Se dirigi o lavori in una PMI manifatturiera, la NIS2 non è “solo per i grandi”. È la nuova cornice europea per la cybersicurezza che impatta direttamente molte aziende medie e grandi e, di riflesso, l’intera filiera dei fornitori. In Italia la direttiva è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. La Gazzetta Ufficiale ha formalizzato il quadro; da lì in avanti, per chi gestisce produzione e supply chain il tema non è più “se” ma “come” adeguarsi.
Quello che segue è un percorso concreto: capire chi rientra, quali scadenze presidiare, quali misure implementare senza fermi estenuanti, e soprattutto come trasformare un obbligo normativo in resilienza operativa.
1) Cos’è la NIS2, in due righe ma chiare
La Direttiva (UE) 2022/2555 punta a creare un livello comune elevato di cybersicurezza in tutta l’Unione. Lo fa chiedendo alle imprese di gestire il rischio in modo sistematico, di strutturare la risposta agli incidenti e di notificare gli eventi significativi alle autorità competenti. Sostituisce la precedente NIS e alza l’asticella su governance, controlli tecnici e cooperazione tra Stati membri. In sintesi: meno improvvisazione, più processi, più responsabilità al vertice.
2) Sei “dentro” o “fuori”? Ambito e soglie
Il perimetro coinvolge entità “essenziali” e “importanti” attive in 18 settori (11 ad alta criticità più 7 settori critici). Il criterio dimensionale è determinante: in linea generale, medie e grandi imprese (oltre 50 dipendenti e oltre 10 milioni di euro di fatturato) rientrano, mentre micro e piccole restano spesso escluse, salvo specifiche eccezioni o designazioni per rilevanza sistemica.
Nel manifatturiero l’inclusione discende soprattutto dagli Allegati I e II: alcuni comparti, come il chimico o particolari produzioni a impatto critico, sono espressamente considerati. Anche quando non si rientra formalmente, il tema non scompare: le aziende soggette tenderanno a trasferire requisiti lungo la supply chain, inserendo clausole NIS2 nei contratti di fornitura (formazione, autenticazione a più fattori, piani di backup, tempi di ripristino). Tradotto per una PMI: se superi le soglie e operi in un settore incluso, preparati ad adempiere; se non le superi ma vendi a chi è soggetto, aspettati richieste stringenti.
3) Scadenze in Italia: cosa fare adesso e cosa arriva dopo
Il primo passo è stato la registrazione sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN) nella finestra 1° dicembre 2024 – 28 febbraio 2025, con una clausola di salvaguardia fino al 10 marzo 2025 per chi aveva già censito il punto di contatto. È un adempimento amministrativo, ma non va sottovalutato: la sola mancata iscrizione o l’aggiornamento tardivo possono generare sanzioni “procedurali” fino allo 0,1% del fatturato (0,07% per le entità “importanti”).
Nel 2025 ACN ha spostato l’aggiornamento annuale dei dati dal 31 maggio al 31 luglio, segno che il quadro è vivo e merita monitoraggio. A regime, lungo il 2026, si entra nella piena applicazione delle regole di notifica e delle misure di sicurezza: vale la pena predisporre da subito processi e documentazione, perché improvvisare in emergenza è sempre più costoso.
4) Le misure minime (art. 21): cosa significa in pratica
La direttiva non chiede “tecnologie miracolose”, ma l’ingegnerizzazione della sicurezza. Si parte da una analisi dei rischi aggiornata, che tenga insieme IT e OT, e da policy coerenti con le minacce effettive dell’azienda. Serve un processo di gestione degli incidenti: capacità di rilevare, rispondere, apprendere dagli eventi. Va poi garantita la continuità operativa con obiettivi chiari di RTO/RPO e test di ripristino periodici, non solo backup “sulla carta”.
La supply chain diventa parte integrante del perimetro: valutazioni dei fornitori, clausole contrattuali che esplicitano MFA, cifratura, audit trail, tempi di notifica, e un minimo di monitoraggio nel tempo. Nello sviluppo e nella manutenzione dei sistemi entra il principio del secure by design: patching regolare, gestione delle vulnerabilità, criteri di compensazione per asset legacy che non si possono aggiornare facilmente (segmentazione, whitelisting, isolamento di rete). L’igiene digitale — formazione, gestione identità e accessi a privilegio minimo, MFA per profili amministrativi e accessi remoti, crittografia in transito e a riposo — smette di essere “best practice” e diventa requisito.
5) Notifica degli incidenti (art. 23): la famosa timeline 24–72–30
Quando un incidente è significativo per impatto o gravità, scattano tempistiche precise verso CSIRT Italia e l’Autorità competente. Entro 24 ore va inviato un preallarme con le prime informazioni disponibili. Entro 72 ore si presenta la notifica vera e propria, con una prima valutazione dell’impatto e, se già definiti, indicatori di compromissione. Possono seguire report intermedi su richiesta. Il report finale arriva entro 30 giorni dall’evento o dalla sua chiusura. Il messaggio da portare in azienda è semplice: queste scadenze non si rispettano da sole, serve un playbook che coordini IT, OT, legale e comunicazione.
6) Governance: responsabilità diretta del vertice
La NIS2 riporta la responsabilità in modo esplicito al vertice aziendale. Gli organi amministrativi e direttivi devono approvare le misure, sovrintendere alla loro attuazione e formarsi sul tema. La delega non annulla il dovere di vigilanza: se i processi non funzionano, la responsabilità non è solo del fornitore IT o del responsabile di funzione. Oltre alle sanzioni economiche, sono previste sanzioni interdittive come la sospensione dalle funzioni: un segnale chiaro che la sicurezza è governance, non unicamente tecnologia.
