Cyber Hygiene e NIS 2: La Guida per le Aziende del Settore IT 2026

Le NIS 2 aziende IT — sviluppatori, MSP e service provider — devono adottare un piano strutturato di Cyber Hygiene per conformarsi alla Direttiva NIS 2, recepita in Italia con il D.Lgs. 138/2024 e resa operativa dalle determinazioni ACN del 2025 e del 2026.

Come leggere questo approfondimento

Questo articolo affronta la Cyber Hygiene e la NIS 2 dal punto di vista della gestione del rischio e delle implicazioni assicurative per le aziende IT. Le valutazioni tecnico-informatiche e gli aspetti giuridici della normativa competono a professionisti specializzati: il ruolo di Pico Adviser è strutturare le coperture cyber più adeguate al profilo di rischio specifico del settore tecnologico.

NIS 2: la nuova frontiera della sicurezza informatica

Per affrontare le minacce informatiche sempre più sofisticate, è stata emanata la Direttiva NIS 2 (Direttiva UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024. Questa normativa si integra con altre regolamentazioni fondamentali come GDPR, DORA e Cyber Resilience Act, rafforzando pertanto il livello di sicurezza informatica all’interno dell’Unione Europea.

NIS 2 riguarda tutte le organizzazioni che forniscono servizi identificati come “essenziali” o “importanti per l’economia”. Le società europee nei settori individuati rientrano automaticamente in perimetro NIS 2. Sono incluse grandi imprese, medie imprese e, in alcuni casi, anche piccole imprese. Dover adottare i requisiti NIS 2 rappresenta pertanto una sfida considerevole anche per aziende mediamente strutturate.

Non essere soggetti alla NIS 2 costituisce certamente un sollievo, ma occorre considerare che tra i requisiti figura l’adozione di misure per la gestione dei rischi, inclusa la sicurezza della catena di fornitura. Questo significa che molte aziende IT potrebbero trovarsi obbligate a conformarsi per non perdere clienti importanti. I loro clienti, per risultare conformi alla NIS 2, potrebbero valutare rigorosamente la sicurezza informatica e la resilienza operativa dei fornitori rilevanti.

NIS 2 aziende IT: le determinazioni ACN dell’aprile 2025

Ad aprile 2025 l’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato tre importanti determinazioni — numerate 136117, 164179 e 136118 — che costituiscono il quadro operativo concreto per i soggetti NIS. La più rilevante è la Determinazione n. 164179 del 14 aprile 2025, entrata in vigore il 30 aprile 2025.

Questa determinazione introduce una svolta decisiva nella governance cyber aziendale. L’articolo 2 stabilisce con nettezza un principio rivoluzionario: le misure di sicurezza di base sono formalmente poste in capo agli organi di amministrazione e direttivi. Il CDA e il C-Level devono pertanto assumere il controllo operativo e la responsabilità formale della cybersecurity. Non possono più delegare in bianco alla funzione IT.

Cosa devono fare concretamente CDA e vertici aziendali

Gli obblighi degli organi di amministrazione sono precisi e documentabili. Devono approvare formalmente le politiche di sicurezza, le valutazioni del rischio, i piani di trattamento, la gestione delle vulnerabilità e i piani di continuità operativa e disaster recovery. Devono inoltre sovrintendere all’implementazione degli obblighi di sicurezza informatica e ricevere informazioni periodiche sugli incidenti rilevanti.

L’ACN può richiedere evidenza documentale di riunioni consiliari dedicate alla cybersecurity, delibere di approvazione del budget security e attestazioni di partecipazione a formazione specifica. La responsabilità non si esaurisce pertanto in un atto iniziale, ma è continua. La Determinazione n. 379907/2025 del 19 dicembre 2025 consolida questo impianto ed è applicabile dal 31 dicembre 2025. Gli obblighi di notifica degli incidenti sono pienamente operativi dal 1° gennaio 2026.

Richiedi una consulenza specialistica sulla Cyber Hygiene NIS 2.

