Vai al contenuto
Cybersecurity normativa

Autovalutazione NIS2 per PMI italiane

Wizard di 7 domande per capire se la tua impresa ricade nella Direttiva UE 2022/2555 recepita in Italia con il D.Lgs. 4 settembre 2024 n. 138. In meno di cinque minuti ottieni una classificazione preliminare (essenziale, importante o non in scope), i riferimenti normativi applicabili, una checklist operativa 90 giorni e un report stampabile. Tutto, nessun dato esce dal browser.

La NIS2 non è la stessa cosa della NIS1. La direttiva del 2022 (recepita in Italia il 16 ottobre 2024) ha allargato significativamente la platea dei soggetti obbligati: passa da circa 500 a stima ACN 5.000-10.000 enti italiani in scope, includendo non solo i tradizionali Operatori di Servizi Essenziali ma anche manifattura, alimentari, ricerca, servizi digitali e fornitori critici della catena di approvvigionamento ICT.

Questo wizard non sostituisce un assessment formale, che richiede analisi del registro ACN, della catena di subfornitura, del livello di criticità e della governance. Lo scopo è darti un'indicazione preliminare in 5 minuti per capire se il tema vale un approfondimento.

Come usare il wizard

  1. 1

    Rispondi alle 7 domande

    Procedi linearmente, ogni domanda ha un help inline. Se non sei sicuro, scegli 'Non so' dove disponibile: il sistema interpreta come segnale di borderline. Le risposte non vengono inviate da nessuna parte: tutto resta nel browser.

  2. 2

    Leggi il risultato

    Output: classificazione (essenziale, importante, non in scope, borderline) + riferimenti normativi specifici (articoli del D.Lgs. 138/2024) + nota fornitori critici se applicabile + nota borderline se applicabile.

  3. 3

    Scarica la checklist 90 giorni

    12 attività operative concrete con descrizione di cosa fare. Non sostituiscono un assessment formale ma danno una traccia di lavoro per i mesi successivi all'adeguamento.

  4. 4

    Stampa o copia il report

    Bottone 'Stampa o salva PDF' apre il print dialog del browser, da cui puoi salvare il report come PDF (stylesheet print-ottimizzato) o stamparlo. In alternativa 'Copia report' mette un riepilogo testuale negli appunti per integrarlo in mail o doc interni.

Perché un wizard di 7 domande e non una check più approfondita

Triage prima di assessment. Lo scope NIS2 è una materia che richiede analisi puntuale della catena di subfornitura, dei contratti, della designazione formale e della giurisdizione di stabilimento. Un assessment serio richiede 20-40 ore di lavoro qualificato e accesso a documentazione interna che il wizard non vede. Lo scopo qui è diverso: in 5 minuti capire se vale la pena investire in un assessment serio, oppure no. Per il 60-70% delle PMI italiane la risposta è chiara dopo 3 domande (settore + dimensione + fatturato).

Casi semplici vs casi complessi. Le PMI dei settori non in elenco e con meno di 50 dipendenti escono al primo round come non in scope. Gli enti dei settori prioritari (energia, banche, sanità, infrastrutture digitali) con dimensione media o grande escono come essenziali al secondo round. Restano i casi borderline (micro/piccola in settori essenziali, fornitore critico, trust service di piccole dimensioni, transizione PMI->grande): per questi servono ore di consulenza, non un wizard.

Privacy by design. Le risposte a domande del tipo 'la tua impresa eroga servizi essenziali in settore X' sono tecnicamente dati di natura strategico-aziendale. Inviarle a un server di terzi solo per ottenere un risultato sì/no è una scelta progettuale opaca, oltre che inutilmente esposta. Il wizard è interamente: il calcolo avviene in JavaScript nel browser, nessuna richiesta XHR, nessun cookie analitico, nessun log lato server.

Fornitori critici, l'effetto domino. La novità maggiore della NIS2 rispetto alla NIS1 è l'introduzione esplicita degli obblighi sulla supply chain (art. 21 c.2 lett. d). Significa che anche se non sei in scope, se sei fornitore critico di un ente NIS2 (manutenzione, MSP, hosting, sviluppo software custom) i tuoi clienti devono riversarti contrattualmente requisiti di sicurezza. In pratica: anche fuori scope, subisci aspetti dell'adeguamento attraverso i contratti. Vale la pena anticipare e farsi trovare pronti, sia per non perdere clienti sia per posizionarsi come fornitore qualificato cyber.

