NIS2: i 5 rischi concreti se la ignori, oltre alla multa

Quando si parla di NIS2 si parte quasi sempre dalla sanzione. Fino a 10 milioni di euro o il 2% del fatturato mondiale per i soggetti essenziali, fino a 7 milioni o l'1,4% per gli importanti. Sono cifre che fanno notizia, ed è giusto conoscerle.

Il problema è che ragionare solo sulla multa ti fa valutare male l'esposizione reale. Per molte aziende la sanzione non è nemmeno il rischio peggiore, e fissarsi su quella porta a investire nelle cose sbagliate. Ci sono almeno cinque rischi concreti che ti colpiscono prima, o al posto, della multa. Vale la pena guardarli in faccia.

Un dato per inquadrare i tempi: il D.Lgs. 138/2024 che recepisce NIS2 è in vigore dal 16 ottobre 2024, l'obbligo di notifica degli incidenti è operativo dal 15 gennaio 2026 per i soggetti già in elenco, e le misure di sicurezza di base vanno operative entro il 31 ottobre 2026. Gli effetti sono già adesso, non in un futuro vago.

1. La responsabilità personale di chi guida l'azienda

Questa è la novità che cambia tutto, ed è quella di cui si parla di meno. NIS2 sposta la responsabilità sugli organi di amministrazione e direttivi. Sono loro che devono approvare le misure di gestione del rischio, sovrintendere alla loro attuazione e seguire una formazione specifica. Nei casi gravi è prevista anche la possibile sospensione temporanea dalle funzioni dirigenziali.

Tradotto: la sicurezza non è più "un problema dell'IT" che il vertice può delegare e dimenticare. Diventa un tema da consiglio di amministrazione, con responsabilità che possono ricadere sulle persone, non solo sull'azienda come entità astratta.

In pratica l'organo di amministrazione deve poter dire, con cognizione di causa, quali sono i rischi cyber dell'azienda, quali misure ha approvato e con quale budget. Non basta firmare un documento preparato da altri e fidarsi. È proprio sulla capacità di dimostrare questo coinvolgimento che si gioca la differenza, in caso di controllo, tra una posizione difendibile e una scoperta.

Il rischio concreto. L'amministratore che ha firmato senza capire, che ha delegato tutto all'IT e non ha mai portato il tema in CDA, in caso di incidente o controllo si trova esposto in prima persona. È un cambio di prospettiva che molti vertici non hanno ancora metabolizzato.

2. L'esclusione dalla supply chain, cioè perdere clienti e gare

NIS2 chiede esplicitamente di gestire la sicurezza della supply chain. Significa che le aziende nel perimetro devono valutare la sicurezza dei loro fornitori. E qui arriva il punto che riguarda anche chi pensa di esserne fuori.

Anche se la tua azienda non è direttamente un soggetto NIS2, se vendi a chi lo è, la direttiva ti arriva addosso attraverso i contratti. I tuoi clienti dovranno chiederti di dimostrare le tue misure di sicurezza, di rispondere a questionari, di garantire certi standard. Se non sei in grado di farlo, vieni semplicemente escluso da gare e rinnovi a favore di un concorrente che invece è pronto.

Il rischio concreto. Il rinnovo di un contratto importante con un'azienda energetica o sanitaria resta bloccato finché non dimostri di avere MFA, gestione degli incidenti, capacità di notifica. Non è una multa, è fatturato che non entra. Questo riguarda migliaia di PMI fornitrici che scopriranno NIS2 non da una lettera dell'ACN, ma da un cliente che chiede garanzie. E quando la richiesta arriva c'è poco tempo: o rispondi con misure già in piedi e documentate, o resti indietro mentre il contratto va avanti con un concorrente più pronto.

3. Il blocco operativo durante un incidente, cioè il costo del fermo

Il costo vero di un incidente serio raramente è la multa. È il fermo. La linea di produzione che si blocca, i sistemi dell'ospedale che vanno giù, i servizi indisponibili per giorni, gli ordini che non si evadono.

