Direttiva NIS2: cos’è, chi riguarda e perché il tuo CRM è parte della conformità
La Direttiva NIS2 è la legislazione dell’Unione Europea in materia di cybersicurezza, recepita in Italia con il D.Lgs. 138/2024. Nata per proteggere i servizi essenziali e l’intera economia digitale dagli incidenti informatici, nel 2026 è entrata nella sua fase pienamente operativa: non più solo principi, ma scadenze precise, controlli dell’Agenzia per la Cybersicurezza Nazionale (ACN) e responsabilità dirette in capo al management.
Ma c’è un aspetto che molte aziende sottovalutano: la conformità NIS2 passa anche dai software che usi ogni giorno. Un gestionale o un CRM che gira su componenti obsoleti e fuori supporto è, a tutti gli effetti, una vulnerabilità. Vediamo cosa prevede la direttiva, chi è coinvolto, quali sono le scadenze del 2026 e perché l’aggiornamento del tuo CRM vtenext alla versione 26.04 è un tassello concreto del percorso di adeguamento.
Cos’è la Direttiva NIS2 e perché nasce
La Direttiva NIS2 (UE 2022/2555) aggiorna le norme europee sulla sicurezza delle reti e dei sistemi informativi introdotte nel 2016 con la prima Direttiva NIS. Il motivo è semplice: la crescente digitalizzazione e interconnessione di imprese, istituzioni e cittadini ha moltiplicato il rischio di attacchi informatici, in costante aumento anno dopo anno secondo i rapporti Clusit.
L’obiettivo della NIS2 è creare una strategia di cybersicurezza comune in tutta l’Unione Europea, ampliando i settori coinvolti, rafforzando gli obblighi di gestione del rischio e introducendo un regime sanzionatorio severo. In Italia la direttiva è stata recepita con il Decreto Legislativo 4 settembre 2024, n. 138, e l’autorità nazionale competente è l’ACN – Agenzia per la Cybersicurezza Nazionale.
Il decreto estende gli obblighi di sicurezza a diciotto settori – undici altamente critici (Allegato I) e sette critici (Allegato II) – coinvolgendo oltre ottanta tipologie di soggetti pubblici e privati, classificati come essenziali o importanti.
Tra i settori coinvolti rientrano, ad esempio:
- energia (produzione e distribuzione);
- sanità e servizi sanitari;
- trasporti e logistica;
- servizi bancari e finanziari;
- infrastrutture digitali e di comunicazione elettronica;
- fornitori di servizi digitali: e-commerce, motori di ricerca, cloud computing, gestione di servizi ICT;
- pubblica amministrazione, spazio, gestione di acque e rifiuti, manifattura di prodotti critici.
I soggetti vengono classificati in due categorie — soggetti essenziali e soggetti importanti — con obblighi simili ma regimi di vigilanza e sanzioni differenti.
Il punto che molte PMI ignorano: la supply chain
Anche se la tua azienda non rientra direttamente nei settori NIS2, potresti essere coinvolto indirettamente. La direttiva impone infatti ai soggetti essenziali e importanti di valutare e monitorare la sicurezza informatica dei propri fornitori. Se fornisci servizi IT, logistici, di manutenzione o qualsiasi servizio critico a un’azienda nel perimetro NIS2, il tuo profilo di sicurezza diventa parte della loro compliance. In pratica: i tuoi clienti potrebbero presto chiederti evidenze concrete sulle tue misure di sicurezza, pena l’esclusione dalla loro catena di fornitura.
I soggetti NIS devono presidiare tre ambiti principali:
- Governance – gli organi di vertice devono approvare un piano di gestione dei rischi informatici, seguirne l’attuazione e garantire formazione continua in materia di cybersicurezza, per sé e per i dipendenti. La responsabilità è personale e diretta.
- Risk management e gestione degli incidenti – obbligo di valutare i rischi (inclusi quelli legati alla supply chain), garantire la continuità operativa e notificare gli incidenti significativi al CSIRT Italia: pre-notifica entro 24 ore e notifica entro 72 ore.
- Sicurezza dei sistemi e della catena di fornitura – la normativa richiede esplicitamente di assicurare la sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi informatici, con procedure strutturate per la gestione delle vulnerabilità, il controllo degli accessi e la tracciabilità delle operazioni sensibili.
È proprio quest’ultimo punto a chiamare in causa i software aziendali: un applicativo che gira su componenti fuori supporto, senza patch di sicurezza, non può essere considerato conforme.
