Adempimenti NIS2 – cosa bisogna fare entro ottobre 2026

Il D.Lgs. n. 138/2024, attuativo della direttiva (UE) 2022/2555 (NIS2), configura un regime di obbligazioni a struttura eminentemente organizzativa e probatoria, in cui la sicurezza informatica viene positivizzata come dovere di governo, di gestione del rischio e di rendicontazione, con presidi vincolanti anche sulla supply chain e con un sistema di notifica degli incidenti verso il CSIRT Italia.

La dicotomia tra “soggetti essenziali” e “soggetti importanti” opera come criterio di gradazione della vigilanza e della deterrenza sanzionatoria, a parità di architettura degli obblighi fondamentali.

Il presente contributo analizza gli adempimenti imposti dal Decreto e dalle Determinazioni ACN nn. 379887/2025 e 379907/2025, con particolare attenzione alla governance della cybersecurity (art. 23), all’analisi del rischio e alle misure di sicurezza di base (art. 24), al sistema di notifica degli incidenti (art. 25) e alla sequenza operativa che i soggetti NIS devono seguire per giungere all’appuntamento di ottobre 2026 con un sistema di gestione del rischio maturo, integrato e probatoriamente solido.

Norme primarie e fonti ufficiali di riferimento

Preliminarmente appare utile inquadrare a livello normativo la natura degli obblighi che saranno di seguito oggetto di approfondimento. Occorre pertanto identificare il nucleo normativo primario nazionale costituito dal D.Lgs. 4 settembre 2024, n. 138 (di seguito solo il “Decreto”), il quale recepisce la direttiva (UE) 2022/2555 (di seguito solo “NIS 2”) e ridefinisce il quadro nazionale della gestione del rischio cyber per soggetti pubblici e privati nei settori e nelle tipologie degli allegati I–IV[1]

Sul piano nazionale, le determinazioni ACN adottate in attuazione dell’art. 7, comma 6, del Decreto e delle disposizioni sull’adempimento degli obblighi (artt. 23–25 e correlati) costituiscono fonti operative indispensabili perché precisano modalità, processi e specifiche di base, incidendo direttamente sulle evidenze attese e sui flussi procedurali.

Entrando nel dettaglio, la produzione normativa di ACN rilevante deve essere identificata nella Determinazione ACN 379887/2025, per quanto riguarda gli obblighi relativi all’iscrizione in piattaforma, al Punto di contatto ed ai suoi eventuali sostituti, nonché l’aggiornamento delle informazioni da inserire sulla piattaforma stessa, e dalla Determinazione ACN 379907/2025 con i relativi allegati, che definisce le cd. specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del Decreto.

Adempimenti NIS2: obblighi e misure obbligatorie

La governance della cybersecurity

Entrando nel merito degli adempimenti, già dalla semplice lettura del Decreto emerge la centralità la governance della cybersecurity in capo agli organi apicali dei soggetti destinatari della normativa in esame. L’art. 23 impone agli organi di amministrazione e direttivi non solo di approvare le strategie di implementazione delle misure e di sovrintendere all’attuazione degli obblighi (con la necessità di apposite informative in merito agli incidenti ed alle notifiche), ma anche di svolgere apposita formazione in materia di sicurezza informatica e di promuovere periodicamente tale formazione verso tutti i dipendenti.

L’effetto è duplice: da un lato, l’elezione della (cyber)‑governance a materia di competenza dell’organo apicale; dall’altro, la tipizzazione di un obbligo di supervisione che rende fragile qualsiasi assetto in cui la sicurezza venga demandata unicamente alla funzione tecnica, senza flussi informativi, decisionali e di controllo da parte dell’organo gestorio.

È importante notare come il filo conduttore che collega tutti gli adempimenti sia quello del piano probatorio, in un’ottica di accountability del soggetto: dal punto di vista della governance ciò impone evidenze quali delibere, flussi di reporting, tracciabilità dei presidi approvati, e registri di formazione, per poter dimostrarne l’adempimento nell’ambito di un eventuale procedimento di vigilanza e, se del caso, in sede di contenzioso.

Analisi del rischio e misure di sicurezza di base: non selezione, ma modulazione

Una volta disegnata l’architettura di governance è possibile affrontare il cuore tecnico‑organizzativo del Decreto ossia l’art. 24. Detta norma impone misure tecniche, operative e organizzative “adeguate e proporzionate” basate su un approccio multi‑rischio. Il termine italiano non restituisce pienamente la portata dell’obbligo, che risulta più chiara nella versione inglese della NIS 2: “all-hazard approach”, richiamando l’intero spettro delle possibili fonti di danno, non solo quelle cyber.

Ai sensi del richiamato articolo, il catalogo minimo include: (i) analisi del rischio, (ii) gestione degli incidenti, (iii) continuità operativa e crisis management, (iv) sicurezza della supply chain, (v) sicurezza del ciclo di vita e gestione/divulgazione delle vulnerabilità, (vi) valutazione dell’efficacia delle misure, (vii) igiene cyber e formazione, (viii) specifiche misure tecniche, quali crittografia, controllo accessi e gestione degli asset, autenticazione multifattore e comunicazioni protette ove opportuno.

La previsione è di particolare densità giuridica. Da un lato, consente all’autorità di valutare la proporzionalità ex post (profilo che sarà centrale nell’evoluzione della norma); dall’altro, impone al soggetto di adottare una politica documentata di selezione, implementazione e verifica delle misure, coerente con rischio, criticità del singolo servizio e stato dell’arte.
In termini operativi, l’analisi del rischio costituisce il presupposto giuridico e metodologico dell’intero impianto di sicurezza. Essa rappresenta il momento fondativo su cui si innestano tutte le misure tecniche, organizzative e operative richieste ai soggetti essenziali e importanti, e assume una funzione strumentale rispetto alla conformità da garantire entro ottobre 2026.

Dal punto di vista metodologico, l’analisi del rischio si articola in una sequenza strutturata: (i) identificazione degli asset critici (infrastrutture, dati, servizi essenziali), (ii) individuazione delle minacce (attacchi esterni, minacce interne, errori umani, vulnerabilità tecnologiche), (iii) valutazione delle vulnerabilità e delle possibili conseguenze in termini di impatto operativo, economico, reputazionale e, nei casi più gravi, sistemico.

Attraverso tale mappatura è possibile determinare il livello di rischio intrinseco e, successivamente, il rischio residuo a valle dell’applicazione delle misure di sicurezza adottate (tecniche e organizzative).

In termini giuridici, l’analisi del rischio è il processo attraverso il quale l’organizzazione identifica, valuta e pondera i rischi che insistono sul proprio perimetro, al fine di determinare il livello di esposizione residua e individuare le misure di mitigazione proporzionate (quello che in altri ambiti viene definito come Risk Appetite). Il riferimento alla “adeguatezza e proporzionalità” non è casuale: il legislatore recepisce un modello risk-based che impone di calibrare gli obblighi sulla concreta esposizione dell’ente, superando logiche standardizzate e indifferenziate.

In un modello puramente risk-based, l’analisi del rischio precede e determina la scelta delle misure per la gestione del rischio lasciando al soggetto la possibilità di valutare il proprio profilo di esposizione e scegliere i controlli più appropriati. Nel sistema delineato da ACN, tuttavia, attraverso gli allegati nn. 1 e 2 alla Determinazione 379907/2025 che specificano le misure tecniche di cui all’art. 24, la discrezionalità di tale soggetto è strutturalmente limitata: esiste un nucleo di misure di base che devono comunque essere attuate, indipendentemente dalla specifica esposizione dell’ente. Non è il rischio a determinare se adottarle, ma la norma a imporne l’adozione.

L’analisi del rischio, dunque, non opera più come criterio di selezione dell’an della misura minima, bensì assume una triplice veste: criterio di modulazione del quomodo (livello di profondità, estensione, priorità di implementazione), strumento di integrazione (adozione di misure ulteriori rispetto al baseline) ed elemento di coerenza sistemica tra i vari requisiti[2].

Si prenda, ad esempio, la categoria GV.RM (risk management). La misura richiede che le attività e gli esiti della gestione del rischio siano integrati nei processi organizzativi e decisionali. Qui l’analisi del rischio non è una misura eventuale: essa stessa costituisce una misura minima. L’ente non può sostenere di non effettuarla perché il proprio rischio è basso; deve al contrario dimostrare un processo strutturato, documentato e periodicamente aggiornato.

Analogamente, i requisiti relativi a ruoli e responsabilità o alla tenuta di elenchi aggiornati di sistemi informativi critici non sono subordinati a una valutazione di opportunità: costituiscono presidi organizzativi inderogabili. L’analisi del rischio interviene, semmai, per qualificare quali sistemi siano “critici”, quali ruoli siano rilevanti ai fini cyber e quali priorità assegnare ai diversi asset.

Ne deriva una tensione apparente tra logica risk-based e logica prescrittiva. In realtà , il modello ACN è ibrido: prescrittivo rispetto all’esistenza del perimetro minimo di controllo, risk-based quanto alla sua concreta configurazione e al livello di maturità richiesto.

La coerenza giuridica dell’impianto si fonda, pertanto, su questo equilibrio: l’ente non può invocare la propria analisi del rischio per disapplicare una misura di base; ma deve utilizzare l’analisi del rischio per dimostrare che quella misura è stata implementata in modo adeguato e proporzionato rispetto al proprio contesto operativo.

