«NIS2» è diventata una di quelle sigle che generano più ansia che chiarezza. La prima cosa utile da sapere è anche la più rassicurante: la maggior parte delle PMI non è direttamente obbligata a NIS2. Il motivo per cui potrebbe riguardarti comunque è un altro, meno noto, e sta nella catena di fornitura. Questo articolo separa gli obblighi reali dal panico, e si concentra sulla parte che chi sviluppa software può affrontare davvero: il codice, gli accessi, i dati.
Cos'è NIS2, in breve
NIS2 è la direttiva europea sulla cybersicurezza (Direttiva UE 2022/2555), recepita in Italia dal D.Lgs. 138/2024, in vigore dal 16 ottobre 2024, con l'Agenzia per la Cybersicurezza Nazionale (ACN) come autorità di riferimento. Alza l'asticella della sicurezza informatica per una serie di settori considerati critici, e la rende una responsabilità esplicita, che coinvolge anche gli organi di vertice delle aziende obbligate.
Chi è obbligato davvero (e perché quasi tutte le piccole imprese non lo sono)
Qui sta il primo malinteso da sciogliere. Essere in uno dei diciotto settori indicati dalla normativa non basta a essere obbligati: conta anche la dimensione. In ambito rientrano, in linea di massima, le imprese medie e grandi di quei settori, non le piccole e le micro. Le piccole e micro imprese sono coinvolte solo in casi specifici, a prescindere dalla dimensione: per esempio chi fornisce un servizio essenziale in modo esclusivo, o chi gestisce infrastrutture come DNS, registri di domini o reti pubbliche di comunicazione. Per la stragrande maggioranza delle PMI, quindi, non c'è un obbligo diretto.










