NIS2 per software house italiane: cosa cambia nel 2026

La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, è entrata in vigore nell’ottobre 2024. Da allora chi sviluppa software per settori critici (sanità, energia, finanza, PA, trasporti, e altri) è chiamato a dimostrare un livello di sicurezza informatica concreto, documentato e auditabile. Per molte software house italiane il punto non è “siamo NIS2-compliant” ma “abbiamo capito che ci riguarda?”. Proviamo a fare chiarezza, senza paranoia ma senza minimizzare.

TL;DR

• La NIS2 si applica a soggetti essenziali e soggetti importanti che operano in 18 settori critici. Non si applica solo a “infrastrutture grandi”: coinvolge fornitori IT, software house, MSP che servono clienti in quei settori.
• Il D.Lgs. 138/2024 ha previsto registrazione obbligatoria al portale ACN per i soggetti rientranti, scadenza tipicamente entro 90 giorni dalla qualifica.
• Gli obblighi tecnici principali sono: gestione del rischio, incident reporting in 24-72 ore, business continuity, supply chain security, governance documentata.
• Le sanzioni per i soggetti essenziali arrivano a 10 milioni di euro o 2% del fatturato globale. Per gli importanti, 7 milioni o 1.4%. Non sono cifre teoriche: l’Italia ha già iniziato i primi accertamenti nel 2025.
• Per una software house italiana media il costo realistico di adeguamento è 30.000-150.000 euro in setup iniziale + costi ricorrenti annuali del 5-15% del precedente.

Perché la NIS2 conta nel 2026

La NIS1 del 2016 era nicchia: alcune migliaia di enti coinvolti in tutta Europa, focus su operatori di servizi essenziali (banche grandi, telco, energia). La NIS2 espande lo scope di un ordine di grandezza: stime di settore parlano di oltre centomila enti coinvolti in Europa, di cui diverse migliaia in Italia. Le ragioni dell’allargamento sono note: tre anni di attacchi ransomware alla supply chain (Kaseya, SolarWinds, Log4Shell) hanno reso evidente che la sicurezza del fornitore IT determina la sicurezza del cliente regolato.

Il legislatore europeo ha tratto la conclusione operativa: se un’azienda regolamentata dipende dal vostro software, anche voi siete responsabili di certi livelli di sicurezza. Non potete più tirarvi fuori con clausole contrattuali del tipo “il fornitore non risponde di”.

Nel 2025 ENISA ha pubblicato le linee guida tecniche di dettaglio per la NIS2. Nel 2026 si entra nella fase operativa: prime ispezioni ACN per i soggetti essenziali, prime sanzioni per chi non si è registrato. Aspettare un altro anno per “vedere come va” è la strategia che, statisticamente, porta sanzioni invece di chiarezza.

Cosa è la NIS2 in 3 minuti

NIS2 (Network and Information Security Directive 2, Direttiva UE 2022/2555) è una direttiva europea che impone agli enti rientranti in 18 settori critici di adottare misure di sicurezza informatica e segnalare incidenti significativi. È stata recepita in Italia dal D.Lgs. 138/2024 del 4 settembre 2024.

I 18 settori sono divisi in due tier:

Settori ad alta criticità (Allegato I): energia, trasporti, banche, mercati finanziari, sanità, acque potabili, acque reflue, infrastrutture digitali, gestione servizi ICT B2B, pubbliche amministrazioni, spazio.

Altri settori critici (Allegato II): poste e corrieri, gestione rifiuti, prodotti chimici, alimentare, manifattura (medicale, elettronica, macchinari, veicoli), fornitori digitali, ricerca scientifica.

Dentro questi settori, gli enti sono ulteriormente classificati come essenziali o importanti in base a dimensione (numero di dipendenti, fatturato) e tipo di servizio. La distinzione conta perché vincola gli obblighi:

• Soggetti essenziali: vigilanza preventiva (controlli a campione, ispezioni programmate), sanzioni fino a 10 milioni di euro o 2% del fatturato.
• Soggetti importanti: vigilanza ex-post (controlli solo in caso di incidente o segnalazione), sanzioni fino a 7 milioni di euro o 1.4% del fatturato.

L’autorità competente in Italia è ACN (Agenzia per la Cybersicurezza Nazionale). AgID resta per la sicurezza ICT della PA, ma il riferimento operativo NIS2 è ACN.

