CyberTotem
Tutti gli articoli
NIS2compliancePMI

NIS2: la guida completa per le PMI italiane

Tutto quello che una piccola o media impresa deve sapere sulla Direttiva NIS2: chi è obbligato, le sanzioni, gli obblighi concreti e come adeguarsi.

Team CyberTotem

La Direttiva NIS2 (Direttiva UE 2022/2555) è entrata in vigore nell'Unione Europea il 16 gennaio 2023 e ha sostituito la precedente NIS1 del 2016. In Italia è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 18 ottobre 2024. Molte PMI si trovano ora a dover rispettare obblighi nuovi — tra cui la formazione obbligatoria del personale — senza sapere da dove iniziare.

In questa guida trovi una panoramica pratica e verificabile.

Chi è obbligato?

La NIS2 si applica alle organizzazioni classificate come soggetti essenziali o soggetti importanti operanti in settori considerati critici per l'UE.

Settori essenziali (allegato I alla direttiva): energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT B2B, pubblica amministrazione, spazio.

Settori importanti (allegato II): servizi postali, gestione rifiuti, produzione e distribuzione di prodotti chimici, produzione di dispositivi medici, produzione di computer ed elettronici, fornitura di servizi digitali, ricerca.

Soglie dimensionali: la direttiva si applica in generale alle medie e grandi imprese — ovvero con almeno 50 dipendenti o fatturato annuo superiore a 10 milioni di euro. Le micro e piccole imprese (sotto queste soglie) sono generalmente escluse, salvo eccezioni per settori specifici.

Attenzione supply chain: anche le PMI che non superano le soglie dimensionali possono trovarsi indirettamente vincolate ai requisiti NIS2 tramite i contratti con clienti soggetti essenziali, che scaricano gli obblighi di sicurezza verso i propri fornitori.

Cosa prevede la NIS2 in materia di formazione?

L'articolo 21 della direttiva (recepito nell'Art. 24 del D.Lgs. 138/2024) richiede alle organizzazioni di adottare misure di gestione del rischio che includono esplicitamente, al punto (g):

"pratiche di igiene informatica di base e formazione in materia di cybersicurezza"

Non è sufficiente un corso una-tantum: la formazione deve essere periodica, documentata e coprire tutti i livelli dell'organizzazione. L'Art. 20 (Art. 23 nel decreto italiano) aggiunge un obbligo specifico per i dirigenti e gli organi di gestione, che devono ricevere formazione separata e possono essere ritenuti personalmente responsabili.

Le sanzioni previste

Le sanzioni sono calcolate sul fatturato annuo globale dell'organizzazione:

| Tipo di soggetto | Sanzione massima | |---|---| | Soggetti essenziali | 10 milioni € o 2% del fatturato annuo globale (si applica il maggiore) | | Soggetti importanti | 7 milioni € o 1,4% del fatturato annuo globale (si applica il maggiore) |

L'autorità competente in Italia è l'ACN (Agenzia per la Cybersicurezza Nazionale), che ha anche poteri di ispezione e di audit.

Il piano pratico in 4 passi

1. Verifica se sei soggetto NIS2

Controlla settore di appartenenza e dimensione. Usa lo strumento di check gratuito di CyberTotem per una prima valutazione, o consulta le FAQ ufficiali ACN su acn.gov.it.

2. Registrati sulla piattaforma ACN

Le organizzazioni soggette devono registrarsi sulla piattaforma ACN come soggetti NIS2 entro le scadenze previste. Serve un rappresentante legale con SPID o CNS.

3. Conduci una gap analysis

Valuta lo stato attuale della tua sicurezza informatica rispetto ai 10 requisiti dell'Art. 21. Il Check NIS2 gratuito di CyberTotem copre le 6 aree principali e ti fornisce un report con le priorità.

4. Avvia la formazione documentata del personale

La formazione è il requisito più verificabile in fase di audit: esiste un registro di chi ha fatto cosa e quando?

La formazione deve essere:

  • Periodica (la direttiva non fissa una frequenza minima, ma la prassi indica almeno mensile)
  • Specifica per i temi NIS2 (phishing, gestione password, segnalazione incidenti, dispositivi)
  • Documentata con attestati individuali

Come CyberTotem supporta la compliance NIS2

CyberTotem è stato progettato specificamente per coprire gli obblighi formativi della NIS2:

  • 12 moduli l'anno su temi NIS2-compliant (phishing, password, social engineering, dispositivi, backup, incident reporting…)
  • Tracciamento automatico di ogni attività formativa con audit trail
  • Attestati PDF individuali a fine percorso, con riferimento normativo
  • Percorso Management separato per CDA e dirigenti (Art. 20/Art. 23)

La formazione continua non deve essere un problema logistico: CyberTotem la automatizza, la traccia e la documenta.

Hai dubbi sulla tua situazione NIS2? Fai il check gratuito oppure contattaci — valutiamo insieme.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo