Direttiva NIS2 a Napoli e in Campania: Guida Completa agli Obblighi di Cybersecurity per le Aziende nel 2026

La Direttiva NIS2 impone nuovi obblighi di cybersecurity a migliaia di aziende italiane, comprese molte PMI di Napoli e della Campania. Dal 1° gennaio 2026 è scattato l’obbligo di notifica degli incidenti informatici significativi, ed entro settembre-ottobre 2026 tutte le imprese nel perimetro NIS2 dovranno aver implementato le misure di sicurezza di base. Le sanzioni per chi non si adegua arrivano fino a 10 milioni di euro o al 2% del fatturato annuo.

In questa guida, gli specialisti di Mconnect Gruppo Telemanapoli analizzano tutto ciò che un imprenditore o un responsabile IT campano deve sapere: cos’è la NIS2, chi è obbligato, quali sono le scadenze, cosa bisogna fare concretamente e come affrontare il percorso di adeguamento senza farsi trovare impreparati.

Hai bisogno di capire subito se la tua azienda rientra nel perimetro NIS2? Richiedi una consulenza gratuita con i nostri specialisti a Napoli. Scopri i nostri servizi di cybersecurity.

Cos’è la Direttiva NIS2 e perché riguarda anche le PMI campane

La Direttiva NIS2 (Network and Information Security 2) è la normativa europea che impone standard minimi di cybersecurity a tutte le imprese che operano in settori critici o importanti. Recepita in Italia con il Decreto Legislativo 138/2024, entrato in vigore il 16 ottobre 2024, la NIS2 amplia enormemente il perimetro della precedente NIS1, coinvolgendo per la prima volta anche medie imprese con più di 50 dipendenti o con fatturato superiore ai 10 milioni di euro.

Questo significa che molte PMI di Napoli, Salerno, Caserta, Avellino e Benevento che fino a ieri non avevano obblighi specifici sulla sicurezza informatica, oggi sono tenute a implementare misure concrete di protezione, a notificare gli incidenti alle autorità e a dimostrare una governance strutturata della cybersecurity.

Il dato è significativo: oltre 30.000 organizzazioni italiane si sono registrate sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), di cui oltre 5.000 classificate come soggetti essenziali. In Campania, dove il tessuto produttivo è composto prevalentemente da PMI nei settori manifatturiero, sanitario, agroalimentare, turistico e dei trasporti, l’impatto della NIS2 è particolarmente rilevante.

La Direttiva NIS2 (UE 2022/2555) non si limita a richiedere l’installazione di un antivirus o di un firewall. Impone un cambio di paradigma nella governance aziendale: la cybersecurity non è più un tema tecnico delegabile esclusivamente al reparto IT, ma diventa una responsabilità diretta degli organi di amministrazione e direzione, con conseguenze personali in caso di inadempienza.

Chi rientra nella NIS2: criteri di identificazione

Rientrano nel perimetro NIS2 le medie e grandi imprese che operano nei settori critici individuati dalla Direttiva. Per “media impresa” si intende un’organizzazione con almeno 50 dipendenti oppure un fatturato annuo superiore a 10 milioni di euro. Le grandi imprese (oltre 250 dipendenti o fatturato superiore a 50 milioni) sono automaticamente incluse.

I criteri di inclusione si basano su due fattori combinati:

1. Dimensione dell’impresa

La NIS2 si applica alle imprese che superano le soglie dimensionali di una piccola impresa secondo la definizione europea. Concretamente, un’azienda rientra nel perimetro se ha più di 50 dipendenti oppure se il suo fatturato annuo o bilancio totale annuo supera i 10 milioni di euro. Attenzione: è sufficiente superare anche uno solo di questi parametri.

2. Settore di attività

L’impresa deve operare in uno dei settori elencati negli Allegati I e II della Direttiva. L’Allegato I comprende i settori ad alta criticità (energia, trasporti, sanità, infrastrutture digitali, acqua potabile, acque reflue, spazio, pubblica amministrazione, settore bancario e infrastrutture dei mercati finanziari). L’Allegato II include altri settori critici come manifatturiero, alimentare, chimico, gestione rifiuti, servizi postali, ricerca e fabbricazione di dispositivi medici.

Eccezioni importanti: Alcune categorie di imprese rientrano indipendentemente dalla dimensione. Tra queste: fornitori di reti di comunicazione elettronica pubblica, prestatori di servizi fiduciari qualificati, registri di nomi di dominio di primo livello, fornitori di servizi DNS e alcune categorie individuate specificatamente dall’ACN.

Per le aziende campane, il consiglio è chiaro: non dare per scontato di essere esclusi. Il perimetro è molto più ampio di quanto ci si aspetti, e include anche imprese che operano nella catena di fornitura di soggetti essenziali.

