugno non è la più impegnativa dal punto di vista tecnico, ma è la prima che separa chi ha iniziato a muoversi da chi resterà indietro. Quella del 31 ottobre è il vero stress-test, e chi ci arriva senza una roadmap chiara rischia di trovarsi a improvvisare nell'ultimo mese.

    Per una PMI italiana, la sfida non è solo normativa. È strategica: dimostrare ai propri clienti grandi di essere un fornitore affidabile, su cui possono costruire la loro conformità senza ansie.

    Non sei sicuro di rientrare nel perimetro NIS2, direttamente o come fornitore? Delta Infor effettua una gap analysis NIS2 in 3 settimane: verifichiamo il tuo posizionamento, mappiamo i gap rispetto alle aree richieste dalla normativa, e ti consegniamo un piano di adeguamento priorizzato con stima di tempi e costi. In tempo utile per la scadenza di ottobre.

    Continua a leggere

    Delta Infor

    La tua privacy è importante

    Utilizziamo cookie tecnici necessari al funzionamento del sito e, previo tuo consenso, cookie analitici per migliorare la tua esperienza. Per maggiori informazioni consulta la nostra Cookie Policy e l'Informativa Privacy.

    Cookie NecessariSempre attivi

    Essenziali per il funzionamento del sito. Includono autenticazione, sessione e preferenze cookie. Non possono essere disattivati.

    Cookie AnaliticiGoogle Analytics

    Ci aiutano a capire come i visitatori interagiscono con il sito tramite Google Analytics. I dati sono raccolti in forma anonima con IP anonimizzato.

    Cookie di MarketingNon attivi

    Utilizzati per mostrare annunci e contenuti pertinenti ai tuoi interessi. Al momento non sono attivi ma potranno essere introdotti in futuro.