Ottobre 2026 è la scadenza finale per adeguarsi ai requisiti tecnici della Direttiva NIS2 in Italia. Se la tua azienda non ha ancora avviato un NIS2 gap assessment, stai correndo un rischio concreto: sanzioni fino a 10 milioni di euro o il 2% del fatturato globale.
In questa guida ti spieghiamo esattamente cos’è un gap assessment NIS2, chi è obbligato a farlo, come si svolge e cosa succede se non lo fai in tempo.
Cos’è la Direttiva NIS2 e perché riguarda anche te
La Direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) è la normativa europea sulla sicurezza delle reti e dei sistemi informativi. Ha sostituito la vecchia NIS1 ampliando enormemente il perimetro dei soggetti obbligati: si stima che in Italia coinvolga oltre 16.000 aziende.
Non si tratta solo di grandi corporation. La NIS2 si applica a:
- Aziende con 50+ dipendenti o fatturato superiore a 10 milioni di euro in settori critici (ICT, energia, trasporti, sanità, manifattura, servizi digitali e altri)
- PMI di qualsiasi dimensione che fanno parte della supply chain di un soggetto essenziale o importante — senza soglia minima
In pratica: se lavori come fornitore IT, MSP, o partner tecnologico di aziende medio-grandi, sei quasi certamente dentro il perimetro.
Le scadenze NIS2 in Italia: dove siamo adesso
Ecco il calendario degli adempimenti:
| Data | Adempimento |
|---|---|
| 16 ottobre 2024 | Entrata in vigore D.Lgs. 138/2024 |
| 28 febbraio 2025 | Registrazione obbligatoria piattaforma ACN |
| Gennaio 2026 | Obbligo di notifica degli incidenti |
| Ottobre 2026 | Adeguamento completo ai requisiti di sicurezza |
Cos’è il NIS2 Gap Assessment
Il gap assessment NIS2 è un’analisi strutturata che confronta il livello di sicurezza attuale della tua organizzazione con i requisiti imposti dalla direttiva. L’obiettivo è misurare la “distanza” (il gap, appunto) tra dove sei oggi e dove devi arrivare per essere conforme.
Non è un audit formale — è una fotografia oggettiva del tuo stato di sicurezza, funzionale a costruire un piano di remediation realistico e prioritizzato.
I 5 passi del Gap Assessment NIS2
1. Verifica se sei soggetto obbligato
Prima ancora di fare qualsiasi analisi tecnica, devi stabilire se rientri nel perimetro NIS2. I criteri sono:
- Settore di attività: controlla se il tuo settore è nell’Allegato I (alta criticità) o Allegato II (alta criticità ampliato) del D.Lgs. 138/2024
- Dimensione: almeno 50 dipendenti oppure fatturato/bilancio annuo ≥ 10 milioni di euro
- Ruolo nella supply chain: sei fornitore critico di un soggetto già classificato NIS2?
Se sei un MSP o fornitore IT, la risposta quasi sempre è sì.
2. Mappa la tua infrastruttura
Prima di valutare i gap, devi sapere cosa stai proteggendo. La mappatura include:
- Inventario di tutti i sistemi informativi, server, endpoint, dispositivi di rete
- Applicazioni critiche per l’operatività aziendale
- Dati trattati (tipologia, sensibilità, volume)
- Fornitori e terze parti con accesso ai sistemi
- Processi aziendali dipendenti dall’IT
Questo asset inventory è anche un obbligo NIS2 in sé — non puoi proteggere ciò che non conosci.
3. Valuta la postura di sicurezza attuale
Analizza i 10 domini tecnici richiesti dalla NIS2:
| Autenticazione | MFA obbligatoria su tutti i sistemi critici |
| Patch Management | Patch critiche applicate entro 72 ore |
| Backup | Backup immutabile, testato, con RTO/RPO documentati |
| Logging | Log centralizzati con retention minima 12 mesi |
| Incident Response | Piano IR documentato e testato |
| Cifratura | Dati at rest e in transit cifrati |
| Segmentazione rete | Separazione VLAN, zero-trust dove possibile |
| Vulnerability Assessment | VA periodici con remediation tracciata |
| Supply Chain | Audit fornitori, contratti con clausole di sicurezza |
| Formazione | Cybersecurity awareness per tutti, incluso il CDA |
Per ciascun dominio assegni un livello: Non implementato / Parziale / Implementato / Ottimizzato. I gap emergono dove sei sotto il livello richiesto.
4. Classifica i gap per rischio e priorità
Non tutti i gap hanno lo stesso peso. Una matrice rischio × impatto ti aiuta a prioritizzare:
- Priorità Alta: assenza di MFA, nessun backup immutabile, nessun piano IR, log assenti → remediation immediata
- Priorità Media: patching non strutturato, VA non periodici, formazione assente → piano a 3 mesi
- Priorità Bassa: segmentazione parziale, documentazione incompleta → piano a 6 mesi
5. Costruisci il Piano di Remediation
Il gap assessment si chiude con un piano di remediation che specifica per ogni gap:
- Azione correttiva concreta
- Responsabile interno o fornitore esterno
- Scadenza
- Costo stimato
- Stato (aperto / in corso / chiuso)
Questo documento è ciò che dimostra all’ACN — in caso di controllo — che stai procedendo in modo strutturato verso la conformità.
