Quanto tempo ci vuole per l'adeguamento NIS2 completo?

Per un'azienda che parte da zero, 3-6 mesi. Se hai già un servizio NOC attivo, i tempi si dimezzano. La scadenza critica è ottobre 2026 per le misure di sicurezza.

D.Lgs. 138/2024

Adeguamento NIS2
per la tua PMI.

Gap analysis, piano di conformità, implementazione delle misure di sicurezza e registrazione ACN - senza fermare la tua operatività.

Parti dalla gap analysis → Come lavoriamo

Misure di sicurezza

Ottobre 2026

Scadenza implementazione

Sanzioni massime

10M €

o 2% del fatturato globale

Soggetti registrati

30.000+

Su piattaforma ACN

Chi deve adeguarsi alla NIS2

Il D.Lgs. 138/2024 recepisce la Direttiva (UE) 2022/2555 e amplia il perimetro a 18 settori e oltre 80 tipologie di soggetti. Se operi in un settore critico con più di 50 dipendenti o oltre 10 milioni di fatturato, sei quasi certamente incluso.

Ma anche le PMI sotto soglia possono essere coinvolte come fornitori della supply chain di soggetti essenziali. I tuoi clienti grandi iniziano a richiedere la conformità NIS2: il rischio arriva dalla catena di fornitura.

Verifica se sei obbligato →

Soggetti Essenziali

Sanzioni fino a 10M€ o 2% fatturato

⚡ Energia
🚛 Trasporti
🏥 Sanità
💧 Acqua potabile e reflue
💻 Infrastrutture digitali
🔧 Gestione servizi ICT (B2B)
🏦 Settore bancario e finanziario
🏣 Pubblica amministrazione
🚀 Spazio

Soggetti Importanti

Sanzioni fino a 7M€ o 1,4% fatturato

🏭 Manifatturiero
📦 Servizi postali e corrieri
♻️ Gestione rifiuti
🍞 Produzione e distribuzione alimenti
🔬 Fabbricazione (chimici, elettronica, dispositivi medici)
🌐 Fornitori di servizi digitali
🎓 Ricerca

🔗 Anche i fornitori della supply chain di soggetti essenziali possono essere coinvolti

Scadenze NIS2: la roadmap 2025–2026

Il percorso di adeguamento ha tappe precise. Alcune sono già passate.

Feb 2025

Registrazione ACN

Registrazione obbligatoria sulla piattaforma dell'Agenzia per la Cybersicurezza Nazionale. Oltre 30.000 soggetti registrati.

Apr 2025

Punto di Contatto

Designazione del Punto di Contatto responsabile delle comunicazioni con ACN.

Dic 2025

Referente CSIRT

Designazione del referente CSIRT Italia e degli eventuali sostituti tramite il portale ACN.

Gen 2026

Notifica incidenti operativa

Obbligo di notifica al CSIRT Italia degli incidenti significativi: pre-notifica 24h, notifica 72h, report finale 30 giorni.

Apr 2026

Governance e documentazione

Approvazione formale di policy di sicurezza, registro rischi, RACI, piani di continuità. Il management deve firmare.

Ott 2026

Misure di sicurezza implementate

37 misure per soggetti importanti, 43 per soggetti essenziali. Da ottobre 2026 l'ACN avvia le ispezioni.

Cosa richiede la conformità NIS2

Misure tecniche e organizzative concrete, documentate, verificabili. Non basta un check formale.

⚠️

Gestione del rischio

Processi formali per identificare, valutare e trattare i rischi cyber. Risk assessment documentato, aggiornato e approvato dal management. È il punto di partenza di ogni ispezione ACN.

🚨

Notifica incidenti al CSIRT

Procedure per rilevamento, risposta e notifica al CSIRT Italia. Pre-notifica entro 24h, notifica formale 72h, report finale 30 giorni. Operativa dal 1 gennaio 2026.

🔒

Sicurezza reti e sistemi

Patch management, MFA, crittografia, segmentazione di rete. Misure tecniche specifiche e misurabili.

🔗

Sicurezza della supply chain

Verifica e monitoraggio dei fornitori critici. Clausole contrattuali di sicurezza, audit periodici.

♻️

Business continuity

Piani di backup, disaster recovery, continuità operativa. Testati periodicamente, non solo documentati.

👔

Responsabilità del management

I dirigenti rispondono personalmente. Devono approvare le policy, monitorare l'implementazione, seguire formazione.

🎓

Formazione obbligatoria

Security awareness per dipendenti e management. Il CdA deve seguire formazione specifica e approvare le policy.

📋

Registrazione ACN e referente CSIRT

Registrazione sulla piattaforma ACN, designazione del Punto di Contatto e del referente CSIRT Italia.

CSIRT Italia: notifica incidenti

Dal 1 gennaio 2026 la notifica degli incidenti significativi al CSIRT Italia è pienamente operativa.

24 ore

Pre-notifica

Segnalazione iniziale al CSIRT Italia entro 24 ore dalla conoscenza dell'incidente significativo. Anche con informazioni parziali.

72 ore

Notifica formale

Aggiornamento con dettagli tecnici: natura dell'incidente, impatto, misure di mitigazione adottate.

30 giorni

Report finale

Relazione completa: causa, impatto effettivo, misure correttive implementate, lezioni apprese.