Compila il modulo Contattaci

NIS 2 aziende IT: le scadenze operative 2026

Il 13 aprile 2026 ACN ha adottato due nuove determinazioni — la 127434/2026 e la 127437/2026 — che segnano il passaggio dalla compliance dichiarativa a una gestione strutturata, continua e dimostrabile della sicurezza informatica. Per le aziende IT già iscritte nel 2025 le scadenze sono le seguenti.

Entro il 31 maggio 2026 i soggetti NIS devono aggiornare le informazioni sul Portale ACN confermando o rettificando dati, referenti e asset. Dal 1° maggio al 30 giugno 2026 devono completare la categorizzazione delle proprie attività e servizi tramite il nuovo “Servizio NIS/Categorizzazione”, attribuendo a ciascuna attività una categoria di rilevanza secondo il modello ACN. Entro il 31 ottobre 2026 devono aver adottato tutte le misure di sicurezza di base — 37 misure per i soggetti importanti, 43 per i soggetti essenziali. Dal 31 ottobre 2026 ACN potrà avviare le attività ispettive di verifica.

La Determinazione 127437/2026 introduce inoltre l’obbligo esplicito di identificare e dichiarare i fornitori rilevanti NIS: non è più sufficiente presidiare i sistemi interni, ma è necessario mappare le dipendenze critiche della supply chain. Un fornitore è “rilevante” non per dimensione o valore contrattuale, ma perché contribuisce direttamente all’erogazione di servizi NIS. La sua indisponibilità avrebbe un impatto significativo in assenza di alternative. Per i nuovi soggetti NIS entrati in perimetro nel 2026, la notifica degli incidenti significativi decorre dal 1° gennaio 2027 e l’adozione delle misure di sicurezza è fissata al 31 luglio 2027.

NIS 2 aziende IT: l’esposizione specifica ai rischi cyber

Gli sviluppatori e i distributori di software affrontano rischi cyber significativi. Secondo Cybersecurity Ventures, i costi della criminalità informatica raggiungeranno 10,5 trilioni di dollari all’anno entro il 2025. Le aziende del settore IT risultano pertanto particolarmente esposte: il loro ruolo di software e service provider le rende un potenziale veicolo per la diffusione di malware o ransomware a molteplici aziende con un solo attacco.

Esposizioni comuni nel settore IT

Le aziende del settore IT affrontano due rischi principali, estremamente interconnessi: gli attacchi ai propri sistemi e gli attacchi che colpiscono i clienti. Un attacco informatico a uno sviluppatore di software può tradursi nel furto di dati riservati, utilizzati dagli hacker per accedere ai sistemi di un cliente. In caso di attacco ransomware, l’azienda IT potrebbe non essere in grado di fornire servizi di supporto cruciali. Esiste inoltre il rischio che i clienti acquistino inconsapevolmente software compromessi da malware “backdoor”, agevolando pertanto un attacco a centinaia di aziende simultaneamente.

Trend emergenti nel panorama cyber per la Cyber Hygiene NIS 2

Poiché le aziende migliorano progressivamente i propri livelli di protezione, i criminali informatici puntano sempre di più a colpire venditori e fornitori:

• I fornitori di servizi gestiti (Managed Service Provider) sono esposti a rischi informatici concreti in quanto “intermediari”. L’espansione costante di questo segmento è accompagnata pertanto da un incremento dei sinistri.
• Anche i sistemi Platform as a Service (PaaS) e Software as a Service (SaaS) risultano più esposti. Il profilo di rischio è aumentato notevolmente con l’allontanamento dalle soluzioni software on-premise a favore di modelli basati sul cloud.
• Un’altra area di rischio emergente riguarda il Duty of Care. Nell’ambito di una relazione tra fornitore e cliente, una società IT è generalmente considerata l’esperto: le sue responsabilità vanno pertanto oltre il contratto scritto e i rischi connessi alla responsabilità possono moltiplicarsi.

Come le NIS 2 aziende IT mitigano i rischi cyber

Le best practice per le aziende del settore IT si articolano in quattro azioni fondamentali: identificare, prevenire, individuare e reagire.

