NIS2 e supply chain: chi non è pronto, esce dal mercato
Le scadenze operative del 2026 che nessuna impresa può permettersi di ignorare
Con l'entrata in vigore del D.Lgs. 138/2024, la capacità di gestire e notificare incidenti cyber è diventata un requisito operativo concreto per i soggetti in perimetro NIS2. L'art. 25 del decreto prevede una sequenza precisa: pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro un mese dall'evento. L'operatività concreta di questi obblighi dipende anche dalla disciplina attuativa ACN e dalla decorrenza applicabile a ciascuna categoria di soggetti, ma il quadro normativo è definito e il percorso di adeguamento non è rinviabile.
Le stime pubbliche diffuse negli ultimi mesi sul numero di organizzazioni italiane coinvolte dalla NIS2 variano sensibilmente a seconda del perimetro considerato e delle fonti. Le valutazioni disponibili — tra cui quelle dell'Agenzia per la Cybersicurezza Nazionale e di analisti di settore — parlano di decine di migliaia di organizzazioni potenzialmente interessate. Per molte di esse, il livello di maturità cyber da raggiungere richiede un salto significativo rispetto alla situazione attuale.
Il regime sanzionatorio previsto dal decreto distingue tra soggetti essenziali e soggetti importanti, con massimali differenti. Per i soggetti essenziali le sanzioni possono raggiungere i 10 milioni di euro o il 2% del fatturato mondiale annuo; per i soggetti importanti i massimali sono di 7 milioni di euro o l'1,4% del fatturato. Gli organi di amministrazione e direttivi sono direttamente coinvolti nella supervisione dell'adempimento: la governance della sicurezza è parte integrante della compliance NIS2 e non è delegabile integralmente all'IT.
2.755
Incidenti cyber registrati da ACN nel 1° sem. 2025
+36%
Aumento vs semestre precedente (fonte: ACN)
10%
Quota di attacchi globali diretti all'Italia (fonte: Clusit)
Perché la NIS2 è diversa
La NIS2 segna un cambio di paradigma rispetto a ogni precedente direttiva. L'attenzione si sposta dalla protezione dei sistemi IT alla resilienza operativa complessiva dell'organizzazione. Il rischio cyber diventa a tutti gli effetti un rischio di business: può bloccare la produzione, compromettere la continuità del servizio, danneggiare irreparabilmente la reputazione.
Secondo i dati dell'ACN, il primo semestre del 2025 ha registrato un record storico con 2.755 incidenti cyber in Italia, in crescita del 36% rispetto al semestre precedente. Secondo il Rapporto Clusit, l'Italia risulta bersaglio di circa il 10% degli attacchi a livello mondiale, con settori come Pubblica Amministrazione e Sanità in prima linea.
Ma c'è un elemento spesso trascurato: la convergenza tra sicurezza fisica e sicurezza informatica. Ogni telecamera, sistema di controllo accessi, allarme antintrusione è oggi basato su infrastrutture digitali e reti di comunicazione. Non esiste più una separazione netta tra "fisico" e "cyber": ogni dispositivo connesso è al tempo stesso uno strumento operativo essenziale e un potenziale vettore di attacco.
L'errore più comune: gestire la sicurezza per silos
Troppo spesso, nelle organizzazioni, la sicurezza fisica e quella informatica vengono gestite da team separati, con budget e logiche altrettanto distinte. La NIS2 impone di superare questa frammentazione.
Un sistema di videosorveglianza compromesso non rappresenta solo un problema di privacy. Può diventare il punto di accesso per un attacco alla rete aziendale, con conseguenze su produzione, dati sensibili e continuità operativa.
Allo stesso modo, un attacco cyber che blocca i sistemi di controllo accessi può compromettere la sicurezza fisica di un sito critico. Questa interdipendenza richiede un approccio di sicurezza integrata: progettazione congiunta dei requisiti, valutazione del rischio end-to-end, responsabilità condivisa lungo tutta la filiera.
Non è più sufficiente delegare la cybersecurity all'IT: gli organi di amministrazione e direttivi sono direttamente coinvolti nella supervisione dell'adempimento, e la governance della sicurezza è parte integrante della compliance NIS2.
Le milestone da rispettare
Il percorso di adeguamento alla Direttiva NIS2, come recepita dal D.Lgs. 138/2024, si articola su scadenze progressive. Di seguito la situazione aggiornata.
| Scadenza | Obbligo | Stato |
|---|---|---|
| 15 Apr – 31 Mag 2026 | Aggiornamento annuale delle informazioni sul portale ACN (art. 7). | IN ARRIVO |
| 1 Mag – 30 Giu 2026 | Comunicazione / aggiornamento di attività e servizi ai fini della categorizzazione (art. 30). | IN ARRIVO |
| Entro Ott 2026 | Adozione delle misure di sicurezza di base previste dalla disciplina ACN. | IN ARRIVO |
Riferimenti normativi nella tabella:
- Art. 7 del D.Lgs. 138/2024 — registrazione e aggiornamento delle informazioni del soggetto sul portale ACN.
- Art. 30 — comunicazione di attività e servizi ai fini della categorizzazione.
- Art. 25 — notifica degli incidenti (pre-notifica entro 24h, notifica entro 72h, relazione finale entro 1 mese).
Per rispettare le scadenze operative del 2026, le aziende devono già disporre di procedure interne chiare, flussi decisionali snelli e un referente CSIRT operativo.
Il mancato adeguamento non comporta solo il rischio di sanzioni amministrative. Può tradursi in uno svantaggio competitivo concreto: maggiore difficoltà a entrare o restare in supply chain strutturate, crescente rilevanza del livello di maturità cyber nei rapporti con clienti, committenti e partner. La conformità alla NIS2 sta diventando un criterio di qualificazione per gare, affidamenti e partnership strategiche.
Da dove iniziare
Per le aziende che devono ancora avviare il percorso di adeguamento, tre azioni sono prioritarie:
Autovalutazione del livello di preparazione. Identificare i sistemi e i servizi più critici, mappare i dispositivi connessi — inclusi quelli di sicurezza fisica — e verificare l'esistenza di procedure di gestione degli incidenti.
Definizione chiara di ruoli e responsabilità. Formalizzare il coinvolgimento degli organi di amministrazione e direttivi e designare referenti per la gestione degli incidenti e la comunicazione con l'ACN.
Controllo della supply chain. Introdurre requisiti minimi di sicurezza nei contratti con i fornitori critici e verificare la loro postura di sicurezza.
Investimento medio stimato:secondo analisi di mercato, circa 283.000 € per un'azienda di medie-grandi dimensioni (range: <100.000 € – oltre 5 milioni €). Gli studi di settore prevedono un ritorno positivo già dal secondo anno: meno incidenti, minori costi di fermo e maggiore affidabilità percepita sul mercato.
La NIS2 come sistema integrato
La NIS2 non è l'ennesima normativa da rispettare. È il riconoscimento formale che la sicurezza, oggi, è un sistema integrato.
Non può esistere sicurezza fisica senza sicurezza informatica.
Non può esistere continuità operativa senza governance del rischio cyber.
Non può esistere competitività senza resilienza.
Per questo il tema non è "evitare la sanzione". Il tema è restare credibili dentro il mercato.
Hai bisogno di supporto per l'adeguamento alla NIS2?
Il team Tomato Blue affianca le imprese nel percorso di compliance, dalla gap analysis alla predisposizione delle procedure operative.
Contattaci