NIS2 e Condivisione File Sicura per PMI Italiane: Guida 2026

NIS2 e condivisione file sicura per PMI italiane: cosa cambia davvero nel 2026

Hai cifrato il canale. Hai definito i permessi. Hai formato le persone. Eppure ogni volta che un documento esce dalla tua rete, smetti di sapere cosa gli succede. Chi lo apre davvero, da quale dispositivo, quante volte, dopo quanto tempo.

La NIS2 ha appena reso questa domanda non più rinviabile. E con la Determinazione ACN del 13 aprile 2026 la posta in gioco è cambiata: non basta più dichiarare di essere conformi, bisogna dimostrarlo con dati verificabili. Sulla condivisione file sicura, dove il dato lascia il perimetro per definizione, è il punto in cui la maggior parte delle organizzazioni scopre di avere un buco.

In questa guida trovi cosa chiede la NIS2 a chi condivide file, dove le soluzioni tradizionali lasciano scoperto un requisito normativo, e come tradurre gli obblighi in controlli operativi concreti per una condivisione file sicura nelle PMI italiane.

Key takeaways

• La NIS2 impone cifratura dei dati in transito e a riposo, controllo degli accessi, audit trail e sicurezza della supply chain: tutti requisiti che la condivisione file sicura mette alla prova ogni giorno.
• Recepita in Italia con il D.Lgs. 138/2024 (in vigore dal 16 ottobre 2024), la direttiva si rivolge a soggetti essenziali e importanti in settori critici, non genericamente a tutte le PMI.
• La scadenza operativa è ottobre 2026: entro quella data le misure di sicurezza, inclusa la sicurezza della supply chain, devono essere pienamente implementate.
• La Determinazione ACN 127437 del 13 aprile 2026 sposta il baricentro dalla compliance formale alla resilienza dimostrabile: contano i dati, i processi reali e la mappatura dei fornitori.
• Le soluzioni che proteggono il perimetro non bastano: il file esce dalla rete e, una volta decifrato il canale, torna leggibile a destinazione. La protezione deve viaggiare con il dato.
  
  

Cosa chiede davvero la NIS2 a chi condivide file?

La direttiva NIS2 è stata recepita in Italia con il D.Lgs. 4 settembre 2024 n. 138, in vigore dal 16 ottobre 2024. L'articolo 24 del decreto impone alle organizzazioni nel perimetro di adottare misure di gestione del rischio cyber. Molte di queste misure toccano direttamente il modo in cui i documenti vengono protetti, condivisi e tracciati. Per chi cerca una condivisione file sicura conforme, è qui che la teoria diventa pratica.

I requisiti coprono tre dimensioni: riservatezza, integrità e disponibilità del dato. È la CIA Triad, e non è un'astrazione accademica. Significa che non basta impedire l'accesso non autorizzato a un file. Devi anche garantire che quel file non venga alterato, e che resti disponibile a chi ne ha diritto quando serve.

Tra le dieci misure minime indicate dal decreto, quattro pesano in modo specifico sulla condivisione documentale:

• politiche e procedure sull'uso della crittografia;
• controllo degli accessi e gestione delle identità;
• tracciabilità delle operazioni e gestione degli incidenti;
• sicurezza della supply chain e dei rapporti con i fornitori.

Chi conosce il GDPR riconosce in questo elenco presidi familiari. La cifratura a riposo e in transito, l'autenticazione multifattore, la gestione dei log: erano già misure adeguate ai sensi dell'articolo 32 del Regolamento (UE) 2016/679 (GDPR). La NIS2 le rende prescrittive e verificabili. Il quadro completo dei soggetti obbligati e dei settori è consultabile sul portale NIS dell'ACN.

Cosa cambia con la Determinazione ACN del 13 aprile 2026?

Qui sta il punto che molte guide ancora non raccontano. Con la Determinazione 127437 del 13 aprile 2026, l'Agenzia per la Cybersicurezza Nazionale ha reso operativo il quadro del Decreto NIS e ha cambiato le regole del gioco.

Prima era possibile descrivere le proprie misure. Ora bisogna dimostrarle con dati. La sicurezza diventa misurabile, la supply chain entra al centro con l'obbligo di mappare fornitori e dipendenze critiche, e la conformità si fonda su processi reali, monitoraggio continuo e responsabilità diretta del management. Abbiamo analizzato in dettaglio questo cambio di paradigma nel nostro approfondimento sulla nuova Determinazione ACN del 13 aprile 2026.

Tradotto sulla condivisione file sicura: non è più sufficiente dire “i nostri documenti sono protetti”. Devi poter mostrare chi ha avuto accesso a cosa, quando, da quale dispositivo, e che quella protezione regge anche quando il file è già nelle mani di un fornitore. Senza tracciabilità granulare ed esportabile, quel dato non lo produci. E se non lo produci, l'obbligo non lo adempi.

Quale cifratura serve per la condivisione file sicura in conformità alla NIS2?

La NIS2 non prescrive un algoritmo specifico, ma richiede una cifratura adeguata al rischio. Nella pratica significa almeno AES-256 per i dati a riposo e TLS 1.3 per i dati in transito.