1. Identificare i rischi: la definizione dei rischi cyber dipende da un’efficace gestione del rischio. Le aziende IT devono identificare con esattezza i prodotti e i servizi che forniscono, valutando cosa può potenzialmente tradursi in un rischio. Un Sistema di gestione per la sicurezza delle informazioni (ISMS) consente di determinare tali dati.
2. Prevenire i rischi: occorrono misure standard di cyber hygiene — autenticazione a più fattori, formazione del personale, firewall, scansione delle email di phishing, test continui dei backup, crittografia delle password. I Managed Service Provider necessitano inoltre di un sistema di gestione degli accessi privilegiati (PAM). La prevenzione include anche la comunicazione formale: un’azienda IT ha il dovere di avvertire e istruire i clienti sul livello di protezione potenzialmente scarso di un ambiente, documentando il processo per iscritto.
3. Individuare le violazioni: i software di monitoraggio e rilevamento — come EDR (Endpoint Detection and Response) — sono imprescindibili, così come i firewall efficaci e i sistemi di monitoraggio della rete 24/7. Nel momento in cui un hacker entra in un sistema, risulta pertanto fondamentale scoprirlo in tempo.
4. Reagire all’attacco: uno degli aspetti più cruciali è la presenza di un piano di incident response ben definito. Per le società di software, questo piano va ben oltre il proprio ambiente e dovrebbe includere procedure di comunicazione con i clienti e di gestione delle crisi. In caso di violazione, le aziende devono garantire che i sistemi siano sicuri e che il ripristino avvenga il prima possibile.

Fonte: Chubb — Il rischio informatico per il settore IT

La soluzione assicurativa: polizza Chubb Multirischi Technology

Le aziende che operano nel settore IT sono esposte a danni che riguardano non solo cose e persone, ma anche beni immateriali, dati e perdite finanziarie. Da Chubb arriva la Polizza Multirischi Technology, una copertura completa che offre garanzie assicurative in un’unica polizza, proteggendo sia dai danni propri che dai danni a terzi. Per approfondire le coperture cyber disponibili, visita la nostra pagina sull’Assicurazione Cyber Risk.

Le garanzie chiave della polizza Multirischi Technology

• RC Professionale (Errors & Omissions): indennizza le perdite economiche subite dai terzi a causa di errori nella progettazione del software o ritardi nella fornitura di servizi critici.
• Cyber Incident Response: in caso di attacco, la polizza mette a disposizione un team di specialisti per l’investigazione forense, il recupero dei dati e la gestione legale delle notifiche al Garante Privacy.
• Interruzione di esercizio: protegge il margine di profitto dell’azienda IT se un attacco cyber impedisce l’erogazione dei propri servizi.

Richiedi una consulenza specialistica sulla Cyber Hygiene NIS 2.

Compila il modulo Contattaci

Duty of Care e comunicazione contrattuale nella Cyber Hygiene NIS 2

Un aspetto spesso trascurato riguarda la comunicazione formale. Un’azienda IT ha il dovere deontologico e legale di avvertire i clienti su eventuali vulnerabilità riscontrate. Se un cliente decide di non adottare una misura di sicurezza consigliata, il fornitore deve documentare tale rifiuto per iscritto. Questo processo risulta pertanto vitale per tutelarsi in sede giudiziaria contro richieste di risarcimento milionarie.

La sicurezza come vantaggio competitivo

Investire in Cyber Hygiene NIS 2 e in una polizza specializzata non rappresenta solo un costo, ma un investimento sulla reputazione. In un mercato dove i clienti sono sempre più informati e preoccupati dai rischi cyber, essere in grado di dimostrare solidità e protezione garantita diventa pertanto la leva principale per acquisire nuovi contratti e consolidare quelli esistenti.

Pico Adviser: dal 1992, il partner strategico per il rischio tecnologico delle imprese italiane.

Per ottenere un preventivo personalizzato sulla Cyber Hygiene NIS 2.

Compila il modulo Contattaci

Domande frequenti sulla Cyber Hygiene NIS 2