Le conseguenze della non conformità sono due livelli:
Sanzioni amministrative:
- Soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato globale
- Soggetti importanti: fino a 7 milioni di euro o 1,4% del fatturato globale
- Per mancata registrazione: sanzione fino allo 0,1% del fatturato annuo
Responsabilità del management:
La NIS2 introduce la responsabilità diretta degli organi di vertice. In caso di incidente grave derivante da mancata conformità, il CDA risponde personalmente. Il management non può più delegare la cybersecurity come problema “solo IT”.
NIS2 e GDPR: la differenza che devi conoscere
Spesso le aziende confondono NIS2 e GDPR. Sono normative diverse ma complementari:
| GDPR | NIS2 | |
|---|---|---|
| Focus | Protezione dati personali | Sicurezza reti e sistemi |
| Chi si applica | Chiunque tratti dati personali UE | Settori critici + supply chain |
| Notifica incidenti | 72 ore al Garante | 24 ore (alert) + 72 ore (notifica) all’ACN |
| Responsabilità | Data Protection Officer | Organi di vertice aziendali |
Essere conformi al GDPR non significa essere conformi alla NIS2. Servono azioni specifiche aggiuntive.
Gap Assessment NIS2: farlo internamente o con un partner?
Puoi condurre un gap assessment internamente se hai un team IT strutturato con competenze in cybersecurity e governance. Nella pratica, la maggior parte delle PMI non ha internamente:
- Le competenze per valutare i 10 domini tecnici in modo obiettivo
- Il tempo dedicato (un gap assessment completo richiede 2–4 settimane)
- La neutralità per autovalutarsi senza bias
Un MSP specializzato in compliance porta metodi strutturati, benchmark di settore e la capacità di tradurre immediatamente i gap in azioni concrete.
💡 SysUP affianca le PMI milanesi e lombarde in tutto il percorso NIS2: dalla verifica del perimetro al gap assessment, dal piano di remediation all’implementazione tecnica. Scopri il servizio Compliance e Adeguamento →
Checklist rapida: sei pronto per la NIS2?
Rispondi sì/no a queste 10 domande:
- Hai verificato se rientri nel perimetro NIS2?
- Ti sei registrato sulla piattaforma ACN?
- Hai un inventario aggiornato di tutti i sistemi IT?
- Hai implementato MFA su tutti i sistemi critici?
- Hai un piano di backup immutabile testato regolarmente?
- I log di sistema sono centralizzati e conservati per almeno 12 mesi?
- Hai un piano di incident response documentato?
- Applichi patch critiche entro 72 ore dal rilascio?
- Hai valutato i rischi cyber nella tua catena di fornitura?
- Il tuo management è stato formato sulla NIS2?
Meno di 7 “sì”: hai gap significativi da colmare prima di ottobre 2026. Il momento giusto per iniziare è adesso.
Conclusione
Il NIS2 gap assessment non è un adempimento burocratico da rimandare — è il punto di partenza concreto per proteggere la tua azienda da sanzioni, incidenti e danni reputazionali. Con la scadenza di ottobre 2026 che si avvicina, ogni mese che passa riduce il tempo disponibile per implementare le misure richieste.
Il processo in 5 passi che abbiamo descritto — verifica perimetro, mappatura asset, valutazione postura, prioritizzazione gap, piano di remediation — è esattamente quello che seguiamo con i nostri clienti.
Vuoi sapere dove si trova oggi la tua azienda rispetto alla NIS2?
Prenota una call gratuita di 30 minuti →
FAQ — Domande frequenti sulla NIS2
Cos’è il gap assessment NIS2?
È un’analisi che confronta la sicurezza informatica attuale di un’azienda con i requisiti della Direttiva NIS2, identificando le aree di non conformità e le azioni correttive da implementare.
Chi è obbligato a fare il gap assessment NIS2?
Tutte le aziende che rientrano nel perimetro NIS2: organizzazioni con 50+ dipendenti o 10M€+ di fatturato in settori critici, e PMI fornitori di soggetti già classificati NIS2, indipendentemente dalla dimensione.
Entro quando bisogna essere conformi alla NIS2 in Italia?
La scadenza per l’adeguamento completo ai requisiti tecnici è ottobre 2026. La registrazione sulla piattaforma ACN era obbligatoria entro febbraio 2025.
Quali sono le sanzioni per la non conformità NIS2?
Per soggetti essenziali: fino a 10 milioni di euro o 2% del fatturato globale. Per soggetti importanti: fino a 7 milioni di euro o 1,4% del fatturato. Il management risponde personalmente in caso di incidente derivante da negligenza.
Quanto tempo richiede un gap assessment NIS2?
Dipende dalla dimensione e complessità dell’infrastruttura. Per una PMI con 50–200 dipendenti, un gap assessment completo richiede tipicamente 2–4 settimane.
La NIS2 si applica anche alle PMI senza dipendenti IT?
Sì, se rientrano per settore o catena di fornitura. In questi casi l’affiancamento di un MSP esterno è la soluzione più pratica per gestire sia il gap assessment che la remediation.