I settori coinvolti dalla NIS2 in Campania

La NIS2 coinvolge 18 macro-settori suddivisi in due categorie: settori ad alta criticità e altri settori critici. Molti di questi sono fortemente rappresentati nel tessuto economico campano, rendendo la Direttiva particolarmente rilevante per le imprese di Napoli e provincia.

Settori ad alta criticità (Allegato I):

• Energia – produzione, distribuzione e fornitura di elettricità, gas, petrolio, idrogeno e teleriscaldamento. Include molte aziende campane nel settore delle energie rinnovabili e della distribuzione.
• Trasporti – trasporto aereo, ferroviario, marittimo, su strada e relativi operatori logistici. Il porto di Napoli e le numerose aziende di logistica campane rientrano in questa categoria.
• Sanità – ospedali, laboratori di riferimento, produttori di dispositivi medici, aziende farmaceutiche. La Campania ha un ecosistema sanitario vasto, con strutture pubbliche e private coinvolte.
• Acqua potabile e acque reflue – gestori del servizio idrico integrato.
• Infrastrutture digitali – fornitori di servizi cloud, data center, reti di distribuzione di contenuti, fornitori di servizi DNS.
• Settore bancario e infrastrutture finanziarie – enti creditizi, gestori di sedi di negoziazione, controparti centrali.
• Spazio – operatori di infrastrutture terrestri a supporto di servizi spaziali.
• Pubblica amministrazione – enti centrali e locali.

Altri settori critici (Allegato II):

• Servizi postali e di corriere – un settore in forte crescita in Campania grazie all’e-commerce.
• Gestione dei rifiuti – aziende che gestiscono raccolta, trattamento e smaltimento.
• Fabbricazione, produzione e distribuzione di sostanze chimiche – rilevante per il polo chimico campano.
• Produzione, trasformazione e distribuzione di alimenti – un settore chiave per la Campania, dalla mozzarella di bufala all’industria conserviera.
• Fabbricazione – dispositivi medici, computer, apparecchiature elettriche, macchinari, autoveicoli, altri mezzi di trasporto. Il settore manifatturiero campano, dall’aerospaziale di Capua al tessile napoletano, è direttamente interessato.
• Fornitori di servizi digitali – marketplace online, motori di ricerca, piattaforme di social networking.
• Ricerca – organizzazioni di ricerca i cui risultati possono essere sfruttati per fini commerciali.

In Campania, settori come agroalimentare, manifatturiero, sanitario, trasporti e logistica portuale rappresentano una quota significativa dell’economia regionale. Molte imprese in questi ambiti scopriranno — o hanno già scoperto — di rientrare nel perimetro NIS2.

Differenza tra soggetti essenziali e soggetti importanti

La NIS2 classifica le organizzazioni in due categorie — soggetti essenziali e soggetti importanti — con obblighi differenziati. I soggetti essenziali sono generalmente le grandi imprese nei settori ad alta criticità e sono soggetti a 43 misure e 116 requisiti. I soggetti importanti devono implementare 37 misure e 87 requisiti. Entrambe le categorie sono soggette a sanzioni.

Soggetti essenziali: comprendono le grandi imprese (oltre 250 dipendenti o fatturato superiore a 50 milioni di euro) che operano nei settori dell’Allegato I. Rientrano inoltre automaticamente, a prescindere dalla dimensione, i fornitori di reti di comunicazione elettronica pubblica, i prestatori di servizi fiduciari qualificati, i registri dei nomi di dominio di primo livello e i fornitori di servizi DNS. L’ACN può inoltre classificare come essenziali soggetti specifici in base a criteri di criticità.

Soggetti importanti: includono le medie imprese (50-250 dipendenti o fatturato tra 10 e 50 milioni di euro) che operano sia nei settori dell’Allegato I sia in quelli dell’Allegato II, più le grandi imprese dei settori dell’Allegato II.

Le differenze operative principali:

• Misure di sicurezza: i soggetti essenziali devono implementare 6 misure aggiuntive e 29 requisiti in più rispetto ai soggetti importanti.
• Regime sanzionatorio: le sanzioni massime per i soggetti essenziali sono più elevate (10 milioni € vs 7 milioni €).
• Vigilanza: i soggetti essenziali sono sottoposti a un regime di vigilanza proattivo (ispezioni anche senza motivo specifico), mentre i soggetti importanti sono soggetti a vigilanza reattiva (verifiche a seguito di segnalazioni o incidenti).
• Configurazioni di riferimento: solo i soggetti essenziali devono mantenere elenchi delle configurazioni di riferimento dei propri sistemi.