Ma c'è un equivoco che vale la pena smontare. Quando invii un documento via email o lo carichi su una piattaforma di sharing, il canale è cifrato. Il file però viaggia protetto solo finché resta nel canale. Arrivato a destinazione, una volta decifrato il trasporto, torna in chiaro. Se il destinatario viene compromesso, o se inoltra il file dove non doveva, la cifratura del canale non serve più a niente.

La domanda quindi non è come cifrare meglio il trasporto. È perché il dato torna leggibile appena lascia il canale protetto.

La risposta sta in un approccio file-centrico: il documento è cifrato alla creazione e resta cifrato ovunque vada, dentro e fuori dalla rete. È questa la base di una condivisione file sicura che regge anche fuori dal perimetro. FileGrant Enterprise di CyberGrant aggiunge a questo la crittografia quantum-proof basata su CRYSTALS-Kyber, l'algoritmo selezionato dal NIST come standard post-quantum e pubblicato come FIPS 203 (ML-KEM). Non è un dettaglio accademico: gli attaccanti archiviano oggi dati cifrati con algoritmi classici, in attesa dei computer quantistici che li decifreranno domani. È la logica “harvest now, decrypt later”, e per documenti con valore pluriennale (contratti, brevetti, dossier sanitari) è una minaccia concreta.

Come implementare gli audit trail richiesti dalla NIS2?

Tracciare ogni accesso ai file non è una buona pratica facoltativa. La NIS2, e ancora di più la Determinazione ACN, richiede di dimostrare chi ha fatto cosa, quando e con quali dati. In caso di incidente, devi ricostruire la catena degli eventi.

Un audit trail efficace per la condivisione file sicura registra apertura dei documenti, modifiche, condivisioni con terzi, download e tentativi di accesso non autorizzato. I log devono essere protetti da manomissione ed esportabili per le verifiche.

È esattamente la funzione che la protezione file-centrica abilita per costruzione. Se il controllo vive nel file e non nel perimetro, ogni interazione con quel file genera un evento tracciato: sai chi ha aperto un documento, da quale dispositivo, per quanto tempo, anche dopo che è uscito dall'azienda.

Dove devono risiedere i file secondo la NIS2?

La NIS2 rafforza l'attenzione sulla sicurezza della supply chain, inclusi i fornitori di servizi cloud. La Determinazione ACN spinge oltre: ogni soggetto deve individuare i fornitori rilevanti in base alla loro criticità e sostituibilità, e mappare le dipendenze.

Per una PMI italiana, mantenere il controllo su dove risiedono i dati non è solo conformità al GDPR. È resilienza operativa. Se i file vivono su infrastrutture extra-UE, una controversia giurisdizionale o un cambio normativo possono sottrarti il controllo nel momento peggiore.

Qui contano due cose: dove sta il dato, e chi possiede le chiavi. CyberGrant offre deployment on-premise per gli ambienti ad alta riservatezza e gestione delle chiavi a conoscenza zero. Le chiavi restano tue. Nessun altro, nemmeno il fornitore, può accedere ai contenuti. CyberGrant ha R&D e fondatori in Italia, con sede operativa a Milano: la sovranità non è uno slogan da brochure, è dove vive davvero il dato.

Come proteggere i file condivisi con fornitori e terze parti?

La sicurezza della supply chain è uno dei pilastri della NIS2 ed è il cuore della Determinazione del 13 aprile. Ogni volta che condividi un documento con un fornitore, un consulente o un partner, estendi la superficie di attacco della tua organizzazione.

I dati lo confermano. Secondo il Verizon Data Breach Investigations Report 2025, circa il 30% delle violazioni coinvolge una terza parte, in raddoppio rispetto all'anno precedente. La vulnerabilità spesso non è interna: arriva da un partner compromesso.

Le soluzioni tradizionali di file sharing hanno un limite strutturale: una volta inviato il file, non puoi più revocarlo. Una condivisione file sicura degna di questo nome deve poter intervenire anche dopo l'invio. Con un approccio file-centrico puoi revocare l'accesso a qualsiasi documento in tempo reale, anche se è già stato scaricato. Il file diventa illeggibile all'istante. È la differenza tra sperare che il fornitore sia sicuro e limitare il danno quando non lo è.

C'è una conseguenza che spesso sfugge. La vera misura di sicurezza non è impedire che un file venga preso. È fare in modo che, se viene preso, non serva a niente.

Checklist NIS2 per la condivisione file sicura nelle PMI

Tradurre i requisiti in controlli operativi richiede metodo. Ecco i presidi essenziali per una condivisione file sicura, raggruppati per ambito.

Controlli di cifratura

• Cifra ogni file sensibile con algoritmi robusti (AES-256 o superiore), in transito e a riposo.
• Valuta la cifratura persistente, che protegge il contenuto anche dopo la consegna, non solo il canale.
• Per i documenti a valore pluriennale, considera la crittografia post-quantum.

Controlli di accesso

• Applica il principio del minimo privilegio: ogni persona accede solo ai file necessari al suo ruolo.
• Rendi obbligatoria l'autenticazione a più fattori sui documenti sensibili.
• Definisci policy di accesso granulari basate su ruoli (RBAC) e contesto.
  