La vostra software house è soggetto NIS2?

Tre domande in cascata per capirlo.

1. Operate direttamente in uno dei 18 settori critici? Se la vostra società offre servizi diretti in sanità, energia, banking, telco, ecc. il rientro è automatico. Verificare classificazione settore con codice ATECO.

2. Siete un “fornitore di servizi gestiti” (MSP/MSSP) che gestisce ICT per terzi? La NIS2 considera esplicitamente i managed service provider come soggetti essenziali (Allegato I, settore “gestione servizi ICT B2B”). Una software house che fa hosting, managed Kubernetes, sicurezza gestita, o gestione applicativa per terzi rientra anche se è piccola.

3. Siete fornitori critici di soggetti NIS2? Qui sta il punto sottile. La NIS2 impone ai soggetti regolamentati di gestire la sicurezza della propria supply chain. Concretamente: i vostri clienti regolamentati vi chiederanno per contratto livelli di sicurezza, audit, certificazioni. Anche se la vostra software house non è direttamente soggetto NIS2, di fatto sarete vincolati a soddisfare gli obblighi dei vostri clienti, che vi gireranno sotto forma di clausole contrattuali, security questionnaire, audit periodici.

Soglie dimensionali: il D.Lgs. 138/2024 prevede esoneri per microimprese e piccole imprese (sotto 50 dipendenti e 10 milioni di fatturato), MA con eccezioni importanti: se siete fornitori di servizi di trust digitale, registrar DNS, operatori di telecomunicazioni, MSP critici, rientrate comunque indipendentemente dalla dimensione.

Bottom line per software house italiane: se servite uno o più clienti regolamentati (PA, sanità, banche, energia), la NIS2 vi tocca direttamente o indirettamente in oltre il 90% dei casi. La domanda non è se, ma come.

Quali sono gli obblighi tecnici concreti?

L’art. 24 del D.Lgs. 138/2024 elenca le misure tecniche minime obbligatorie. Tradotte in pratica operativa:

1. Gestione del rischio (risk assessment formalizzato)

Documento di risk assessment IT che mappa i vostri asset (sistemi, dati, processi), le minacce, le vulnerabilità, gli impatti, le contromisure. Va aggiornato almeno annualmente o a ogni cambio significativo. Non è un Excel: è un documento formale con metodologia (ISO 27005, NIST, OCTAVE) e firme di responsabilità.

2. Incident reporting in 24-72 ore

In caso di incidente significativo (compromissione di servizi, esfiltrazione dati, ransomware anche tentato):

• Allarme iniziale: entro 24 ore dalla rilevazione, segnalazione preliminare ad ACN tramite portale dedicato.
• Notifica intermedia: entro 72 ore, valutazione di impatto e descrizione tecnica.
• Rapporto finale: entro 1 mese, root cause analysis completa e misure correttive adottate.

Avere predisposto un incident response plan con questi tempi prima che serva è la differenza fra rispetto della scadenza e sanzione.

3. Business continuity e disaster recovery

Piano di business continuity documentato: cosa succede se va giù il datacenter principale, se viene cifrato il backup, se sparisce una persona chiave. RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definiti per ogni servizio critico, testati almeno annualmente con esercitazioni reali (non solo “verifica documentale”).

4. Supply chain security

I vostri fornitori di terze parti (cloud, SaaS, librerie open-source critiche) vanno valutati per la sicurezza. Concretamente: questionari di sicurezza ai fornitori critici, monitoring delle CVE delle dipendenze, processo di scelta fornitori che include criteri di sicurezza, contratti che includono clausole di sicurezza minima.

5. Controllo accessi e autenticazione forte

MFA obbligatoria per accessi amministrativi. Politica password documentata e conforme a linee guida ENISA (lunghezza minima, rotazione, blacklist). Privileged Access Management per chi ha accessi root/admin. Log di tutti gli accessi conservati per minimo 12 mesi.

6. Cifratura e protezione dati

Cifratura in transito (TLS 1.3) e a riposo per tutti i dati sensibili. Gestione delle chiavi documentata (HSM o KMS cloud con audit). Per dati personali ex GDPR vale anche l’articolo 32 GDPR, che NIS2 non sostituisce ma affianca.

7. Governance e formazione

Designazione formale di un responsabile della sicurezza (CISO o ruolo equivalente, anche esterno se piccoli). Formazione annuale obbligatoria del personale su cybersecurity. Politiche di sicurezza documentate, firmate e revisionate.

