Studio BGA

NIS2, Cybersecurity e Modello 231: cosa deve sapere ogni imprenditore nel 2026

Pierlio Baratta
Pierlio BarattaCommercialista Revisore Legale

La sicurezza informatica non è più una questione che riguarda solo il reparto IT. Oggi, un attacco ransomware, una violazione di dati o un accesso non autorizzato ai sistemi aziendali può bloccare l’operatività, esporre l’impresa a sanzioni milionarie, compromettere i rapporti commerciali e — aspetto spesso sottovalutato — generare responsabilità personali in capo agli amministratori. Con l’entrata in vigore del D.Lgs. 138/2024, che recepisce la Direttiva europea NIS2, il quadro normativo italiano si è profondamente trasformato. In questo articolo, redatto in collaborazione con T4Tech S.r.l., società specializzata in cybersecurity e soluzioni ICT, analizziamo cosa cambia per le imprese e perché la cyber protection è oggi parte integrante degli adeguati assetti organizzativi e del Modello di organizzazione e gestione ex D.Lgs. 231/2001.

Cos’è la Direttiva NIS2 e perché riguarda la tua impresa

La Direttiva NIS2 (Network and Information Security 2 — UE 2022/2555) è la normativa europea che aggiorna e amplia significativamente gli obblighi di cybersicurezza introdotti con la prima direttiva NIS del 2016. In Italia è stata recepita con il D.Lgs. 138/2024, in vigore dal 16 ottobre 2024. L’autorità nazionale competente per l’attuazione, la vigilanza e il coordinamento è l’Agenzia per la Cybersicurezza Nazionale (ACN).

La normativa distingue due categorie di soggetti obbligati, in base al settore di attività, alla dimensione aziendale e al ruolo svolto all’interno di servizi critici o rilevanti:

Soggetti Essenziali

Operano in settori ad alta criticità: energia, trasporti, sanità, acqua potabile, infrastrutture digitali, gestione ICT, pubblica amministrazione, settore spaziale. Sono soggetti agli obblighi più stringenti e alle sanzioni più elevate.

Soggetti Importanti

Operano in settori rilevanti ma non critici: manifattura critica, chimica, alimentare, servizi postali, gestione rifiuti, fornitori di servizi digitali, ricerca. Rientrano in questa categoria anche molte PMI che operano in questi comparti.

Le scadenze che non puoi ignorare: ottobre 2026

Il percorso di adeguamento alla NIS2 è progressivo ma ha tappe precise e vincolanti. Le imprese già inserite negli elenchi ACN, per le quali la comunicazione di iscrizione è avvenuta tra aprile e maggio 2025, si trovano di fronte a queste scadenze operative:

  • Ottobre 2024: entrata in vigore del D.Lgs. 138/2024 — la NIS2 è legge italiana
  • Gennaio 2025: apertura della piattaforma ACN per la registrazione dei soggetti
  • Aprile–Maggio 2025: comunicazione ACN di inserimento nell’elenco NIS ai soggetti individuati
  • Gennaio 2026: decorrono gli obblighi di notifica degli incidenti informatici ad ACN
  • 31 Ottobre 2026: termine per la piena implementazione delle misure di sicurezza informatica di base

Attenzione: la scadenza di ottobre 2026 decorre da 18 mesi dalla comunicazione di inserimento nell’elenco. Per i soggetti notificati tra aprile e maggio 2025 il termine coincide con il 31 ottobre 2026, ma può variare in base alla data effettiva ricevuta. Non attendere l’ultimo momento.

La NIS2 coinvolge anche chi non è direttamente obbligato: il rischio della supply chain

Questo è il punto più sottovalutato della normativa, e quello che interessa direttamente la maggior parte delle PMI italiane. Anche le imprese che non rientrano formalmente nel perimetro NIS2 possono essere coinvolte indirettamente come fornitori di soggetti obbligati.

La logica è semplice ma impattante: un grande cliente soggetto a NIS2 è tenuto a garantire la sicurezza dell’intera propria catena di fornitura. Se un fornitore è il punto debole della filiera — perché non ha un antivirus aggiornato, perché usa password banali, perché i suoi sistemi non sono monitorati — l’attaccante userà proprio quel fornitore come vettore di ingresso verso il cliente più grande e più protetto.

