Mancano meno di due mesi a una scadenza che molte aziende italiane stanno ancora sottovalutando. Il 30 aprile 2026, l’obbligo di notificare un incidente cyber entro 24 ore diventa vincolante anche per le imprese inserite nelle supply chain strutturate, non solo per i soggetti direttamente classificati come essenziali o importanti dal D.Lgs. 138/2024. L’Agenzia per la Cybersicurezza Nazionale stima che tra 16.000 e 50.000 imprese italiane ricadano nel perimetro della direttiva NIS2; una platea enorme, distribuita tra settori produttivi, servizi digitali, logistica, sanità e pubblica amministrazione, con livelli di preparazione estremamente disomogenei.

La posta in gioco va oltre le sanzioni, che pure sono tutt’altro che simboliche (fino a 10 milioni di euro o il 2% del fatturato globale per i soggetti essenziali, fino a 7 milioni o l’1,4% per quelli importanti). Il rischio più concreto, nel medio periodo, è infatti di natura commerciale. Committenti e grandi gruppi industriali inizieranno a richiedere certificazioni di maturità cyber come prerequisito per gare, contratti e partnership e, in tal senso, la conformità alla NIS2 diventa un requisito di qualificazione al mercato.

Un cambio di paradigma, non un aggiornamento normativo

Ciò che distingue la NIS2 da ogni direttiva precedente è lo spostamento del baricentro, che passa dalla sola protezione dei sistemi informatici alla resilienza operativa dell’intera organizzazione. Il rischio cyber entra così a pieno titolo nella categoria dei rischi di business, visto che può bloccare linee produttive, interrompere l’erogazione di servizi essenziali e danneggiare in modo irreversibile la reputazione aziendale. Il primo semestre del 2025 ha offerto una conferma drammatica di questa trasformazione, con l’ACN che ha registrato 2.755 incidenti in Italia con un aumento del 36% rispetto al semestre precedente.

C’è però una dimensione del problema che viene ancora sistematicamente ignorata nelle analisi di settore ovvero la convergenza tra sicurezza fisica e sicurezza informatica. Telecamere IP, sistemi di controllo accessi, allarmi connessi in rete rappresentano anche nodi digitali e, come tali, potenziali vettori di attacco. Nel 2025, il 67% delle aziende italiane di medie e grandi dimensioni ha subito almeno un incidente di sicurezza fisica, un dato che rivela quanto la separazione tradizionale tra i due domini sia ormai una vulnerabilità strutturale in sé.

Il costo della frammentazione interna

Nelle organizzazioni, sicurezza fisica e sicurezza informatica vengono gestite quasi sempre da team distinti, con budget separati e priorità che raramente si incontrano. La NIS2 impone di smantellare questa architettura a silos. Un sistema di videosorveglianza compromesso può infatti trasformarsi nell’ingresso laterale attraverso cui un attaccante raggiunge la rete aziendale, i database di produzione e i sistemi di gestione operativa.

NIS2 Vulnerability Disclosure

Simmetricamente, un attacco ransomware che neutralizza i sistemi di controllo accessi può esporre un sito industriale a rischi fisici immediati. Superare questa frammentazione richiede una progettazione condivisa dei requisiti di sicurezza, una valutazione del rischio che copra l’intera catena del valore e soprattutto il coinvolgimento diretto del vertice aziendale. La NIS2 non lascia spazio a deleghe silenziose: la responsabilità degli amministratori è esplicita e personale.

Le scadenze che scandiscono il percorso

Il calendario degli obblighi è già in parte consumato. La registrazione obbligatoria sul portale ACN era prevista entro il 28 febbraio 2025, mentre per gli enti direttamente in perimetro, l’obbligo normativo è entrato in vigore dal 31 dicembre 2025. Il 30 aprile 2026 scatta l’obbligo di notifica degli incidenti per la supply chain, che comporta la pre-notifica entro 24 ore dall’identificazione dell’incidente, la notifica completa con valutazione di gravità e impatto entro 72 ore e il rapporto finale con analisi e azioni correttive entro un mese.

Entro ottobre 2026, infine, dovrà essere raggiunta la compliance completa: 37 misure per i soggetti importanti, 43 per quelli essenziali. Rispettare la scadenza di aprile significa quindi avere già in funzione procedure interne di rilevazione e classificazione degli incidenti, flussi decisionali chiari, un referente CSIRT operativo e canali di comunicazione verso l’autorità nazionale già testati.

Tre azioni concrete per chi parte oggi

Per le aziende che devono ancora strutturare il proprio percorso di adeguamento, sono tre le azioni concrete da compiere:

  • Misurare il divario tra lo stato attuale e quanto richiesto dalla norma: questo significa mappare i sistemi critici e i dispositivi connessi (compresi quelli di sicurezza fisica) e verificare se esistono procedure documentate di gestione degli incidenti
  • Formalizzare ruoli e responsabilità: la NIS2 richiede il coinvolgimento esplicito del management e la nomina di un referente CSIRT, non necessariamente una nuova struttura, ma una governance chiara e tracciabile
  • Identificare i fornitori critici, introdurre clausole contrattuali minime sulla sicurezza e prevedere obblighi di comunicazione in caso di incidente sono azioni che proteggono l’organizzazione da vulnerabilità esterne difficili da controllare altrimenti

Investimento, non costo

I numeri dell’adeguamento possono spaventare se pensiamo che la stima europea media per un’azienda di medie e grandi dimensioni si aggira intorno ai 283.000 euro, con range che possono superare i 5 milioni nei casi più complessi. Eppure, le proiezioni indicano un ritorno positivo già a partire dal secondo anno. Le misure NIS2 dovrebbero infatti ridurre gli incidenti cyber del 6% annuo e, per un’azienda che gestisce 60 incidenti all’anno (con costi che variano tra 3 e 15 milioni di euro), il beneficio stimato si colloca tra 180.000 e 900.000 euro.

Le organizzazioni che affronteranno questo percorso con metodo, e non come risposta d’urgenza a una scadenza imminente, costruiranno qualcosa di più duraturo di una semplice conformità normativa, posizionandosi come partner affidabili in un ecosistema industriale dove la resilienza digitale è già, di fatto, un criterio di selezione.