Un attacco ransomware su un'azienda manifatturiera può significare giorni di stabilimento fermo, fatturato perso che non torna, penali verso i clienti per le consegne saltate, straordinari del personale, costi di recovery e di consulenza d'emergenza. Messi insieme, questi numeri superano spesso di molto la sanzione amministrativa.

Il rischio concreto. E qui si vede il legame con le misure NIS2: senza una capacità di detection per accorgersi presto, e senza backup testati per ripartire in fretta, il fermo non dura ore ma giorni o settimane. Le aziende che hanno investito sulla capacità di reagire non evitano l'attacco, ma riducono drasticamente quanto a lungo restano ferme. La domanda giusta non riguarda quanto costa proteggersi, ma quanto costa un solo giorno di azienda ferma. Di solito basta fare quel conto per chiarire le priorità.

4. Sbagliare la notifica, cioè peggiorare un problema già grave

Dal 15 gennaio 2026 l'obbligo di notifica è pienamente operativo per i soggetti già in elenco. I tempi sono stretti e decorrono da quando l'azienda ha evidenza dell'incidente: pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese. La notifica mancata o tardiva è essa stessa una violazione.

Questo crea due rischi distinti. Il primo: non accorgerti dell'incidente in tempo, perché ti manca il monitoraggio, e quindi mancare la finestra senza nemmeno saperlo. Il secondo: accorgertene ma non avere un processo pronto, e quindi gestire la notifica nel panico mentre l'orologio scorre, prendendo decisioni affrettate proprio nel momento peggiore.

Il rischio concreto. Pensare che basti "chiamare qualcuno quando succede" è l'illusione più pericolosa. Chi deve dichiarare l'incidente, chi notifica al CSIRT Italia, con quali dati, su quale canale: tutto questo va deciso e provato prima, a mente fredda. Durante un attacco non c'è tempo per improvvisare la procedura.

5. Il danno reputazionale e la perdita di fiducia

Un incidente serio difficilmente resta privato. C'è la notifica all'autorità, a volte l'obbligo di informare chi usa i tuoi servizi, spesso l'attenzione dei media o il passaparola nel settore. Il risultato è che clienti, partner e cittadini perdono fiducia.

Per chi opera in sanità, energia, finanza o servizi essenziali questo danno è pesante e dura nel tempo. Un cliente perso per un problema di sicurezza non torna l'anno dopo. La reputazione, una volta incrinata, si ricostruisce molto più lentamente di quanto si paghi una sanzione.

Il rischio concreto. La perdita di clienti e la fatica ad acquisirne di nuovi, nei mesi dopo un incidente reso pubblico, pesano sul bilancio più a lungo della multa, che almeno è una voce una tantum.

Il filo che lega tutti e cinque

Guardali di nuovo. Quattro di questi cinque rischi si riducono con le stesse capacità: accorgersi presto di un attacco (detection), saper rispondere e notificare nei tempi (response), poter ripartire in fretta (backup e continuità), poter dimostrare di aver fatto le cose per bene (governance ed evidenze).

NIS2 in fondo non chiede di compilare moduli. Chiede di essere in grado di gestire un incidente vero. Le aziende che si preparano davvero all'incidente si ritrovano conformi quasi come effetto collaterale. Quelle che inseguono solo la checklist non sono né sicure, né realmente conformi: hanno carta, non capacità.

Cosa fare adesso

La verità scomoda è che la maggior parte di questi rischi si riduce a una frase: "non ce ne accorgeremmo in tempo e non sapremmo come rispondere". E quasi nessuna azienda mid-market ha al suo interno le persone per coprire detection e response 24 ore su 24.

Prenota una call di 30 minuti con un esperto AmagisTech. Ti aiutiamo a capire a quali di questi cinque rischi la tua azienda è più esposta oggi, con una valutazione concreta e senza allarmismi. Niente vendita di paura, solo dove sei davvero e cosa conviene chiudere prima.