Come ci si registra ad ACN?

Procedura attualmente prevista dal D.Lgs. 138/2024 (verificare aggiornamenti sul portale ACN):

1. Self-assessment di rientro nello scope NIS2 (settore, dimensione, tipo di servizi).
2. Accesso al portale ACN con SPID o CIE del legale rappresentante.
3. Compilazione del modulo di registrazione con: dati anagrafici società, settore di attività, qualifica come essenziale o importante, servizi offerti, designazione del referente per la sicurezza, designazione del point of contact per incidenti.
4. Conferma e ricevuta: il portale rilascia codice di registrazione. Da quel momento siete formalmente soggetto NIS2.

La scadenza per la registrazione è 90 giorni dall’entrata in vigore del decreto (ottobre 2024) per chi era già rientrante, e 90 giorni dalla qualifica per chi rientra successivamente per crescita o cambio di servizi.

Chi non si registra entro i tempi rischia una sanzione amministrativa specifica, anche prima di qualsiasi incidente: l’omessa registrazione è un illecito autonomo.

Quali sono le sanzioni reali?

Le sanzioni del D.Lgs. 138/2024 sono articolate su più dimensioni.

Sanzioni amministrative pecuniarie:

• Soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato globale annuo del gruppo (la cifra più alta).
• Soggetti importanti: fino a 7 milioni di euro o 1.4% del fatturato globale annuo (la cifra più alta).

Sanzioni accessorie:

• Sospensione temporanea dell’autorizzazione a operare in determinati settori
• Interdizione temporanea dei vertici societari da ruoli di management

Responsabilità personale dei vertici: La NIS2 ha introdotto un principio nuovo: i membri dell’organo di amministrazione (CdA, amministratore unico) sono personalmente responsabili del rispetto degli obblighi di sicurezza. Non possono delegare la responsabilità al CISO o all’IT. Devono approvare le misure di sicurezza, supervisionarne l’attuazione, ricevere formazione adeguata.

Nel 2025 ENISA ha pubblicato un primo report sulle prime sanzioni applicate in Europa: la maggior parte sotto i 500k euro per PMI, con cifre crescenti per gruppi più grandi. Per il 2026 ACN ha annunciato che inizierà controlli sistematici a campione, e che la mancata registrazione sarà la prima fonte di sanzioni automatiche.

Cosa fare adesso: roadmap realistica in 6 mesi

Per una software house italiana media (20-80 persone, qualche cliente regolamentato), la roadmap che vediamo funzionare:

Mese 1: assessment

Self-assessment NIS2 documentato: siamo soggetti? Quale categoria? Quali clienti regolamentati abbiamo? Output: documento di 5-10 pagine con la posizione formale dell’azienda.

Mese 2: registrazione e governance

Registrazione portale ACN. Designazione formale del responsabile sicurezza (interno o consulente esterno). Approvazione CdA delle politiche di sicurezza base.

Mese 3: risk assessment formale

Inventario asset IT, mappatura minacce, valutazione vulnerabilità, definizione contromisure. Output: documento di risk assessment ISO 27005-compliant.

Mese 4: misure tecniche prioritarie

MFA su tutti gli accessi amministrativi. Log centralization con retention 12 mesi. Aggiornamento processo di gestione patch. Politica di backup verificata con test reali di restore.

Mese 5: incident response e business continuity

Stesura dell’incident response plan con tempi di reporting NIS2. Stesura del business continuity plan con RTO/RPO per i servizi critici. Esercitazione pratica (tabletop exercise) di un incidente simulato.

Mese 6: supply chain e formazione

Questionari di sicurezza ai fornitori critici. Aggiornamento template contratti con clausole NIS2 supply chain. Formazione cybersecurity per tutto il personale.

Sopra questa baseline, gli obblighi continuano (review annuale, training continuo, monitoring CVE), ma la postura iniziale è coperta.

Errori comuni delle software house italiane

1. “Siamo piccoli, non ci riguarda”. La dimensione esonera in alcuni casi ma non in altri. Se servite anche un solo cliente regolamentato, la NIS2 vi raggiungerà tramite supply chain. Meglio capirlo per tempo che farsi sorprendere da un security questionnaire del cliente.