Per un’azienda napoletana, capire in quale categoria si ricade è il primo passo fondamentale per dimensionare correttamente il percorso di adeguamento e l’investimento necessario.

Le scadenze NIS2 nel 2026: timeline completa

Il 2026 è l’anno in cui la NIS2 diventa pienamente operativa in Italia. Dopo la fase di registrazione e censimento del 2025, le aziende devono ora implementare concretamente le misure di sicurezza. Le scadenze principali sono: gennaio 2026 per l’obbligo di notifica incidenti, aprile 2026 per la categorizzazione e gli obblighi a lungo termine, settembre-ottobre 2026 per l’implementazione completa delle misure di base.

Timeline dettagliata:

Fase già completata (2024-2025):

• 16 ottobre 2024: entrata in vigore del D.Lgs. 138/2024.
• 1° dicembre 2024 – 28 febbraio 2025: registrazione obbligatoria sulla piattaforma ACN.
• 31 marzo 2025: adozione dell’elenco ufficiale dei soggetti NIS.
• Aprile 2025: notifica ai soggetti della loro classificazione (essenziale o importante) e pubblicazione della Determinazione ACN n. 164179/2025 con le misure di base.
• 15 aprile – 31 maggio 2025: aggiornamento annuale dei dati sulla piattaforma.
• 31 dicembre 2025: designazione del Referente CSIRT e adozione documentale del Piano di gestione incidenti.

Scadenze 2026 — le date che non puoi dimenticare:

• 1° gennaio 2026: entra in vigore l’obbligo di notifica degli incidenti significativi al CSIRT Italia. Da questa data, ogni incidente che causa perturbazione operativa grave o perdite finanziarie deve essere segnalato tempestivamente.
• 1° gennaio – 28 febbraio 2026: si riapre la piattaforma ACN per la registrazione 2026. Anche i soggetti già registrati nel 2025 devono rinnovare la dichiarazione.
• Entro aprile 2026: elaborazione e adozione del modello di categorizzazione delle attività e dei servizi. Elaborazione e adozione degli obblighi a lungo termine.
• Febbraio – settembre 2026: pubblicazione progressiva delle linee guida settoriali da parte dell’ACN per supportare l’implementazione.
• Entro settembre-ottobre 2026 (18 mesi dalla notifica ACN): implementazione completa delle misure di sicurezza di base previste dagli Allegati 1 e 2 della Determinazione ACN.
• Entro 9 mesi dalla notifica: adempimento dell’obbligo di notifica degli incidenti di base definiti agli Allegati 3 e 4.
• Da ottobre 2026: l’ACN potrà avviare le attività ispettive, transitando dalla fase di accompagnamento alla fase di verifica e controllo.

Per le aziende campane che non hanno ancora iniziato il percorso di adeguamento, il tempo stringe. Implementare un sistema completo di cybersecurity conforme alla NIS2 richiede mediamente 4-8 mesi di lavoro, il che significa che chi parte oggi a febbraio 2026 arriva al limite della scadenza di ottobre.

Gli obblighi concreti della NIS2 per le aziende

La NIS2 impone alle aziende quattro macro-aree di obblighi: governance della cybersecurity, gestione del rischio informatico, notifica degli incidenti e sicurezza della supply chain. Non si tratta di acquistare un software, ma di costruire un sistema organizzativo completo che integri persone, processi e tecnologie nella protezione dell’infrastruttura digitale aziendale.

Le misure di sicurezza richieste dalla Determinazione ACN sono sviluppate secondo il Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025), basato sul Framework NIST v. 2.0, e si articolano su cinque ambiti fondamentali:

• Identificazione (Identify): mappatura degli asset, valutazione del rischio, governance della sicurezza.
• Protezione (Protect): controlli di accesso, protezione dei dati, sicurezza delle reti, formazione del personale.
• Rilevamento (Detect): monitoraggio continuo, rilevamento anomalie, logging degli eventi.
• Risposta (Respond): piano di risposta agli incidenti, comunicazione, contenimento, analisi.
• Ripristino (Recover): piani di disaster recovery, continuità operativa, miglioramento continuo.

In concreto, la documentazione che un’azienda deve predisporre e approvare formalmente comprende: politiche di sicurezza informatica, piano di gestione degli incidenti, procedure di business continuity e disaster recovery, politiche di gestione della supply chain, procedure di vulnerability assessment, politiche di crittografia, procedure di gestione degli accessi, programmi di formazione e molto altro.