7) Sanzioni: quanto si rischia davvero
Per le violazioni delle misure (art. 21) o degli obblighi di notifica (art. 23) le soglie sono rilevanti: fino a 10 milioni di euro o al 2% del fatturato mondiale per le entità essenziali (si applica l’importo maggiore), e fino a 7 milioni o 1,4% per le entità importanti. A queste si sommano le sanzioni “procedurali” per inadempienze come la mancata registrazione o l’aggiornamento non eseguito nei termini. Il costo, però, non è solo sanzionatorio: un incidente mal gestito può tradursi in fermi linea, ritardi di consegna, penali contrattuali e perdita di fiducia lungo la filiera.
8) Un percorso operativo per una PMI manifatturiera
Un approccio efficace parte dall’inquadramento: verifica se superi le soglie e se rientri nei settori inclusi; in parallelo, mappa i clienti soggetti NIS2 per capire quali clausole ti verranno richieste (MFA, cifratura, audit log, tempi di ripristino). Da lì si passa alla governance: individua un punto di contatto con ACN, definisci responsabilità chiare e porta CdA e direzione a un livello minimo di alfabetizzazione decisionale (accettazione del rischio, priorità di investimento, RTO/RPO).
Sul piano tecnico, costruisci un inventario degli asset IT/OT: macchine connesse, PLC/SCADA, server MES/ERP, HMI, postazioni di reparto, sensori. Classifica la criticità per linea o centro di lavoro e disegna una segmentazione di rete che separi OT e IT, introduca VLAN per le celle produttive e applichi il principio del minimo privilegio. Prevedi MFA per gli accessi remoti e gli account privilegiati. Organizza un ciclo di patching e vulnerability management compatibile con i fermi programmati e, dove l’aggiornamento è impossibile, applica controlli compensativi.
Il capitolo backup e disaster recovery merita disciplina: adotta la regola 3–2–1 con almeno una copia offline o immutabile; esegui test di ripristino sia sui dati di produzione (distinte, cicli, parametri macchina) sia sulle applicazioni (MES, schedulatore, archivi qualità). Per la supply chain, valuta i fornitori critici (software, manutenzione macchine, cloud), inserisci clausole NIS2 standard e pianifica una verifica periodica. Infine, prepara un runbook incidenti che chiarisca chi fa cosa in caso di ransomware o blocco linea: canali con CSIRT, tempi per preallarme e notifica, modelli di comunicazione verso clienti e autorità.
Questo impianto funziona solo se accompagnato da formazione. Gli operatori di linea hanno bisogno di istruzioni semplici su USB, HMI, badge, e l’azienda deve programmare simulazioni di phishing e momenti di refresh periodici. Per misurare i progressi, definisci indicatori come MTTD/MTTR, trend delle vulnerabilità e risultati dei test di ripristino; porta questi dati nel riesame direzionale e pianifica un miglioramento annuale.
9) NIS2 e “digitale di fabbrica”: come collegarli
Molti requisiti NIS2 si innestano naturalmente nei sistemi che già usi o stai valutando. Il MES centralizza tracciabilità e audit log in reparto, aiuta la gestione degli incidenti (eventi, blocchi, non conformità) e produce evidenze utili per preallarmi e reportistica. Lo schedulatore/APS ti consente di simulare alternative in caso di fermo macchina, integrando la continuità operativa direttamente nel piano di produzione. Le integrazioni con ERP/SCADA/WMS vanno governate con interfacce autenticate e cifrate, segregazione dei domini e policy chiare per l’accesso remoto dei manutentori. In altre parole: la compliance diventa una leva per ridurre downtime e velocizzare i ripristini.
10) Quattro errori ricorrenti (e come evitarli)
Rimandare “in attesa di linee guida settoriali” è un falso alibi: gli adempimenti base — registrazioni, governance, misure minime — sono già attivi e sanzionabili. Delegare tutto al fornitore IT è un altro errore: la responsabilità è anche del vertice e richiede decisioni e budget deliberati. Considerare il backup una spunta burocratica senza provare il ripristino significa coltivare una falsa sicurezza. Infine, trattare l’OT come una “scatola nera” è pericoloso: PLC e HMI vanno inventariati, segmentati e monitorati come qualunque altro asset.
11) Se hai poco tempo: la sintesi operativa
Capisci se rientri (soglie e settore) e, in ogni caso, se i tuoi clienti soggetti ti richiederanno clausole. Completa registrazione e aggiornamenti su ACN. Porta il CdA a formarsi e ad approvare misure e budget. Predisponi un playbook incidenti basato su 24h / 72h / 30 giorni. Uniforma policy e controlli: MFA, cifratura, segmentazione OT/IT, patching, backup 3–2–1 con test reali. Coinvolgi fornitori e subfornitori con clausole NIS2 e verifica periodica. Misura i progressi e rivedi il piano una volta l’anno.
12) Domande frequenti
Siamo 80 dipendenti nel settore meccanico: rientriamo?
Se superi le soglie di media impresa e il tuo comparto rientra negli allegati, sì. In caso contrario potresti comunque essere interessato per via contrattuale se fornisci aziende soggette: le clausole di sicurezza stanno diventando la norma.
Quanto costa non adeguarsi?
Oltre a fermi e penali, fino a 10M€ o 2% del fatturato per le entità essenziali e 7M€ o 1,4% per le importanti, più le sanzioni “procedurali” su registrazioni e aggiornamenti.
Chi firma cosa?
Il CdA/vertice approva le misure, vigila sull’attuazione e si forma. La responsabilità non si esternalizza con un contratto di assistenza: servono scelte, priorità, e una cultura minima condivisa.
