NIS2 per le PMI italiane: 7 cose che il tuo fornitore non ti dice

Quando un fornitore ti dice “per NIS2 ci pensiamo noi”, sta facendo una di queste tre cose: ti sta vendendo una rassicurazione che non può mantenere; ti sta scaricando in contratto un rischio che resta tuo; oppure — più raramente — ha davvero capito la direttiva e si è organizzato. Distinguere i tre casi non è un esercizio teorico: è la differenza tra una sanzione GDPR-style sulla tua azienda e un’estate tranquilla.

Questo articolo serve a quel CIO o IT manager di una PMI italiana che ha letto cinque whitepaper, ascoltato due webinar, e si è ritrovato con meno chiarezza di prima. Niente terrorismo, niente checklist generiche: sette cose concrete, con riferimenti normativi.

1. Sei “soggetto importante” molto più facilmente di quanto pensi

Il decreto legislativo 138/2024 ha ampliato la platea ben oltre le grandi imprese. Se rientri in uno dei settori dell’allegato I o II e hai almeno 50 dipendenti o 10 milioni di euro di fatturato, sei dentro come soggetto importante. Sopra i 250 dipendenti o 50 milioni, sei soggetto essenziale — con regime sanzionatorio più severo.

Le PMI vengono cooptate in tre modi:

1. Settori critici diretti: telecomunicazioni, energia, sanità, trasporti, gestione rifiuti.
2. Servizi digitali: fornitori cloud, marketplace online, motori di ricerca — anche piccoli.
3. Catena di fornitura: se il tuo cliente è un soggetto essenziale (banca, ospedale, multiutility), ti contrattualizza le misure NIS2 a cascata. Hai una clausola di security assessment? Tra dodici mesi diventerà un audit annuale.

2. La scadenza vera era il 17 ottobre 2024, ma il calendario operativo è un altro

L’Italia ha recepito la direttiva con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. La registrazione presso ACN (Agenzia per la Cybersicurezza Nazionale) ha una finestra che si chiude a metà 2025 per i nuovi obblighi pieni. Ma l’errore strategico è considerare la scadenza burocratica come scadenza tecnica:

• Registrazione ACN: amministrativa, ma genera il tuo profilo di rischio.
• Misure tecniche minime: hanno applicabilità immediata. Una violazione oggi è già sanzionabile.
• Reporting incidenti: 24 ore per early warning, 72 ore per notifica, 1 mese per relazione finale.

Se il tuo MSSP non ha già un runbook per il timer da 24 ore, sappi che il timer parte alla scoperta — non alla risoluzione.

3. Le clausole “saas standard” non coprono NIS2 (e i fornitori lo sanno)

Apri il MSA del tuo principale fornitore cloud o SaaS. Cerca: NIS2, direttiva 2022/2555, D.Lgs. 138/2024. Probabilità che siano menzionati esplicitamente: bassa. Probabilità che il contratto faccia riferimento a “industry-standard security measures” o “reasonable efforts”: altissima.

Una clausola di reasonable efforts è giuridicamente più debole di un obbligo di risultato. In una contestazione ACN, “ho fatto del mio meglio” non sposta il rischio dal soggetto obbligato.

Tre clausole da pretendere in fase di rinnovo:

• Notifica incidenti contrattualizzata con SLA inferiore a 12 ore verso di te (per darti tempo sul tuo 24h).
• Right to audit o accettazione di certificazioni equivalenti (ISO 27001, SOC2 Type II, ENS) con copia recente disponibile.
• Data residency e legal regime chiari: dove sono i dati, sotto quale giurisdizione, in caso di richiesta extra-UE qual è la policy.

4. La governance personale del board è la novità che cambia tutto

L’articolo 23 della direttiva — recepito nell’art. 23 del decreto — introduce la responsabilità diretta degli organi di amministrazione. Tradotto: l’amministratore delegato non può più dire “non sono un tecnico, mi fido dell’IT”.

Conseguenze operative:

• Formazione obbligatoria documentata per il board (non bastano webinar generici).
• Approvazione formale delle misure di gestione del rischio cyber.
• In caso di violazione grave, sanzioni amministrative anche al singolo amministratore.

La buona notizia è che gli assicuratori D&O stanno aggiornando le polizze proprio su questo. La cattiva è che lo stanno facendo aumentando i premi del 20–40% rispetto al 2023.

5. Le 10 misure minime sono meno tecniche di quanto sembri

L’art. 24 del decreto elenca dieci aree obbligatorie. Sette su dieci sono di processo, non di prodotto:

1. Policy di analisi del rischio e sicurezza dei sistemi informativi
2. Gestione degli incidenti
3. Continuità operativa e gestione delle crisi
4. Sicurezza della supply chain
5. Sicurezza nell’acquisizione, sviluppo e manutenzione
6. Policy e procedure per valutare l’efficacia delle misure
7. Pratiche di igiene informatica di base e formazione
8. Crittografia
9. Sicurezza del personale, controllo degli accessi, gestione degli asset
10. Multi-factor authentication, comunicazioni sicure di emergenza

Se la tua roadmap NIS2 è solo “firewall di nuova generazione + EDR + SIEM”, hai coperto i punti 8 e 9, sei monco sui 7 e 10, e non hai toccato 1, 2, 3, 4, 5, 6.

6. Il vero costo nascosto è la supply chain

Il punto 4 sopra è l’iceberg sotto la linea di galleggiamento. NIS2 ti chiede di valutare la postura dei tuoi fornitori critici. Ovvero:

• Censire chi tratta dati o eroga servizi essenziali per te.
• Stabilire livelli di criticità.
• Imporre clausole contrattuali coerenti con il loro livello.
• Riesaminare periodicamente (almeno annualmente).

Costo operativo realistico per una PMI con ~30 fornitori IT principali: 80–120 giornate/uomo il primo anno, 30–40 a regime. Non è un progetto IT, è un progetto trasversale che tocca legale, acquisti, IT e business owner.

7. ACN può visitarti e può richiedere documenti. Senza preavviso

L’Agenzia per la Cybersicurezza Nazionale ha potere ispettivo. Può:

• Richiedere documentazione su misure tecniche e organizzative (10 giorni per rispondere).
• Disporre audit di parte terza a tue spese.
• Imporre misure correttive specifiche.
• Sanzionare fino a 10 milioni di euro o 2% del fatturato globale (soggetti essenziali) e 7 milioni o 1,4% (importanti).

Tradotto in pratica: se non hai oggi una cartella /compliance/nis2/ con policy firmate, registri incidenti, contratti aggiornati e tracce di formazione, una ispezione ti trova impreparato.

---

Cosa fare lunedì mattina. Non comprare un altro prodotto. Apri il tuo registro fornitori, classifica i tre più critici per impatto su NIS2, e prendi un’ora di legale per leggere insieme la sezione “Security” dei loro contratti. Tutto il resto viene dopo. Te lo dico io.