Governance e responsabilità degli amministratori

La NIS2 introduce la responsabilità diretta degli organi di amministrazione e direzione sulla cybersecurity aziendale. Non è più possibile delegare completamente la sicurezza informatica al reparto IT. L’articolo 23 del D.Lgs. 138/2024 stabilisce che amministratori e dirigenti devono approvare le misure di sicurezza, sovraintendere alla loro implementazione e seguire una formazione specifica. La violazione di questi obblighi può comportare sanzioni personali, inclusa l’interdizione dalle funzioni dirigenziali.

Questo è un cambio di paradigma particolarmente significativo per le PMI campane, dove spesso la gestione IT è affidata a un unico responsabile o addirittura esternalizzata completamente. La NIS2 richiede che:

• Gli organi di amministrazione approvino formalmente le modalità di implementazione delle misure di gestione dei rischi.
• Gli stessi organi sovraintendano all’implementazione degli obblighi previsti dal Decreto.
• I membri degli organi di amministrazione e direzione seguano una formazione adeguata in materia di cybersecurity per acquisire conoscenze e competenze sufficienti a valutare i rischi e le pratiche di gestione.
• La formazione venga estesa ai dipendenti, affinché siano in grado di individuare i rischi e valutare le pratiche di gestione della sicurezza informatica.
• L’approvazione del Piano di gestione degli incidenti spetti obbligatoriamente agli organi di amministrazione, con riesame almeno biennale.

Per un amministratore delegato o un titolare di PMI a Napoli, questo significa che ignorare la NIS2 non è un’opzione: la responsabilità è personale e non delegabile.

Gestione del rischio informatico

Ogni azienda nel perimetro NIS2 deve adottare un approccio strutturato alla gestione del rischio informatico, proporzionato alla propria dimensione, al settore e al livello di esposizione. Questo include vulnerability assessment periodici, politiche di gestione degli accessi, crittografia dei dati, protezione della rete e monitoraggio continuo. L’obiettivo non è raggiungere il rischio zero, ma dimostrare di aver adottato misure adeguate e documentate.

Le misure di gestione del rischio previste dall’articolo 24 del D.Lgs. 138/2024 comprendono almeno:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete: un documento formale che identifica gli asset critici, valuta le minacce e definisce le contromisure.
• Gestione degli incidenti: procedure documentate per rilevare, gestire e risolvere gli incidenti di sicurezza.
• Continuità operativa e gestione delle crisi: piani di backup, disaster recovery e business continuity che garantiscano la ripresa delle attività in tempi definiti.
• Sicurezza della catena di approvvigionamento: valutazione e gestione dei rischi derivanti dai fornitori e dai partner tecnologici.
• Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi: gestione delle vulnerabilità e relative procedure di divulgazione.
• Politiche e procedure per valutare l’efficacia delle misure: audit periodici, test di penetrazione, esercitazioni.
• Pratiche di igiene informatica di base e formazione: programmi di sensibilizzazione per tutti i dipendenti.
• Politiche relative all’uso della crittografia: cifratura dei dati a riposo e in transito.
• Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset.
• Autenticazione a più fattori (MFA): accesso sicuro a sistemi e applicazioni critiche.

Per una PMI napoletana, la buona notizia è che molte di queste misure possono essere implementate in modo graduale e proporzionato. Un cyber risk assessment iniziale permette di identificare le priorità e allocare le risorse dove servono davvero.

Obbligo di notifica degli incidenti

Dal 1° gennaio 2026, le aziende nel perimetro NIS2 devono notificare al CSIRT Italia ogni incidente informatico significativo, seguendo tempistiche precise e obbligatorie. La prima segnalazione (“pre-notifica”) deve avvenire entro 24 ore dalla scoperta dell’incidente. Una notifica completa è richiesta entro 72 ore, seguita da una relazione finale entro un mese dalla chiusura dell’incidente.

Un incidente è considerato significativo quando:

• Ha causato o è in grado di causare una grave perturbazione operativa dei servizi.
• Ha provocato o può provocare perdite finanziarie per il soggetto interessato.
• Ha avuto o potrebbe avere ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Le fasi della notifica:

• Entro 24 ore: pre-notifica al CSIRT Italia con le informazioni iniziali sull’incidente, indicando se si sospetta che derivi da atti illegittimi o malevoli o possa avere impatto transfrontaliero.
• Entro 72 ore: notifica completa che aggiorna le informazioni della pre-notifica e include una valutazione iniziale dell’incidente, la sua gravità, il suo impatto e, ove disponibili, gli indicatori di compromissione.
• Entro un mese: relazione finale che comprende una descrizione dettagliata dell’incidente, il tipo di minaccia o causa scatenante, le misure di attenuazione applicate e in corso, e l’impatto transfrontaliero se presente.