Nei prossimi mesi, le imprese fornitrici di grandi clienti o di pubbliche amministrazioni si troveranno con sempre maggiore frequenza a ricevere:

  • Questionari di valutazione sulla sicurezza informatica e sulla privacy
  • Richieste di evidenza dell’adozione di misure minime: backup, MFA, antivirus, firewall
  • Verifiche sui fornitori ICT e sui servizi cloud utilizzati
  • Richieste di policy interne su password, dispositivi e gestione incidenti
  • Eventuali richieste di certificazioni o assessment di sicurezza (es. ISO 27001)

Non rispondere adeguatamente a queste richieste significa rischiare di essere esclusi da gare, albi fornitori e contratti. La cybersecurity è diventata un requisito competitivo, non solo normativo.

Cybersecurity, adeguati assetti organizzativi e responsabilità degli amministratori

Uno degli aspetti più rilevanti — e più spesso trascurati — riguarda il nesso diretto tra la gestione del rischio informatico e i doveri degli amministratori ai sensi dell’art. 2086 del Codice Civile.

La norma impone a tutti gli imprenditori organizzati in forma collettiva di dotare l’azienda di un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, idoneo a rilevare tempestivamente la crisi e la perdita della continuità aziendale. Il rischio informatico, dopo NIS2, non può più essere ignorato in questa analisi.

Un blocco operativo causato da ransomware, la perdita di dati critici, l’interruzione dei sistemi gestionali o l’impossibilità di emettere fatture e gestire la logistica sono eventi che — se non prevenuti da una struttura organizzativa adeguata — configurano una carenza negli assetti che espone direttamente l’amministratore a responsabilità patrimoniale.

La cybersecurity nel Modello 231: l’analisi dei rischi informatici come area sensibile

Il D.Lgs. 231/2001 prevede che le imprese adottino un Modello di Organizzazione, Gestione e Controllo (MOG) idoneo a prevenire la commissione dei reati presupposto ivi elencati. Il nesso con la cybersecurity è più stretto di quanto si pensi.

La mappa dei rischi prevista dal Modello 231 deve oggi includere anche il rischio informatico sotto più profili:

  • Accesso abusivo a sistemi informatici (art. 615-ter c.p.) — sia come reato commesso da terzi in danno dell’azienda, sia come rischio che dipendenti o collaboratori accedano a sistemi non autorizzati
  • Frode informatica (art. 640-ter c.p.) — truffe via phishing, BEC (Business Email Compromise), manipolazione di pagamenti
  • Intercettazione e acquisizione illecita di dati — riservatezza di know-how, dati commerciali e informazioni riservate
  • Violazione di dati personali — data breach con risvolti GDPR e possibile responsabilità dell’ente
  • Falso in bilancio o in documentazione — alterazione di sistemi contabili per effetto di attacchi o di accessi non controllati

Un Modello 231 che non preveda protocolli di prevenzione cyber — policy di accesso, segregazione dei privilegi, log delle attività, gestione delle credenziali, monitoraggio degli incidenti — è oggi un modello incompleto, che non assolve alla sua funzione esimente.

L’Organismo di Vigilanza (OdV) deve pertanto essere messo nelle condizioni di monitorare anche i presidi di sicurezza informatica dell’azienda, verificare la corretta implementazione dei protocolli cyber e ricevere le segnalazioni relative a incidenti o anomalie di sicurezza. Questo richiede che il MOG venga integrato con specifiche procedure cyber, redatte in coerenza con le misure previste dalla NIS2 e con le indicazioni del framework ACN.

La responsabilità del management: NIS2 parla esplicitamente di governance

La NIS2 introduce una novità di assoluto rilievo rispetto alla precedente direttiva: la cybersicurezza è ora un obbligo di governance, non solo una questione tecnica. Il D.Lgs. 138/2024 prevede obblighi specifici per gli organi di amministrazione e direttivi, tra cui:

  • Approvazione delle misure di sicurezza adottate dall’impresa
  • Supervisione sulla corretta implementazione delle misure stesse
  • Partecipazione a programmi di formazione specifica in materia di cybersicurezza
  • Gestione del rischio cyber nell’ambito della strategia aziendale complessiva

In concreto: l’amministratore che dichiara di non sapere cosa sia un backup, che non è mai stato coinvolto nella definizione delle policy di sicurezza informatica o che ha delegato ogni decisione al reparto IT senza alcun presidio organizzativo, non adempie agli obblighi previsti dalla legge. E questo, in caso di incidente o di verifica da parte di ACN, può avere conseguenze concrete.

Le sanzioni: cifre che nessun imprenditore può ignorare

Il mancato rispetto degli obblighi NIS2 espone le imprese a sanzioni economiche significative, oltre che a provvedimenti di natura operativa e reputazionale.

Oltre alle sanzioni economiche, la normativa attribuisce ad ACN poteri di vigilanza, ispezione, prescrizione e intervento, con possibilità di adottare misure correttive che possono incidere direttamente sull’operatività aziendale. In casi gravi, possono essere adottati provvedimenti anche nei confronti degli organi direttivi personalmente.