Chi è il referente CSIRT?

Persona fisica designata dal Punto di Contatto con competenze di base in sicurezza informatica e gestione incidenti. Può essere interno o esterno (es. responsabile SOC/CERT). Si possono designare uno o più sostituti per garantire la pre-notifica 24h.

Cosa si notifica?

Incidenti significativi: quelli che provocano o possono provocare grave perturbazione operativa, perdite finanziarie rilevanti, o ripercussioni su terzi. Minacce e quasi-incidenti (near miss) sono su base volontaria.

Contatti CSIRT Italia

Portale ACN: csirt.gov.it
Email: csirt@pec.acn.gov.it
La notifica avviene tramite il Portale dei Servizi ACN nella sezione dedicata.

Il nostro piano di adeguamento NIS2

Un percorso in quattro fasi. Partiamo da quello che hai già.

Gap Analysis

Valutiamo la distanza tra la tua situazione attuale e i requisiti del D.Lgs. 138/2024. Guardiamo documentazione, processi e configurazione reale dei sistemi. Non è teorico.

2–3 settimane Report di gap + priorità

Piano di conformità

Non una lista generica. Un piano con priorità, tempi e costi concreti. Cosa fare subito, cosa pianificare, cosa delegare a noi. Budget chiaro dall'inizio.

1 settimana Piano con budget

Implementazione

Gestiamo l'implementazione tecnica: patch management, MFA, backup, firewall, SIEM, documentazione dei processi. Con NOC10 attivo, molte misure NIS2 sono già coperte.

4–12 settimane 37–43 misure operative

Documentazione e CSIRT

Produzione della documentazione: policy di sicurezza, registro rischi, RACI, piani di continuità. Designazione del referente CSIRT e configurazione della procedura di notifica.

1–2 settimane Dossier NIS2 completo

NOC10

Con NOC10, sei già a metà strada

Se hai NOC10 attivo, la maggior parte delle misure tecniche NIS2 è già implementata. Monitoring H24, patch management CVSS, backup monitoring, incident response, SIEM, firewall gestiti. Il VAPT periodico completa il quadro.

Per i clienti NOC10, l'adeguamento NIS2 è un percorso di documentazione e formalizzazione - non una ristrutturazione IT da zero. E il referente CSIRT? Possiamo farlo noi come responsabile SOC esterno.

✓ Patch management CVSS

✓ Monitoring H24 + SIEM

✓ Backup monitoring

✓ Incident response

✓ Firewall gestiti

✓ VAPT periodico

Scopri NOC10 →

Domande frequenti sulla NIS2

Siamo una PMI con 30 dipendenti. Siamo obbligati?

Dipende dal settore e dalla posizione nella supply chain. Le soglie dirette sono 50 dipendenti o 10 milioni di fatturato, ma molte PMI sotto soglia sono coinvolte come fornitori di soggetti essenziali. La NIS2 impone ai soggetti obbligati di verificare la sicurezza dei propri fornitori: se servi un'azienda NIS2, il tuo profilo di sicurezza diventa parte della loro compliance.

Abbiamo già il GDPR in ordine. Basta per la NIS2?

No. GDPR e NIS2 hanno perimetri diversi. Il GDPR protegge i dati personali, la NIS2 protegge reti e sistemi informativi. Alcune misure si sovrappongono (risk assessment, incident management), ma la NIS2 richiede misure tecniche specifiche - patch management, MFA, segmentazione di rete, SIEM - e la notifica obbligatoria al CSIRT Italia entro 24 ore.

Quali sono le sanzioni per la non conformità?

Per i soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato globale annuo. Per i soggetti importanti: fino a 7 milioni o 1,4% del fatturato. La mancata registrazione ACN può costare da 50.000 euro in su. Ma il rischio concreto nel breve periodo è reputazionale: i clienti grandi richiedono la conformità NIS2 ai fornitori, e possono escluderti dalla supply chain.

Cos'è il referente CSIRT e chi lo designa?

Il referente CSIRT è la persona fisica responsabile della notifica degli incidenti al CSIRT Italia. Viene designato dal Punto di Contatto tramite il portale ACN. Deve avere competenze base in cybersecurity e gestione incidenti. Può essere interno o esterno - ad esempio, il responsabile del SOC. Si possono designare anche sostituti per garantire la copertura 24/7.

Quanto tempo ci vuole per l'adeguamento completo?

Per un'azienda che parte da zero, 3–6 mesi. Se hai già NOC10 attivo, i tempi si dimezzano perché le misure tecniche sono già implementate. La gap analysis iniziale si completa in 2–3 settimane. La scadenza critica è ottobre 2026 per le misure di sicurezza; da quel momento l'ACN può avviare le ispezioni.

Possiamo esternalizzare il referente CSIRT?

Sì. La normativa non vieta l'esternalizzazione. Il referente CSIRT può essere personale esterno, come un responsabile SOC/CERT. Per i clienti NOC10, possiamo assumere noi il ruolo di referente CSIRT, gestendo la notifica degli incidenti e il canale di comunicazione con l'ACN.

Parti dalla gap analysis.

In 2–3 settimane ti diciamo esattamente dove sei rispetto alla NIS2 e cosa devi fare. Prezzi fissi, nessuna sorpresa.

Richiedi la gap analysis →