Glossario

Termini tecnici usati in questa pagina, spiegati in due righe.

Soggetto essenziale #
Ente che opera in uno dei settori dell'Allegato I del D.Lgs. 138/2024 (energia, trasporti, banche, finanza, sanità, acqua, infrastruttura digitale, ICT B2B, PA centrale, spazio) e supera le soglie dimensionali (medio o grande). Soggetto a vigilanza ex ante.
Soggetto importante #
Ente che opera in uno dei settori dell'Allegato II del D.Lgs. 138/2024 (servizi postali, rifiuti, chimica, alimenti, manifattura, servizi digitali, ricerca) e supera le soglie dimensionali. Soggetto a vigilanza ex post.
Soglie dimensionali NIS2 #
Riprende la Raccomandazione UE 2003/361/CE: medio = 50-249 dipendenti o 10-50M EUR fatturato; grande = oltre 250 dipendenti o oltre 50M EUR fatturato. Sotto = micro/piccola, esclusa salvo eccezioni.
Eccezioni dimensionali #
Alcuni soggetti rientrano in NIS2 indipendentemente dalla dimensione: registrar e registry di TLD, fornitori di servizi DNS, IXP, fornitori di servizi fiduciari qualificati eIDAS, PA centrale e regionale (art. 3 c.1 D.Lgs. 138/2024).
ACN #
Agenzia per la Cybersicurezza Nazionale, autorità competente NIS2 in Italia. Riceve le registrazioni, gestisce le notifiche di incidente, esercita poteri ispettivi e sanzionatori.
Incidente significativo #
Evento che ha o può avere impatto operativo importante sulla fornitura del servizio o impatti finanziari/reputazionali rilevanti. La definizione precisa è in atti dell'ACN. Reporting: early warning entro 24h, notifica completa entro 72h, report finale entro 30 giorni.
Misure ex art. 24 #
Le 11 categorie di misure tecniche e organizzative obbligatorie: politiche di sicurezza, gestione incidenti, business continuity, supply chain, sicurezza acquisti/dev/ops, gestione vulnerabilità, igiene cyber/training, crittografia, sicurezza HR, controllo accessi/MFA, sicurezza comunicazioni.