È importante sapere che la notifica non espone l’azienda a una maggiore responsabilità rispetto a quella derivante dall’incidente stesso. Anzi, la mancata notifica è sanzionabile autonomamente.

Per garantire il rispetto di queste tempistiche, le aziende devono avere un piano di risposta agli incidenti già testato e operativo, con ruoli e responsabilità chiari. Questo è esattamente il tipo di supporto che Mconnect offre alle aziende campane, con un team disponibile 24/7 per la gestione delle emergenze cyber.

Sicurezza della supply chain

La NIS2 impone alle aziende di valutare e gestire i rischi di cybersecurity derivanti dalla propria catena di approvvigionamento e dai rapporti con i fornitori. Questo significa che anche le PMI campane che forniscono beni o servizi a soggetti NIS2 possono essere indirettamente coinvolte, dovendo dimostrare standard di sicurezza adeguati per mantenere i propri contratti commerciali.

L’obbligo di sicurezza della supply chain è particolarmente rilevante in Campania per diversi motivi. Il tessuto economico campano è fortemente interconnesso: le PMI napoletane spesso operano come subfornitori di grandi aziende nei settori manifatturiero, sanitario, alimentare e dei trasporti. Se il committente rientra nel perimetro NIS2, dovrà necessariamente verificare che i propri fornitori rispettino standard minimi di sicurezza.

In pratica, le aziende NIS2 devono:

• Mappare la propria supply chain digitale, identificando tutti i fornitori che hanno accesso a sistemi, reti o dati aziendali.
• Valutare il livello di sicurezza di ciascun fornitore, attraverso questionari, audit o certificazioni.
• Includere clausole di cybersecurity nei contratti con fornitori e partner.
• Monitorare nel tempo il livello di sicurezza dei fornitori critici.

Questo crea un effetto a cascata: anche le aziende che non rientrano direttamente nel perimetro NIS2 potrebbero trovarsi a dover dimostrare la propria postura di sicurezza per non perdere clienti importanti. Per una PMI campana, investire nella cybersecurity diventa quindi anche un vantaggio competitivo.

Formazione obbligatoria del personale

La NIS2 rende obbligatoria la formazione in cybersecurity sia per gli organi di amministrazione e direzione sia per tutti i dipendenti. L’obiettivo è creare una cultura della sicurezza a tutti i livelli dell’organizzazione, poiché l’errore umano resta la causa principale delle violazioni dei dati, con il 70% degli attacchi che inizia da email di phishing o tecniche di social engineering.

Gli obblighi formativi previsti dalla NIS2 si articolano su due livelli:

Formazione degli organi direttivi: amministratori e dirigenti devono acquisire conoscenze sufficienti per comprendere i rischi cyber, valutare l’adeguatezza delle misure adottate e prendere decisioni informate in materia di sicurezza informatica. Non devono diventare tecnici, ma devono capire cosa stanno approvando e perché.

Formazione dei dipendenti: tutto il personale deve essere in grado di riconoscere le minacce più comuni (phishing, social engineering, malware) e seguire le procedure di sicurezza aziendali. La formazione deve essere continua, non un evento una tantum, e includere simulazioni pratiche.

Per le aziende campane, i programmi di security awareness più efficaci comprendono:

• Simulazioni di phishing personalizzate con riferimenti a contesti locali (finte comunicazioni della Regione Campania, della Camera di Commercio di Napoli, di banche locali).
• Micro-corsi periodici (15-20 minuti al mese) su temi specifici: password sicure, riconoscimento email sospette, uso sicuro dei dispositivi mobili.
• Sessioni dedicate per reparti specifici (contabilità, risorse umane, commerciale) sui rischi propri del loro ruolo.
• Procedure di segnalazione semplici e canali chiari per riportare comportamenti o comunicazioni sospette.

Mconnect organizza programmi di formazione cybersecurity personalizzati per aziende di Napoli e Campania, con materiali adattati al contesto locale e al profilo di rischio specifico di ciascuna organizzazione.

Sanzioni NIS2: cosa rischia chi non si adegua

Le sanzioni per mancato adeguamento alla NIS2 sono tra le più severe del panorama normativo europeo sulla cybersecurity. Per i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato annuo mondiale (si applica l’importo maggiore). Per i soggetti importanti: fino a 7 milioni di euro o l’1,4% del fatturato. Sono previste anche sanzioni interdittive e responsabilità personali per gli amministratori.

Il regime sanzionatorio della NIS2 si articola su più livelli:

Sanzioni pecuniarie:

• Soggetti essenziali: fino a 10.000.000 € o 2% del fatturato annuo mondiale.
• Soggetti importanti: fino a 7.000.000 € o 1,4% del fatturato annuo mondiale.
• L’ACN tiene conto della gravità della violazione, della sua durata, degli eventuali precedenti e delle misure adottate per attenuare i danni.

