NIS2 e PMI manifatturiere: la cybersecurity parte dalla mappa della fabbrica Non basta più proteggere “i computer”: serve capire quali processi tengono in piedi produzione, consegne e continuità aziendale
Pubblicato il 25/05/2026
Per molte piccole e medie imprese manifatturiere italiane, la NIS2 rischia di essere percepita come l’ennesimo adempimento normativo da affidare all’IT o al consulente cyber. In realtà, il punto centrale è molto più concreto: capire quali attività aziendali dipendono da sistemi digitali e quanto sarebbero critiche se si fermassero.
Il recepimento italiano della Direttiva NIS2 è avvenuto con il Decreto Legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. La disciplina ha ampliato il perimetro della cybersicurezza, distinguendo tra soggetti essenziali e importanti e coinvolgendo un numero molto più ampio di settori economici.
Per il manifatturiero, questo significa una cosa precisa: la sicurezza informatica non riguarda più solo server, firewall e antivirus. Riguarda la capacità dell’azienda di continuare a produrre, spedire, fatturare, acquistare materie prime, gestire ordini, proteggere disegni tecnici, ricette, distinte base e dati dei clienti.
La fabbrica è ormai un sistema digitale
In una PMI manifatturiera, anche quando il prodotto è fisico, il processo è sempre più digitale. L’ordine entra nel gestionale, la produzione viene pianificata sull’ERP, le macchine dialogano con sistemi MES o SCADA, il magazzino usa terminali e software WMS, la qualità registra controlli e non conformità, l’amministrazione emette fatture elettroniche, la logistica scambia dati con corrieri, spedizionieri e clienti.
È qui che la mappatura richiesta nel quadro NIS2 diventa utile. Non si tratta di fare un inventario infinito di software e dispositivi, ma di collegare le attività aziendali ai sistemi ICT che le rendono possibili. ACN ha pubblicato nel 2026 le modalità per l’elencazione e la categorizzazione delle attività e dei servizi, prevedendo una comunicazione tramite piattaforma dal 1° maggio al 30 giugno.
La domanda da cui partire non è: “quanti PC abbiamo?”. La domanda corretta è: “quali processi, se bloccati da un incidente cyber, fermano la produzione o compromettono le consegne?”.
Le macro-aree ACN lette con gli occhi di una PMI produttiva
Il modello ACN organizza attività e servizi in dieci macro-aree: monitoraggio e controllo, gestione delle risorse umane, produzione di beni e servizi, logistica, ricerca sviluppo e progettazione, comunicazione e marketing, gestione finanziaria, gestione amministrativa, gestione dei clienti, altri servizi e attività. A queste voci viene associata una categoria di rilevanza, con livelli che vanno da impatto minimo a impatto alto.
Per una PMI manifatturiera, alcune macro-aree sono particolarmente sensibili.
Produzione di beni e servizi è spesso il cuore dell’analisi. Qui rientrano pianificazione della produzione, avanzamento commesse, controllo macchine, gestione ricette, distinte base, manutenzione, qualità e tracciabilità. Se il gestionale, il MES o un sistema collegato alle linee si ferma, l’impatto non è “informatico”: è produttivo.
Logistica riguarda magazzino, spedizioni, picking, tracciabilità dei lotti, integrazione con corrieri e clienti. In molte filiere, un blocco della logistica può generare penali, ritardi, fermi cliente o perdita di affidabilità commerciale.
Ricerca, sviluppo e progettazione è centrale per aziende che lavorano su disegni tecnici, CAD, PLM, formule, prototipi o know-how proprietario. Qui il rischio non è solo l’interruzione del servizio, ma anche la perdita o sottrazione di proprietà intellettuale.
Gestione clienti e amministrazione copre CRM, ordini, contratti, fatturazione, documenti di trasporto, incassi e pagamenti. Sono attività apparentemente “di ufficio”, ma senza di esse l’azienda non vende, non consegna e non incassa.
Il metodo pratico: partire dai processi, ma verificare con l’IT
Per evitare una mappatura incompleta, le PMI dovrebbero usare un doppio approccio.
Il primo è “dall’alto”: partire dalle funzioni aziendali. Produzione, acquisti, qualità, logistica, amministrazione, commerciale e direzione devono descrivere quali attività svolgono e quali strumenti digitali usano.
Il secondo è “dal basso”: partire dall’inventario tecnico. Server, applicativi, cloud, software gestionali, apparati di rete, sistemi di backup, macchine connesse, VPN, servizi SaaS, piattaforme di collaborazione e fornitori IT devono essere collegati ai processi che supportano.
Il valore vero nasce dall’incrocio tra queste due viste. L’IT conosce sistemi e vulnerabilità, ma spesso non conosce fino in fondo le priorità produttive. I responsabili di reparto conoscono urgenze e criticità operative, ma non sempre sanno quali infrastrutture digitali rendono possibili quelle attività.
Attenzione all’errore più comune: mappare troppo
Molte aziende, nel tentativo di essere precise, rischiano di creare elenchi ingestibili. Per una PMI manifatturiera non ha senso frammentare ogni micro-attività se poi non si riesce a mantenere aggiornata la mappa.
La regola pratica dovrebbe essere questa: aggregare le attività quando appartengono alla stessa area, usano gli stessi sistemi e hanno un livello di rischio simile. Separarle, invece, quando cambiano il processo, l’impatto, il sistema utilizzato o la responsabilità operativa.
Per esempio, “gestione ordini cliente” e “fatturazione” possono sembrare vicine, ma potrebbero avere impatti diversi e coinvolgere sistemi diversi. Al contrario, più sotto-attività di avanzamento produzione potrebbero essere trattate insieme se dipendono dallo stesso MES e presentano lo stesso profilo di rischio.
Un esempio concreto di mappatura
Una PMI metalmeccanica potrebbe individuare queste voci:
Questo tipo di tabella è più utile di un semplice inventario software, perché collega tecnologia, processo e impatto aziendale.
Perché conviene farlo anche oltre l’obbligo
La categorizzazione NIS2 non dovrebbe essere vista solo come un passaggio formale verso ACN. Per una PMI manifatturiera può diventare la base per decidere dove investire prima: backup, segmentazione di rete, gestione accessi, protezione degli ambienti OT, continuità operativa, formazione del personale, verifica dei fornitori, monitoraggio degli incidenti.
In altre parole, la mappa serve a rispondere a una domanda manageriale: quali sistemi proteggiamo per primi perché tengono in piedi il business?
La cybersecurity, nel manifatturiero, non è più una questione separata dalla produzione. È una condizione di continuità industriale. Chi conosce bene i propri processi digitali può ridurre i rischi, dialogare meglio con consulenti e fornitori, affrontare la NIS2 con maggiore consapevolezza e trasformare un obbligo normativo in un’occasione per rendere l’azienda più solida.