Domande frequenti sulla NIS2 in Italia

La NIS2 si applica alle micro imprese (meno di 10 dipendenti)?
Di norma no, ma ci sono eccezioni. Le micro imprese sono escluse per default dal criterio dimensionale (art. 3 c.1). Restano in scope a prescindere dalla dimensione: registrar/registry di TLD, fornitori DNS, IXP, fornitori di servizi fiduciari qualificati eIDAS, fornitori di reti/servizi di comunicazione elettronica pubblicamente disponibili, alcune PA. Verifica anche se sei fornitore critico ICT di un ente NIS2 (l'effetto domino contrattuale è reale).
Mio cliente NIS2 mi chiede di certificarmi ISO 27001. E' obbligatorio per la supply chain?
L'ISO 27001 non è esplicitamente richiesta dal D.Lgs. 138/2024, ma è una scelta diffusa per dimostrare l'adeguatezza delle misure dell'art. 24. Ti puoi conformare anche con altre evidenze (qualifica ACN per cloud, SOC 2 Type II, audit indipendenti, gap analysis documentata). La leva contrattuale è del cliente: se in gara è specificata ISO 27001 e tu non l'hai, perdi la gara. Per i fornitori critici è di fatto un investimento di posizionamento competitivo.
Quali sono le sanzioni reali della NIS2 in Italia?
Per i soggetti essenziali: amministrative pecuniarie fino a 10 milioni di euro o 2% del fatturato globale dell'esercizio precedente, il maggiore dei due (art. 38 c.1 D.Lgs. 138/2024). Per i soggetti importanti: fino a 7 milioni o 1,4% del fatturato globale (art. 38 c.2). Si aggiungono responsabilità del management (sospensione temporanea dirigenti per soggetti essenziali, art. 38 c.5) e segnalazioni a CONSOB/Banca d'Italia per società quotate o regolate.
Devo registrarmi sulla piattaforma ACN anche se ritengo di non essere in scope?
No, la registrazione è solo per i soggetti che si autoclassificano in scope. Tuttavia se l'ACN ti contatta per chiarimenti (es. perché segnalato da un cliente come fornitore critico, o perché il tuo settore è ambiguo), è interesse tuo rispondere documentando l'autovalutazione. Conserva quindi la traccia del ragionamento di esclusione (questo wizard può servire come traccia preliminare, integrata da analisi puntuale).
La NIS2 sostituisce il GDPR?
No, sono complementari. GDPR copre il trattamento dati personali (qualunque ente che tratti dati personali UE), NIS2 copre la cybersicurezza dei sistemi e servizi (settori specifici). Si toccano sui breach di dati personali, dove vale la doppia notifica: al Garante Privacy ex GDPR e all'ACN ex NIS2 se l'ente è in scope NIS2 e l'incidente è significativo cyber. I template di notifica e i tempi sono diversi.
Sono uno studio professionale (commercialista, avvocato): rientro in NIS2?
Generalmente no: gli studi professionali non sono in elenco fra i settori NIS2 (Allegato I né II). Restano in scope GDPR per il trattamento dati clienti. Eccezione: se gestisci infrastrutture IT critiche per clienti NIS2 (es. cloud privato, gestione tramite terze parti), potresti ricadere come fornitore critico ICT, ma solo se l'attività di MSP è strutturata e principale.
Sono manifattura piccola (40 dipendenti, 8M EUR fatturato): sono in scope?
No, sei sotto soglia su entrambi i criteri (dipendenti < 50 E fatturato < 10M). La NIS2 applica la doppia esclusione PMI: per essere in scope serve superare uno dei due. Restano due caveat: (1) se sei fornitore critico ICT per un ente NIS2 più grande, subirai obblighi contrattuali; (2) se cresci sopra soglia (50 dipendenti o 10M EUR), il giorno dell'esercizio successivo sei in scope. Imposta un alert sui KPI dimensionali.
Quanto tempo ci vuole per adeguarsi alla NIS2 da zero?
Stima realistica per una PMI medio-grande senza maturità cyber pregressa: 9-18 mesi di lavoro distribuito. Quick wins nei primi 30 giorni (registrazione ACN, designazione referente, MFA su admin). Misure di base nei 3 mesi (risk assessment, politica di sicurezza, BC/DR). Misure avanzate nei 6-12 mesi (supply chain, vulnerability management, training strutturato). Operatività regime nei 12-18 mesi (audit, miglioramento continuo, certificazioni).
Quali certificazioni o qualificazioni dimostrano la conformità NIS2?
Non esiste una certificazione NIS2 ufficiale. Le evidenze tipiche: ISO 27001 (sistema di gestione sicurezza informazioni), ISO 22301 (continuità operativa), SOC 2 Type II (controlli di servizio), qualifica ACN per servizi cloud (per fornitori PA), Cybersecurity Maturity Assessment di ENISA. Per i soggetti essenziali è in arrivo (decreti attuativi) un'eventuale schema di certificazione cyber europeo (EUCC, EUCS) che potrà essere richiesto su determinate categorie di prodotto/servizio.
Posso fare l'autovalutazione da solo o devo per forza coinvolgere un consulente?
Per i casi semplici puoi farla da solo, soprattutto se le risposte ai primi tre criteri (settore, dipendenti, fatturato) sono chiaramente fuori scope. Per i casi borderline (subfornitura critica, settore ambiguo, transizione dimensionale, cross-border) il rischio di errore di scoping è significativo: la sanzione di non aver registrato un soggetto in scope è amministrativa, ma l'esposizione reputazionale è alta. In quei casi un parere qualificato di consulente cyber con esperienza NIS2 italiano vale 1-2 giorni di lavoro.

Vuoi un'analisi NIS2 approfondita per la tua PMI?

Questo wizard fornisce un triage. Se il risultato è 'essenziale', 'importante' o 'borderline', il passo successivo è un'analisi puntuale: scope reale, gap analysis, piano di adeguamento 90/180/365 giorni, allineamento ai controlli ENISA e ACN. Lavoro con PMI italiane su NIS2, GDPR e ISO 27001.

Analisi NIS2 per la tua PMI

Vuoi una stima realistica per il tuo progetto?

Wizard di 7 domande, 2 minuti, gratuito. Output: range di giorni-uomo, range di prezzo orientativo e raccomandazione di ingaggio. Tariffa di riferimento 300 euro al giorno. Pensato per progetti backend custom, integrazioni, audit di sicurezza o automazione AI.

Calcola il preventivo