Sanzioni interdittive:

• Sospensione temporanea di certificati e autorizzazioni essenziali per lo svolgimento delle attività d’impresa. Questo può significare, per un’azienda campana, la paralisi operativa.
• Interdizione temporanea dall’esercizio di funzioni dirigenziali per le persone fisiche che ricoprono ruoli di amministrazione o direzione. L’amministratore delegato o il titolare possono essere personalmente interdetti.

Sanzioni per mancata notifica:

La mancata segnalazione di un incidente significativo entro i termini previsti (24 ore per la pre-notifica, 72 ore per la notifica completa) è sanzionabile autonomamente, indipendentemente dalle conseguenze dell’incidente stesso.

Per mettere le cifre in prospettiva: una PMI campana con un fatturato di 15 milioni di euro rischia una sanzione fino a 300.000 euro (2% del fatturato). Un investimento in cybersecurity di 15.000-25.000 euro per adeguarsi è, in confronto, una frazione minima.

Quanto costa adeguarsi alla NIS2

Per una PMI campana con 50-100 dipendenti, l’investimento per l’adeguamento NIS2 parte da circa 15.000-25.000 euro per la fase iniziale, più 8.000-15.000 euro annui per il mantenimento. Il costo varia in base alla complessità dell’infrastruttura IT, al settore di appartenenza, alla classificazione come soggetto essenziale o importante e al livello attuale di maturità in cybersecurity.

Scomposizione indicativa dei costi per una PMI media:

Fase iniziale (una tantum):

• Gap analysis e cyber risk assessment: 3.000 – 6.000 €. Analisi dello stato attuale della sicurezza e identificazione delle carenze rispetto ai requisiti NIS2.
• Vulnerability assessment: 1.800 – 3.500 €. Scansione completa dell’infrastruttura IT per individuare vulnerabilità sfruttabili.
• Penetration test: 5.000 – 15.000 €. Simulazione di attacco reale per testare l’efficacia delle difese.
• Redazione documentazione obbligatoria: 3.000 – 8.000 €. Politiche di sicurezza, piano di gestione incidenti, procedure di DR, policy della supply chain e tutta la documentazione richiesta dalla Determinazione ACN.
• Implementazione misure tecniche: 5.000 – 15.000 €. Firewall next-gen, endpoint protection, MFA, crittografia, backup cloud, sistemi di logging e monitoraggio.

Costi ricorrenti (annuali):

• Monitoraggio continuo e gestione della sicurezza: 3.000 – 8.000 €/anno.
• Vulnerability assessment periodici: 3.000 – 6.000 €/anno (con cadenza semestrale, come consigliato).
• Formazione del personale: 1.000 – 3.000 €/anno.
• Aggiornamento e manutenzione sistemi di sicurezza: 2.000 – 5.000 €/anno.
• Disaster recovery cloud: 2.000 – 5.000 €/anno.

Il confronto che conta: il costo medio di un attacco ransomware per una PMI italiana è di 200.000 euro. La sanzione NIS2 per mancato adeguamento può arrivare a milioni di euro. L’investimento in cybersecurity non è un costo, ma una polizza sulla continuità del business.

Mconnect offre pacchetti modulari e scalabili, specificamente pensati per le PMI di Napoli e Campania, che consentono di avviare il percorso di adeguamento NIS2 con un investimento accessibile e distribuito nel tempo. Richiedi un preventivo personalizzato.

Differenze tra NIS1 e NIS2: cosa cambia

La NIS2 rappresenta un’evoluzione radicale rispetto alla precedente NIS1: amplia enormemente il perimetro dei soggetti obbligati, introduce la responsabilità diretta degli amministratori, inasprisce le sanzioni e standardizza le misure di sicurezza in tutta l’UE. La NIS1 riguardava circa 500 operatori in Italia; la NIS2 ne coinvolge oltre 30.000.