I rischi concreti per le imprese: ben oltre le sanzioni

Al di là degli obblighi normativi, è fondamentale avere chiaro il panorama dei danni reali che un’impresa può subire in assenza di adeguati presidi di sicurezza informatica. Non parliamo di scenari astratti: si tratta di eventi che si verificano ogni giorno, anche in imprese di piccola e media dimensione.

Blocco operativo totale

Un attacco ransomware può cifrare in poche ore tutti i dati aziendali, bloccare gestionali, ERP, email e sistemi di produzione. Il fermo può durare giorni o settimane, con perdite economiche spesso superiori al costo di un intero sistema di sicurezza.

Perdita e sottrazione di dati

Dati di clienti, contratti, know-how produttivo, informazioni bancarie, dati fiscali: la loro perdita o diffusione non autorizzata genera obblighi di notifica, contenziosi con clienti e fornitori, e danni economici difficilmente quantificabili in anticipo.

Responsabilità GDPR

Un incidente informatico diventa spesso anche un data breach ai sensi del GDPR, con obbligo di notifica al Garante Privacy entro 72 ore, comunicazione agli interessati e rischio di sanzioni aggiuntive fino al 4% del fatturato mondiale.

Perdita di opportunità commerciali

Sempre più committenti — pubblici e privati — richiedono evidenze di sicurezza informatica prima di sottoscrivere contratti o inserire un’impresa nell’albo fornitori. Essere impreparati su questo fronte significa perdere gare e opportunità di business.

La checklist operativa: cosa deve fare la tua impresa adesso

Non è necessario diventare esperti di cybersecurity dall’oggi al domani. Ma è indispensabile avviare subito una valutazione strutturata del proprio livello di esposizione al rischio e pianificare le azioni correttive. Ecco i punti essenziali da verificare.

La risposta a queste domande permette di identificare le aree prioritarie di intervento e di costruire un piano di adeguamento proporzionato alle dimensioni e alle esigenze specifiche dell’impresa. Non si tratta di implementare soluzioni enterprise costose: per molte PMI, l’adozione di misure di base — backup automatizzati, MFA, aggiornamenti regolari, policy di accesso, formazione del personale — è già sufficiente per ridurre sensibilmente l’esposizione al rischio e rispondere alle richieste della filiera.

Il supporto dello Studio BGA e di T4Tech S.r.l.

Questo articolo è realizzato in collaborazione con T4Tech S.r.l., società specializzata in cybersecurity, infrastrutture ICT, cloud e servizi di sicurezza gestita per imprese di qualsiasi dimensione.

T4Tech offre servizi di vulnerability assessment, penetration testing, implementazione di misure NIS2, formazione del personale e supporto alla predisposizione dei protocolli cyber.

T4Tech S.r.l.
Viale Brigata Bisagno 2/12 — 16129 Genova (GE)
Tel: +39.010.0899.171
Web: www.t4tech.com

Lo Studio BGA, in qualità di tax & business strategy, supporta le imprese clienti nell’inquadramento normativo preliminare degli obblighi NIS2, nella valutazione dell’adeguatezza degli assetti organizzativi ai sensi dell’art. 2086 c.c. e nell’aggiornamento del Modello 231 per includere i rischi informatici nell’analisi delle aree sensibili. Per tutto quanto riguarda la parte tecnica e operativa della cybersecurity — assessment, misure di sicurezza, formazione, certificazioni — suggeriamo professionisti specializzati come T4Tech S.r.l.

Se vuoi capire se la tua impresa è soggetta alla NIS2, se sei un fornitore a rischio, o se il tuo Modello 231 è aggiornato alle nuove minacce informatiche, contattaci: siamo a tua disposizione per una prima valutazione.

Note legali e di aggiornamento

Il presente articolo ha finalità informative generali e non costituisce parere legale, fiscale o di compliance. Le scadenze NIS2 indicate si riferiscono alle indicazioni pubblicate da ACN e possono variare in funzione della data effettiva di comunicazione di inserimento nell’elenco ricevuta da ciascun soggetto. Articolo aggiornato a maggio 2026. Per una valutazione specifica della propria situazione, si raccomanda di rivolgersi a professionisti abilitati.

Articolo redatto da Studio BGAwww.studiobga.eu — in collaborazione con T4Tech S.r.l.www.t4tech.com

Questo sito utilizza i cookie

Utilizziamo i cookie per migliorare la tua esperienza di navigazione, analizzare il traffico del sito e personalizzare i contenuti. Per maggiori informazioni, consulta la nostra Cookie Policy.