2. Comprare una certificazione e fermarsi lì. ISO 27001 è un buon punto di partenza ma non equivale automaticamente a NIS2 compliance. NIS2 ha obblighi specifici (incident reporting, supply chain, governance esecutiva) che ISO 27001 copre parzialmente. Vanno fatti entrambi.

3. Trattare la NIS2 come progetto IT. È un progetto di governance aziendale. Senza commitment del CdA e budget riconosciuto, la NIS2 diventa un Excel di buoni propositi. La responsabilità personale dei vertici è il punto: hanno tutto l’interesse a fare sul serio.

4. Affidarsi solo a consulenti generici. Ci sono consulenze che vendono “pacchetto NIS2” preconfezionato a 5-15k euro. La maggior parte produce documenti generici poco utili in caso di ispezione. Serve consulenza che capisca il vostro contesto tecnico specifico.

5. Procrastinare la registrazione. La registrazione al portale ACN è la cosa più rapida e più rischiosa da rimandare. Tempo di compilazione: 2-4 ore. Sanzione per mancata registrazione: significativa e relativamente automatica. Conviene chiudere la registrazione subito, poi lavorare con calma sulla compliance sostanziale.

FAQ

Una software house di 15 persone che fa SaaS per studi medici è soggetto NIS2?

Sì, quasi certamente come soggetto importante o essenziale a seconda della scala dei clienti. Operare nel settore sanitario (Allegato I) anche come fornitore tecnologico fa rientrare. Le soglie dimensionali offrono esoneri parziali ma raramente totali per chi opera in sanità.

Quanto costa adeguarsi alla NIS2 per una software house media?

Range realistico: 30.000-150.000 euro in setup iniziale (consulenza, formazione, strumenti, eventuale certificazione ISO 27001), più costi ricorrenti annui del 5-15% del setup. I costi crescono se la software house non aveva nessuna baseline di sicurezza preesistente. Per chi parte da una postura già discreta (uso AWS/Azure ben configurato, qualche policy scritta, MFA almeno per gli admin), si sta sulla fascia bassa.

Cosa devo fare se mi accorgo di un incidente di sicurezza il venerdì sera?

La NIS2 non si ferma il venerdì. Il timer dei 24 ore parte dal momento di rilevazione effettiva, non dal momento in cui è “comodo” gestire. Tre cose: (1) attivate l’incident response plan documentato (se non c’è, fatelo questo lunedì), (2) inviate la segnalazione preliminare ad ACN entro 24h anche se incompleta (meglio segnalare presto e integrare poi), (3) documentate cronologia e azioni intraprese minuto per minuto: serviranno per il rapporto finale.

Come si dimostra all’auditor ACN di essere compliant?

Serve documentazione: risk assessment firmato e datato, policy di sicurezza approvate dal CdA con verbali, log di formazione dei dipendenti, evidenze tecniche delle misure (configurazioni MFA, log retention, backup test), incident response plan testato. La documentazione “esiste su carta” non basta: l’auditor verifica che sia effettivamente applicata. La differenza fra le due si vede subito.

Si può combinare NIS2 con altre normative (GDPR, ISO 27001, AI Act)?

Sì, ed è consigliabile. GDPR + NIS2 + ISO 27001 + (in prospettiva) AI Act hanno requisiti sovrapposti. Un sistema di gestione integrato (ISMS) consente di soddisfare tutti gli obblighi con un’unica documentazione coerente, evitando duplicazioni. Per chi è già ISO 27001-certified, la NIS2 aggiunge il 30-40% di lavoro, non il 100%.

Conclusione

La NIS2 non è un Y2K. Non sparisce se la ignorate, e gli effetti pratici si materializzano lentamente ma stabilmente: i clienti regolamentati cominciano a inserire clausole, ACN comincia i controlli a campione, le assicurazioni cyber cominciano a richiedere la compliance come prerequisito per la copertura. Le software house che si muovono nel 2026 si trovano nel 2027 con un vantaggio competitivo concreto sui clienti regolamentati. Quelle che aspettano il 2028 si troveranno escluse dalle gare per ritardo o costretti a corsa contro il tempo.

Se state valutando il vostro posizionamento NIS2 e volete un assessment concreto del vostro caso (siamo soggetti? quale categoria? cosa manca alla compliance?), parliamone. Il primo confronto è gratuito.

Per approfondire altri aspetti regolamentari: la pagina pilastro software custom security-aware, e l’articolo correlato sull’AI Act in vigore da agosto 2026.