Le differenze principali:

• Perimetro soggettivo: NIS1 si applicava a pochi grandi operatori di servizi essenziali e fornitori di servizi digitali. NIS2 include tutte le medie e grandi imprese in 18 settori, coinvolgendo anche PMI nella catena di fornitura.
• Criteri di identificazione: NIS1 richiedeva un processo di designazione caso per caso. NIS2 utilizza criteri oggettivi (dimensione + settore), rendendo l’auto-identificazione obbligatoria da parte delle imprese stesse.
• Governance: NIS1 non prevedeva obblighi specifici per gli organi direttivi. NIS2 introduce la responsabilità personale degli amministratori e l’obbligo di formazione.
• Sanzioni: NIS1 prevedeva sanzioni moderate. NIS2 introduce un regime sanzionatorio allineato al GDPR (fino al 2% del fatturato) con sanzioni interdittive personali.
• Notifica incidenti: NIS1 aveva tempistiche più flessibili. NIS2 impone la pre-notifica entro 24 ore e la notifica completa entro 72 ore.
• Supply chain: NIS1 non affrontava il tema in modo strutturato. NIS2 impone obblighi specifici di gestione del rischio nella catena di approvvigionamento.
• Armonizzazione: NIS2 standardizza le misure minime in tutta l’UE, riducendo le differenze tra Stati membri che avevano indebolito l’efficacia della NIS1.

Per le aziende campane che erano già conformi alla NIS1, il passaggio alla NIS2 richiede comunque un adeguamento significativo. Per quelle che non erano coinvolte dalla NIS1, si tratta di costruire da zero un sistema di governance della cybersecurity.

NIS2 e GDPR: come si integrano

NIS2 e GDPR sono normative complementari ma distinte: il GDPR protegge i dati personali, la NIS2 protegge reti e sistemi informativi. Un’azienda campana che è già conforme al GDPR ha un vantaggio, perché molte misure organizzative sono sovrapponibili, ma non è automaticamente conforme alla NIS2. Le due normative richiedono documentazione, procedure e governance separate, anche se integrabili.

Punti di contatto:

• Entrambe richiedono la valutazione del rischio e l’adozione di misure proporzionate.
• Entrambe prevedono obblighi di notifica in caso di incidenti (ma a soggetti diversi: il GDPR al Garante Privacy, la NIS2 al CSIRT Italia).
• Entrambe impongono formazione del personale e documentazione delle misure adottate.
• Le misure di crittografia, controllo accessi, backup servono a entrambe le compliance.

Differenze chiave:

• Ambito: il GDPR riguarda solo i dati personali. La NIS2 riguarda la sicurezza di tutti i sistemi e le reti, indipendentemente dal tipo di dati trattati.
• Soggetti obbligati: il GDPR si applica a chiunque tratti dati personali. La NIS2 solo ai soggetti nei settori critici sopra le soglie dimensionali.
• Governance: la NIS2 impone responsabilità diretta e personale agli amministratori, cosa che il GDPR non prevede in modo altrettanto esplicito.
• Tempistiche notifica: GDPR prevede 72 ore per la notifica al Garante. NIS2 prevede 24 ore per la pre-notifica e 72 ore per la notifica completa al CSIRT.

L’approccio più efficiente per una PMI napoletana è integrare NIS2 e GDPR in un unico sistema di gestione della sicurezza delle informazioni, evitando duplicazioni e ottimizzando i costi. Un partner esperto come Mconnect può aiutare a costruire un framework unificato.

Il percorso di adeguamento NIS2 con Mconnect a Napoli

Mconnect Gruppo Telemanapoli offre un percorso strutturato di adeguamento alla NIS2 per le aziende di Napoli e Campania, dalla gap analysis iniziale fino al mantenimento continuativo della compliance. Con sede al Centro Direzionale di Napoli e un team di specialisti in cybersecurity con esperienza pluriennale, Mconnect è il partner locale che conosce le esigenze specifiche del tessuto imprenditoriale campano.

Il nostro percorso si articola in 6 fasi:

Fase 1 — Assessment e Gap Analysis (settimane 1-3)

Verifica se la tua azienda rientra nel perimetro NIS2 e in quale categoria (essenziale o importante). Analisi dell’infrastruttura IT esistente, delle politiche di sicurezza in essere e della documentazione disponibile. Identificazione delle carenze rispetto ai requisiti della Determinazione ACN. Produzione di un report dettagliato con roadmap di adeguamento prioritizzata.

Fase 2 — Vulnerability Assessment e Penetration Test (settimane 2-5)

Scansione completa di rete, server, workstation e applicazioni per identificare vulnerabilità tecniche. Penetration test condotto da ethical hacker certificati per testare le difese reali. Report con classificazione delle vulnerabilità per criticità e piano di remediation. Questo è il punto di partenza tecnico per ogni adeguamento efficace.

Fase 3 — Implementazione misure tecniche (settimane 4-12)

Implementazione delle soluzioni di protezione necessarie: endpoint security avanzata, firewall next-generation, sistemi di monitoraggio e logging, autenticazione multi-fattore, crittografia, backup cloud con disaster recovery, protezione email anti-phishing. Configurazione di Telema Security Zone per la protezione degli ambienti cloud.

