Perimetro e soggetti obbligati

Chi deve adeguarsi alla NIS2: soggetti essenziali e importanti

Redazione GAPOFF · Aggiornato il 2026-05-19 · Revisione: 2026-05-19

Risposta rapida

Devono valutare l'adeguamento NIS2 le organizzazioni che rientrano nei settori e nei criteri previsti dal quadro europeo e dal recepimento italiano. La distinzione principale e tra soggetti essenziali e soggetti importanti, ma l'effetto pratico riguarda anche fornitori e PMI che lavorano per clienti regolati.

Il modo corretto per partire e uno scoping documentato nel modulo GAPOFF NIS2, collegato alla guida completa.

Verifica se la tua azienda rientra nella NIS2

Scoping guidato, controlli ACN, gap analysis e report audit-ready.

Verifica gratis →

Perché la domanda e più complessa di quanto sembri

“Chi deve adeguarsi?” sembra una domanda binaria, ma nella pratica richiede analisi. Un'azienda può essere direttamente soggetta, indirettamente coinvolta o fuori perimetro ma comunque esposta a richieste dei clienti.

I fattori da valutare sono:

Soggetti essenziali e importanti

La NIS2 utilizza una distinzione tra soggetti essenziali e soggetti importanti. La differenza incide su vigilanza, obblighi e livello di attenzione, ma per entrambi il tema centrale resta lo stesso: dimostrare gestione del rischio cyber.

Gli articoli settoriali del cluster devono aiutare a verticalizzare questa analisi: NIS2 e PMI, NIS2 per aziende IT e MSP, manifattura, sanita, logistica e SaaS provider.

Effetto supply chain

Molte aziende scopriranno la NIS2 non per una comunicazione diretta, ma perché un cliente chiedera:

Questo effetto e cruciale per PMI, consulenti, software house e MSP.

Metodo di scoping consigliato

Uno scoping serio dovrebbe produrre una scheda con:

| Area | Domanda | Output | |---|---|---| | Settore | L'attività rientra in allegati o categorie rilevanti? | motivazione | | Dimensione | L'impresa supera soglie rilevanti? | dato documentato | | Servizi | Quali servizi sono critici? | elenco servizi | | Clienti | Serve soggetti NIS? | evidenza commerciale | | Fornitori | Dipende da terzi critici? | registro vendor | | Esito | essenziale, importante, indiretto, fuori | classificazione |

Come GAPOFF aiuta

GAPOFF deve essere posizionato come strumento di scoping e tracciamento. Il valore e documentare perché l'azienda e stata classificata in un certo modo e collegare quella decisione a controlli, evidenze e aggiornamenti futuri.

Trasforma la checklist in attività tracciabili

Con GAPOFF ogni voce diventa un controllo con owner, scadenza ed evidenza — non un foglio Excel. Modulo NIS2 →

La NIS2 non si gestisce con Excel.

Perimetro, controlli ACN, incidenti 24/72h, fornitori ed evidenze devono essere collegati e dimostrabili. GAPOFF unifica NIS2, Incident & Breach Ops, Vendor Risk, Business Continuity, GDPR, DORA e ISO 27001 in un unico sistema audit-ready.

Scopri il modulo NIS2 →

FAQ

Una PMI deve sempre adeguarsi alla NIS2?

Non sempre direttamente. Può però essere coinvolta se opera in settori rilevanti o come fornitore di clienti soggetti NIS2.

Come si capisce se si e soggetti essenziali o importanti?

Serve valutare settore, dimensione, ruolo e criteri nazionali. La valutazione va documentata.

Un fornitore non soggetto può ricevere richieste NIS2?

Si. I clienti regolati possono chiedere evidenze di sicurezza alla propria supply chain.

Approfondimenti correlati
Perimetro e soggetti obbligati NIS2 e PMI: quando una piccola o media impresa può essere coinvolta Perimetro e soggetti obbligati NIS2 per aziende IT, MSP e fornitori digitali Perimetro e soggetti obbligati NIS2 per software house e SaaS provider: sicurezza, evidenze e clienti enterprise
Oppure passa all'azione: modulo NIS2 →
Modulo GAPOFF NIS2

Scoping soggetti essenziali/importanti, 47 controlli ACN, gap analysis, remediation con owner e scadenze, portale fornitori, incidenti 24/72h, report audit-ready. Cross-mapping automatico con GDPR, ISO 27001 e DORA.

Vai al modulo NIS2 →

Fonti e disclaimer

Fonti: ACN Portale NIS, Direttiva UE 2022/2555, D.Lgs. 138/2024, ENISA, GAPOFF NIS2. Contenuto informativo.

FAQ

Una PMI deve sempre adeguarsi alla NIS2?

Non sempre direttamente. Può però essere coinvolta se opera in settori rilevanti o come fornitore di clienti soggetti NIS2.

Come si capisce se si e soggetti essenziali o importanti?

Serve valutare settore, dimensione, ruolo e criteri nazionali. La valutazione va documentata.

Un fornitore non soggetto può ricevere richieste NIS2?

Si. I clienti regolati possono chiedere evidenze di sicurezza alla propria supply chain.

Fonti ufficiali e riferimenti
Contenuto informativo generale. Non costituisce consulenza legale, parere professionale o valutazione formale di conformita. Per decisioni operative e necessario validare il caso concreto con consulenti qualificati e fonti ufficiali aggiornate.
Ultima revisione: 2026-05-19.