NIS2: guida alla conformità per le piccole imprese — guida in linguaggio semplice (2026) | Scanthra

Scanthra · 8 min di lettura · Aggiornato Maggio 2026

Cos'è NIS2 e dove si applica?

NIS2 è la Direttiva UE sulla Sicurezza delle Reti e dei Sistemi Informativi (Direttiva (UE) 2022/2555). Sostituisce la NIS1 originale del 2016 e amplia significativamente il perimetro, innalza il livello base delle misure di sicurezza richieste, e introduce la responsabilità personale per gli organi di gestione.

Ogni Stato Membro UE ha dovuto recepire NIS2 nel diritto nazionale entro il 17 ottobre 2024. In pratica le leggi nazionali sono arrivate in ondate tra il 2024 e il 2026. Alcuni esempi dei nomi locali che potresti incontrare:

• Polonia — emendamento alla Legge sulla Cybersecurity (Krajowy System Cyberbezpieczeństwa), in vigore dal 3 aprile 2026.
• Germania — NIS2-Umsetzungsgesetz (NIS2UmsuCG).
• Francia — attuata tramite la Loi de transposition NIS2 supervisionata dall'ANSSI.
• Italia — Decreto Legislativo che recepisce la direttiva, supervisionato dall'ACN.
• Spagna, Paesi Bassi, Belgio, Nordics… — ognuno ha la propria legge con lo stesso contenuto minimo.

Al di fuori dell'UE, regimi simili stanno emergendo — il Cyber Security and Resilience Bill britannico, la Information Security Act svizzera, e diversi paesi non UE stanno allineando il linguaggio dei questionari vendor con NIS2 anche dove non si applica legalmente. Se vendi in UE da qualsiasi parte del mondo, i tuoi clienti alla fine ti chiederanno delle misure dell'Articolo 21.

Sono in scope?

Direttamente: solo se sei un'entità essenziale o importante. Questo riguarda principalmente le medie e grandi imprese (≥50 dipendenti o ≥10M EUR di fatturato) in settori come energia, trasporti, banche, sanità, infrastrutture digitali, pubblica amministrazione, servizi postali, rifiuti, produzione di prodotti critici, alimentare, chimica, ricerca e fornitori digitali (cloud, marketplace, motori di ricerca).

Indirettamente: ogni fornitore o subappaltatore di un'entità in scope. L'Articolo 21(2)(d) di NIS2 richiede alle entità in scope di affrontare la sicurezza della supply chain. In pratica i tuoi clienti enterprise ti invieranno un questionario di sicurezza e un addendum contrattuale chiedendoti di dimostrare gli stessi controlli — patch, header, MFA, risposta agli incidenti — anche se la tua azienda ha 5 dipendenti e si trova fuori dall'UE.

Le 7 misure dell'Articolo 21 rilevanti per il sito web

Delle 10 misure minime nell'Articolo 21(2) di NIS2, sette si mappano a cose che puoi osservare e migliorare su un sito web:

1. Crittografia — TLS (crittografia) moderno, HSTS (forzatura HTTPS), no SSLv3/TLS 1.0/1.1.
2. Gestione e divulgazione delle vulnerabilità — mantieni CMS (sistema di gestione contenuti) e componenti su versioni supportate e aggiornate; pubblica un contatto di sicurezza o security.txt.
3. Controllo degli accessi — URL di amministrazione non indicizzati pubblicamente, no file .git / .env / backup esposti.
4. Comunicazioni sicure — solo HTTPS, cookie sicuri, CSP e Permissions-Policy ragionevoli.
5. Protezione dei dati — pagine di debug disattivate, no stack trace esposti, no IP interni negli header.
6. Sicurezza della supply chain — dipendenze e versioni note, no dati clienti esposti tramite sottodomini.
7. Autenticazione e-mail — SPF, DKIM, DMARC così gli incidenti non si diffondono tramite mail contraffatte.

Il starter pack NIS2 economico (meno di 4 ore di lavoro)

Queste cinque azioni coprono la maggior parte dei problemi rilevati "ci aspettavamo di meglio" in un tipico questionario vendor NIS2 per piccole imprese — indipendentemente dal paese:

1. Attiva gli aggiornamenti automatici per il tuo CMS (sistema di gestione contenuti), temi e plugin.
2. Aggiungi header HSTS (forzatura HTTPS), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy e Permissions-Policy. Consulta la nostra guida CSP.
3. Configura SPF, DKIM e DMARC (protezione e-mail) sul tuo dominio. Consulta la nostra guida all'autenticazione e-mail.
4. Rimuovi o blocca .env, .git/, /backup.sql, /wp-config.php.bak e altri file "accidentalmente esposti".
5. Pubblica /.well-known/security.txt con un contatto e-mail e la tua politica di divulgazione delle vulnerabilità.

Un piano di risposta agli incidenti in 24/72 ore che sta su una pagina

Anche al di fuori dello scope, avere questo documento pronto diventa un vantaggio competitivo quando un cliente enterprise te lo chiede. Le finestre 24/72 ore qui sotto vengono direttamente dall'Articolo 23 di NIS2:

• Ora 0: Identifica l'incidente. Scatta uno snapshot.
• Ora 1–4: Contenimento — ruota le credenziali, isola il servizio colpito.
• Ora 4–24: Notifica (proprietari interni, provider di hosting, Autorità Garante se i dati personali sono coinvolti, clienti se i loro dati sono coinvolti). NIS2 chiama questo l'"allerta precoce".
• Ora 24–72: Presenta un rapporto formale al tuo CSIRT nazionale se sei in scope.
• Giorno 7+: Analisi della causa principale, post-mortem, aggiorna il runbook. NIS2 richiede un rapporto finale entro un mese dalla notifica.

Ogni Stato Membro gestisce il proprio portale di segnalazione — CSIRT NASK in Polonia, BSI in Germania, ANSSI/CERT-FR in Francia, CSIRT Italia, NCSC-NL nei Paesi Bassi, ecc. ENISA mantiene una directory centrale. Anche se non sei in scope, avere l'URL e i tuoi dati di accesso pronti risparmia il panico-google nel peggior giorno dell'anno.

Cosa NIS2 esplicitamente non riguarda

Alcuni miti comuni:

• Non è una certificazione una tantum. Non c'è un "timbro NIS2" — devi dimostrare una pratica continua.
• Non sostituisce il GDPR. I due coesistono; gli incidenti che coinvolgono dati personali possono attivare entrambi i regimi.
• Non richiede l'acquisto di software specifico. L'Articolo 21 è neutro tecnologicamente.
• Non è "solo per l'UE" negli effetti. I vendor non UE che vendono in UE ricevono regolarmente questionari a forma di NIS2 dai loro clienti UE.

Come Scanthra aiuta

Ogni report PDF Scanthra include ora una sezione NIS2 readiness che mappa i tuoi risultati di scansione alle sette categorie dell'Articolo 21 rilevanti per il sito web sopra, con uno stato per categoria (OK, attenzione, gap) e un punteggio complessivo. La mappatura è alla direttiva UE stessa, quindi è utile indipendentemente da quale trasposizione dello Stato Membro ti riguarda — e indipendentemente dal fatto che tu sia nell'UE o meno. Non è un parere legale o un sostituto di un audit, ma è un input tecnico utile che puoi allegare a una risposta a un questionario vendor o condividere con il tuo consulente di sicurezza.

Questo articolo è a scopo informativo generale e non costituisce consulenza legale. Per un'interpretazione vincolante di NIS2 nella tua giurisdizione, consulta un avvocato qualificato o la tua autorità nazionale per la cybersecurity.