Fase 4 — Documentazione e governance (settimane 6-14)

Redazione di tutta la documentazione obbligatoria: politiche di sicurezza informatica, piano di gestione degli incidenti, procedure di business continuity e disaster recovery, policy di gestione della supply chain, procedure di vulnerability management, politiche di crittografia e gestione accessi. Supporto all’approvazione formale da parte degli organi di amministrazione.

Fase 5 — Formazione (settimane 10-16)

Programma di security awareness per tutti i dipendenti con simulazioni di phishing personalizzate. Formazione specifica per gli organi di amministrazione e direzione sui loro obblighi NIS2. Sessioni dedicate per i responsabili IT e i referenti CSIRT.

Fase 6 — Monitoraggio e mantenimento continuo

Vulnerability assessment periodici (semestrali). Monitoraggio continuo dell’infrastruttura. Aggiornamento della documentazione. Supporto per la notifica degli incidenti al CSIRT Italia. Audit periodici di conformità. Disponibilità 24/7 per emergenze cyber con interventi on-site in tutta la Campania.

Prenota la tua consulenza gratuita NIS2 e scopri come Mconnect può accompagnare la tua azienda verso la compliance.

Checklist NIS2: i passi da compiere subito

Se la tua azienda rientra nel perimetro NIS2, ecco le azioni prioritarie da intraprendere immediatamente per non arrivare impreparati alla scadenza di settembre-ottobre 2026.

Azioni immediate (da fare oggi):

• ☐ Verifica se la tua azienda rientra nel perimetro NIS2 in base a dimensione e settore di attività.
• ☐ Controlla la tua classificazione come soggetto essenziale o importante sulla piattaforma ACN.
• ☐ Verifica che la registrazione 2026 sia stata completata (scadenza 28 febbraio 2026).
• ☐ Designa il Referente CSIRT se non ancora fatto.
• ☐ Informa il CdA o il titolare degli obblighi e delle responsabilità personali previsti dalla NIS2.

Entro 30 giorni:

• ☐ Commissiona una gap analysis per identificare le carenze rispetto ai requisiti NIS2.
• ☐ Esegui un vulnerability assessment dell’infrastruttura IT.
• ☐ Verifica lo stato dei backup e la presenza di un piano di disaster recovery.
• ☐ Mappa i fornitori critici e valuta i rischi della supply chain.

Entro 90 giorni:

• ☐ Adotta formalmente il Piano di gestione degli incidenti con approvazione del CdA.
• ☐ Implementa l’autenticazione multi-fattore (MFA) per tutti gli accessi critici.
• ☐ Attiva un sistema di backup cloud con replica geografica.
• ☐ Installa protezione endpoint avanzata su tutti i dispositivi aziendali.
• ☐ Configura il logging e il monitoraggio degli eventi di sicurezza.
• ☐ Avvia il programma di formazione per dipendenti e dirigenti.

Entro 6 mesi:

• ☐ Completa tutta la documentazione obbligatoria (politiche, procedure, piani).
• ☐ Esegui un penetration test per verificare l’efficacia delle misure implementate.
• ☐ Testa il piano di risposta agli incidenti con una simulazione.
• ☐ Esegui la prima simulazione di phishing per il personale.
• ☐ Verifica la conformità dei fornitori critici ai requisiti di sicurezza.
• ☐ Pianifica i vulnerability assessment periodici (cadenza semestrale).

Domande frequenti sulla NIS2 per aziende di Napoli e Campania

Non aspettare: il tempo per adeguarsi alla NIS2 è adesso

La Direttiva NIS2 non è una normativa che si può ignorare o rimandare. Le scadenze sono definite, le sanzioni sono severe e la responsabilità ricade direttamente sugli amministratori. Per le aziende di Napoli e della Campania, il momento di agire è adesso: servono mediamente 4-8 mesi per completare un percorso di adeguamento, e la deadline di settembre-ottobre 2026 è più vicina di quanto sembri.

Mconnect Gruppo Telemanapoli è il partner di cybersecurity di riferimento per le imprese campane. Con sede al Centro Direzionale di Napoli, un team di specialisti certificati e un’esperienza consolidata nella protezione delle PMI del territorio, offriamo un percorso completo di adeguamento NIS2: dalla verifica iniziale alla compliance continuativa.

Il primo passo è semplice: contattaci per una consulenza gratuita. Verificheremo insieme se la tua azienda rientra nel perimetro NIS2, analizzeremo il tuo stato attuale di sicurezza e ti forniremo una roadmap personalizzata con tempi e costi chiari.

Mconnect Gruppo Telemanapoli — Centro Direzionale Is. G8, 80143 Napoli
Specialisti in cybersecurity per aziende di Napoli, Salerno, Caserta, Avellino e Benevento.