  

Controlli di tracciabilità

• Registra ogni operazione sui file: accessi, modifiche, condivisioni, download, tentativi negati.
• Proteggi i log da manomissione e rendili esportabili per gli audit.
• Configura alert automatici per attività anomale.
  
  

Controlli sulla supply chain

• Mappa i fornitori con accesso ai tuoi dati e classificane la criticità.

• Inserisci requisiti di sicurezza nei contratti.

• Mantieni la capacità di revocare l'accesso a un fornitore in tempo reale 
  
  

Adeguarsi alla NIS2 senza bloccare l'operatività

C'è una falsa contrapposizione che blocca molti progetti: o sei sicuro, o sei produttivo. La NIS2 non ti chiede di fermare il business per diventare conforme. Ti chiede di integrare la sicurezza nei flussi di lavoro che già esistono.

Il DLP tradizionale ha alimentato questa contrapposizione: mesi di configurazione, classificazione manuale, falsi positivi, utenti che aggirano i controlli per riuscire a lavorare. Il risultato è una sicurezza che esiste sulla carta e viene disinnescata nella pratica.

L'approccio file-centrico ribalta la logica. Il dato è protetto alla nascita, la classificazione è automatica, la protezione segue il file senza che l'utente debba pensarci. La sicurezza diventa intelligente, persistente e quasi invisibile per chi lavora. È la condizione perché un controllo NIS2 regga davvero: se le persone non hanno motivo di aggirarlo, il dato che dichiari all'ACN corrisponde a ciò che accade ogni giorno.

Le scadenze NIS2 non aspettano. Valuta oggi dove la tua organizzazione lascia scoperti i requisiti su cifratura, tracciabilità e controllo dei fornitori, e colma i gap prima di ottobre 2026.

Domande frequenti sulla NIS2 e la condivisione file sicura

Quali imprese italiane sono soggette alla NIS2?

La NIS2 si applica a soggetti essenziali e importanti nei settori critici elencati dal D.Lgs. 138/2024: energia, trasporti, banche, infrastrutture finanziarie, sanità, acqua, telecomunicazioni, pubblica amministrazione, settore digitale e altri. In linea generale rientrano le medie e grandi organizzazioni (sopra i 50 dipendenti o 10 milioni di euro di fatturato), ma alcune realtà più piccole sono incluse se ritenute critiche o se forniscono servizi a un soggetto NIS. Se operi come fornitore di un soggetto essenziale o importante, puoi essere coinvolto indirettamente attraverso i requisiti di supply chain. Per verificare la tua posizione puoi consultare il portale NIS dell'ACN.

Entro quando devo adeguare la condivisione file sicura ai requisiti NIS2?

Le misure di sicurezza, inclusa la sicurezza della supply chain, devono essere pienamente operative entro ottobre 2026. Le scadenze di registrazione sul portale ACN sono già trascorse (17 gennaio 2025 per cloud, data center e servizi gestiti; 28 febbraio 2025 per gli altri soggetti), e dal 1° gennaio 2026 è attivo l'obbligo di notifica degli incidenti con aggiornamento annuale delle informazioni. La Determinazione del 13 aprile 2026 ha inoltre introdotto, per il bimestre maggio-giugno, l'obbligo di trasmettere l'elenco categorizzato di attività e servizi.

Quale cifratura richiede la NIS2 per i file condivisi?

La NIS2 non impone un algoritmo specifico, ma una cifratura adeguata al livello di rischio: nella pratica AES-256 o equivalente a riposo e TLS 1.3 in transito. Il limite delle soluzioni tradizionali è che proteggono il canale, non il contenuto: il file torna leggibile a destinazione. Una condivisione file sicura davvero conforme mantiene la cifratura persistente sul documento, e per i dati a valore pluriennale la crittografia post-quantum (come CRYSTALS-Kyber, standard NIST FIPS 203) protegge anche dalla minaccia “harvest now, decrypt later”.

Cosa succede se un fornitore con accesso ai miei file viene compromesso?

Sei responsabile della sicurezza dell'intera catena di fornitura. La NIS2 e la Determinazione ACN richiedono di valutare e monitorare i rischi dei fornitori e di mappare le dipendenze critiche. In caso di incidente presso un fornitore, devi poter limitare l'impatto sui tuoi dati. Con la protezione file-centrica puoi revocare l'accesso a un documento già condiviso in tempo reale, rendendolo immediatamente illeggibile e minimizzando l'esposizione.

Come dimostro la conformità NIS2 durante un audit?

Gli auditor verificano l'esistenza di policy documentate, l'implementazione effettiva dei controlli e la presenza di audit trail completi. Dopo la Determinazione del 13 aprile 2026 il principio è netto: non basta dichiarare, serve dimostrare con dati verificabili. Devi poter mostrare chi ha accesso a cosa, quando e perché. Una piattaforma file-centrica genera automaticamente il tracciamento di ogni interazione con i documenti protetti, semplificando la dimostrazione della conformità.