Quali sono le scadenze NIS2 entro fine giugno?

Registrazione obbligatoria sul portale ACN e avvio della categorizzazione/analisi del rischio dei fornitori ICT.

Scadenza operativa: fine giugno 2026

Normativa · Cybersecurity · PMI Milano

Direttiva NIS2: Scadenze Cybersecurity entro fine Giugno.
Cosa rischiano le PMI milanesi e come adeguarsi subito

di Domenico Di Paola Giugno 2026 FenImprese Milano

La cybersecurity non è più solo una questione per grandi multinazionali o un costo tecnico da rimandare. Con l'entrata in vigore dei decreti attuativi della Direttiva NIS2, la sicurezza informatica diventa un obbligo normativo stringente e urgente per migliaia di Piccole e Medie Imprese (PMI) anche sul territorio di Milano e provincia.

⚠ Scadenza imminente

Entro la fine di giugno, scatta una scadenza operativa cruciale: le aziende che rientrano nei criteri della direttiva devono completare la registrazione obbligatoria sul portale dell'ACN (Agenzia per la Cybersicurezza Nazionale) e avviare la mappatura e categorizzazione dei propri fornitori. Chi non si adegua rischia sanzioni amministrative pesanti e il blocco delle attività commerciali.

In FenImprese Milano consideriamo questo aggiornamento non come l'ennesimo fardello burocratico, ma come un'ancora di salvataggio in un mare di opportunità (e rischi) digitali. Ecco tutto quello che devi sapere per metterti in regola senza bloccare la tua operatività.

Chi sono i soggetti obbligati? (Anche se pensi di essere escluso)

La NIS2 amplia notevolmente il raggio d'azione rispetto alla normativa precedente. Non colpisce solo i settori tradizionalmente critici (come energia, trasporti o sanità), ma include una vasta gamma di settori definiti "altamente critici" e "critici", tra cui:

Servizi postali e di corriere
Gestione dei rifiuti
Fabbricazione di prodotti chimici, dispositivi medici, computer ed elettronica
Produzione e distribuzione di alimentari
Fornitori di servizi digitali (piattaforme di marketplace, motori di ricerca, cloud)

La regola generale: Se la tua azienda opera in uno di questi settori, ha più di 50 dipendenti e un fatturato annuo (o bilancio totale) superiore a 10 milioni di euro, rientri automaticamente negli obblighi.

⚡ Attenzione alla Supply Chain

Anche se la tua micro-impresa ha 5 dipendenti, potresti essere obbligato ad adeguarti indirettamente. La NIS2 impone alle medie e grandi aziende di garantire la sicurezza di tutta la loro filiera. Se sei fornitore di un'azienda strutturata, ti verrà richiesto a brevissimo di dimostrare la tua conformità, pena l'esclusione dai contratti di fornitura.

Gli adempimenti urgenti entro fine Giugno

L'urgenza per questo mese è legata a due passaggi operativi che non possono essere rimandati:

Registrazione sulla piattaforma ACN

I soggetti interessati devono registrarsi digitalmente sul portale dell'Agenzia per la Cybersicurezza Nazionale, inserendo i dati societari e i riferimenti dei responsabili della governance interna. Questo censimento serve allo Stato per mappare il livello di resilienza digitale del Paese.

Categorizzazione dei fornitori (Analisi del Rischio)

Le imprese devono iniziare a valutare formalmente le vulnerabilità dei propri partner commerciali e fornitori ICT. Le falle di sicurezza dei terzi sono oggi la prima porta d'accesso per gli attacchi informatici aziendali.

Cosa si rischia a ignorare la scadenza?

Il legislatore ha previsto un sistema sanzionatorio speculare a quello del GDPR per la privacy. Le sanzioni per la mancata conformità o per la mancata notifica di incidenti gravi possono raggiungere:

Tipologia soggetto	Sanzione massima	In percentuale
Settori ad alta criticità	Fino a 10 milioni di euro	o 2% del fatturato mondiale annuo
Settori critici	Fino a 7 milioni di euro	o 1,4% del fatturato mondiale annuo

Si applica il valore più elevato tra importo fisso e percentuale sul fatturato.

Oltre alle sanzioni economiche, l'impatto reale per una PMI milanese è la perdita di reputazione sul mercato e il rischio concreto di essere tagliati fuori dalle gare d'appalto pubbliche e private.

Come muoversi: i passi concreti da fare oggi

In un ecosistema competitivo e interconnesso come quello di Milano, la sicurezza informatica deve diventare parte integrante della governance aziendale. Non si vince da soli in questa sfida: si cresce insieme, proteggendo la rete di relazioni commerciali che rende forti le nostre imprese.

Ecco da dove partire:

Verifica del perimetro

Analizza i tuoi dati di bilancio e il codice ATECO per capire se la tua azienda è classificata come "Soggetto Essenziale" o "Soggetto Importante".

Censimento ICT e Fornitori

Fai una lista dei software, dei servizi cloud e dei fornitori esterni che hanno accesso ai tuoi sistemi informatici.

Formazione dei dipendenti

Il fattore umano resta il primo anello della catena di difesa. Aggiorna le procedure interne su password, phishing e gestione dei dati.

Il supporto a Milano di FenImprese

✓ Servizio disponibile per gli associati

Consapevoli dell'urgenza operativa e della complessità tecnica della materia, FenImprese Milano Centro mette a disposizione dei propri associati un servizio di orientamento e check-up preliminare per la conformità NIS2.

Se hai dubbi sulla classificazione della tua azienda o desideri ricevere supporto per l'analisi dei rischi informatici e la contrattualistica legata alla supply chain, i nostri consulenti ed esperti partner sono pronti ad affiancarti.

Non aspettare che scada il tempo. Proteggi il valore della tua impresa e la sicurezza dei tuoi clienti.

Domande frequenti sulla NIS2

Chi è obbligato dalla Direttiva NIS2?

Le aziende con più di 50 dipendenti e fatturato superiore a 10 milioni che operano in settori critici (servizi postali, gestione rifiuti, fabbricazione dispositivi medici, produzione alimentare, servizi digitali). Anche le micro-imprese fornitrici di soggetti obbligati possono essere coinvolte indirettamente tramite la supply chain.

Quali sono le scadenze operative entro fine giugno?

Entro fine giugno i soggetti obbligati devono completare la registrazione digitale sul portale ACN (acn.gov.it) e avviare formalmente la categorizzazione e l'analisi del rischio dei propri fornitori ICT.

Quali sanzioni prevede la NIS2 in caso di mancata conformità?

Fino a 10 milioni di euro o il 2% del fatturato mondiale per i settori ad alta criticità; fino a 7 milioni di euro o l'1,4% del fatturato per i settori critici. Si applica il valore più elevato. Oltre alle sanzioni economiche, il rischio concreto per le PMI è l'esclusione dalle gare d'appalto.

Cosa significa "categorizzazione dei fornitori"?

Significa mappare formalmente tutti i partner, fornitori software, provider cloud e consulenti esterni che hanno accesso ai tuoi sistemi informatici, valutando i rischi di sicurezza che ciascuno può introdurre. È la base per la gestione del rischio della supply chain imposta dalla direttiva.

FenImprese Milano offre supporto per la conformità NIS2?