Il 2026 è l’anno in cui la NIS2 passa dalla teoria all’execution. Per i soggetti già inseriti nell’elenco NIS nel 2025, il calendario definito dall’ACN prevede:
Scadenza | Adempimento |
Da gennaio 2026 | Obbligo di notifica degli incidenti significativi al CSIRT Italia, già operativo |
1 gennaio – 28 febbraio 2026 | Registrazione o aggiornamento della registrazione sul portale ACN |
15 aprile – 31 maggio 2026 | Aggiornamento annuale delle informazioni e comunicazione dei fornitori rilevanti |
1 maggio – 30 giugno 2026 | Aggiornamento dell’elenco e categorizzazione delle attività e dei servizi NIS2 |
31 ottobre 2026 | Piena operatività delle misure di sicurezza di base, momento dal quale ACN potrà avviare attività ispettive e sanzionatorie |
Per i soggetti inseriti per la prima volta nell’elenco NIS nel 2026, l’ACN ha previsto un percorso graduale di adeguamento basato sul principio di proporzionalità, con l’adozione delle misure di sicurezza entro il 31 luglio 2027.
Il regime sanzionatorio è uno dei tratti più incisivi della direttiva:
- Soggetti essenziali: sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato annuo mondiale;
- Soggetti importanti: sanzioni fino a 7 milioni di euro o l’1,4% del fatturato annuo mondiale.
A queste si aggiungono possibili responsabilità degli organi di amministrazione e, in determinati casi, l’obbligo di rendere pubblica la violazione subita: un danno reputazionale che spesso pesa più della sanzione stessa.
Qui la normativa incontra l’operatività quotidiana. Il CRM è il sistema dove vivono i dati più sensibili dell’azienda: anagrafiche clienti, contratti, comunicazioni, ticket di assistenza. Se gira su tecnologie obsolete, è un punto debole nella tua postura di sicurezza — e una potenziale non conformità.
È ora disponibile la versione 26.04 di vtenext, e non si tratta solo di nuove funzionalità: questo aggiornamento rappresenta un salto generazionale in termini di sicurezza, stabilità e apertura all’intelligenza artificiale. Il cambiamento più importante non si vede, ma protegge ogni dato che gestisci ogni giorno:
- Migrazione completa a PHP 8.3 e alle ultime versioni di Ubuntu: le versioni precedenti di PHP sono fuori supporto, senza patch né correzioni di vulnerabilità. Eliminare componenti obsoleti è esattamente ciò che la NIS2 intende per “sicurezza nella manutenzione dei sistemi informatici”.
- Sistema di hotfix: patch di sicurezza applicabili direttamente dall’interfaccia, con notifiche automatiche quando sono disponibili fix critici — una gestione strutturata delle vulnerabilità, come richiesto dalla direttiva.
- Autenticazione a due fattori (2FA) per gli utenti CRM e per il Portale Clienti, accesso biometrico da app mobile e OAuth2 Server: controllo degli accessi rafforzato su tutti i punti di ingresso.
- Tracciabilità delle operazioni e processi strutturati, a supporto degli obblighi di accountability.
In altre parole: aggiornare il CRM non è un’attività IT di routine, è una misura di conformità NIS2 concreta e documentabile — utile sia se rientri direttamente nel perimetro, sia se devi dimostrare affidabilità come fornitore di un soggetto NIS.
E c’è un vantaggio in più: con la versione 26.04 vtenext getta le basi per l’evoluzione AI prevista per giugno 2026 (MCP Server, orchestrazione agentica, agenti nativi integrati con LLM). Chi si aggiorna ora sarà pronto ad attivare queste funzionalità appena disponibili.
Verifica se rientri nel perimetro NIS2, direttamente o come fornitore di un soggetto essenziale o importante.
Mappa i tuoi sistemi informatici: individua software e componenti fuori supporto, a partire dagli applicativi che gestiscono dati critici come il CRM.
Pianifica gli aggiornamenti: a partire da settembre 2026, il passaggio a vtenext 26.04 sarà pianificato e gestito dal nostro team.
Documenta tutto: la conformità NIS2 si dimostra con evidenze. Versioni aggiornate, patch applicate, accessi controllati e tracciati sono prove concrete in caso di ispezione.
Vuoi mettere il tuo CRM in regola con la NIS2?
L’aggiornamento a vtenext 26.04 è il primo passo concreto. Scopri tutte le novità e richiedi il tuo aggiornamento →
Oppure contattaci: il nostro team pianificherà con te il percorso di migrazione più adatto alla tua installazione.
Sì, in due modi: direttamente, se l’azienda opera in uno dei 18 settori previsti e supera le soglie dimensionali; indirettamente, come fornitore di un soggetto NIS, per effetto degli obblighi sulla supply chain.
Il 31 ottobre 2026: entro quella data i soggetti già in elenco devono avere pienamente operative le misure di sicurezza di base, con evidenze documentali. Da quel momento l’ACN può avviare ispezioni e sanzioni.
La direttiva richiede di assicurare la sicurezza nella manutenzione dei sistemi informatici e di gestire le vulnerabilità in modo strutturato. Un software basato su componenti senza patch di sicurezza espone i dati a rischi concreti e difficilmente può essere considerato conforme.
L’aggiornamento è gratuito, incluso nel canone di assistenza. Viene addebitato esclusivamente il tempo di lavoro per l’aggiornamento tecnico e la verifica/migrazione delle personalizzazioni, che dipende dalla versione di partenza e dal livello di personalizzazione del CRM.