Sotto il profilo probatorio, ciò comporta che la conformità alle misure di base deve poggiare su un doppio livello di evidenza: il primo è soddisfatto dall’esistenza formale del requisito (policy, elenco aggiornato, assegnazione di responsabilità, procedure approvate); il secondo, dall’evidenza della coerenza sostanziale con l’analisi del rischio (motivazioni delle scelte, priorità di intervento, allocazione di risorse, eventuali misure aggiuntive adottate).

Se manca il primo livello, vi è una violazione diretta della determinazione ACN; se manca il secondo, la misura rischia di essere qualificata come meramente formale, quindi inidonea a soddisfare il requisito di adeguatezza e proporzionalità ex art. 24.

In prospettiva ottobre 2026, la vera criticità non sarà tanto “avere su carta” tutte le misure di base, quanto dimostrare la coerenza sistemica tra i seguenti livelli: il perimetro degli asset, l’analisi del rischio formalizzata e riesaminata, le scelte organizzative (ruoli, responsabilità, reporting agli organi di amministrazione), i controlli tecnici implementati, le verifiche periodiche e le azioni correttive.

Scadenze e sequenza operativa

Poiché il presente contributo verrà pubblicato nel marzo 2026, nel momento in cui il lettore si troverà a leggerlo risulteranno già spirati i termini del 15 gennaio 2026 previsto dall’art. 3, comma 2, della Determinazione 379907/2025 per l’implementazione del processo di notifica degli incidenti e del 28 febbraio, termine finale per l’obbligo di registrazione/aggiornamento delle informazioni sulla piattaforma ACN.

In riferimento al primo, qualora non ancora implementato, l’art. 25 introduce un dovere diretto che è insieme procedurale e sostanziale: il soggetto NIS deve notificare senza ingiustificato ritardo ogni incidente con impatto significativo (sulla base degli allegati 3 e 4 della Determinazione 379907/2025), trasmettendo una pre-notifica entro 24 ore dalla conoscenza, una notifica entro 72 ore – con valutazione iniziale di gravità e impatto e, ove disponibili, indicatori di compromissione – nonché una relazione finale entro un mese e, se l’incidente è in corso, relazioni mensili fino alla conclusione dell’incidente stesso; per i prestatori di servizi fiduciari, la notifica “principale” è entro 24 ore.

La norma tipizza i contenuti essenziali della relazione finale, includendo la root cause probabile e le misure di mitigazione (sul punto sarà di cardinale importanza integrare nel processo di segnalazione la versione 2.0 della tassonomia cyber pubblicata da ACN a novembre 2025).

Ne consegue che il soggetto NIS deve dotarsi di una catena decisionale capace di qualificare l’evento e di produrre, in tempi brevissimi, informazioni coerenti e difendibili, evitando deviazioni tra versione tecnica e versione notificata. Sotto il profilo dell’evidenza, diventano centrali timeline dell’evento, log e indicatori di compromissione, registri delle decisioni di incident response, e documentazione delle mitigazioni. La notifica è, in concreto, un atto amministrativo-informativo che può essere oggetto di verifica e contestazione.

In riferimento alla piattaforma, l’art. 11, comma 10, della Determinazione ACN 379887/2025, in applicazione dell’art. 7 del Decreto, impone dal primo gennaio al 28 febbraio la registrazione o il rinnovo della registrazione sul portale ai soggetti essenziali ed importanti già censiti, aggiornando ove necessario le informazioni rilevanti.

Sul punto, tale adempimento non va confuso con quello di aggiornamento continuo, che richiede a tali soggetti di aggiornare le informazioni sul portale entro 14 giorni dall’evento modificativo, né con l’aggiornamento informativo annuale dal 15 aprile al 31 maggio, di cui all’art. 30 del Decreto e all’art.16 della Determinazione ACN 379887/2025[3].

Passando poi all’implementazione delle misure di sicurezza, se l’analisi del rischio costituisce l’architrave metodologica dell’impianto, le misure specifiche di base individuate dall’Agenzia per la Cybersicurezza Nazionale ne rappresentano la declinazione operativa minima e inderogabile. Appare pertanto opportuno comprendere come adempiere a tali obblighi entro la scadenza di ottobre 2026.

In primo luogo, l’ente dovrebbe concentrarsi sulla dimensione di governance (cluster GV degli allegati 1 e 2): formalizzazione delle responsabilità in materia di sicurezza, attribuzione chiara dei ruoli, integrazione della gestione del rischio nei processi decisionali, definizione e approvazione delle policy quadro. In questa finestra temporale devono essere altresì completati l’inventario degli asset informativi e la perimetrazione dei sistemi informativi di rete rilevanti[4], poiché l’intero impianto delle misure di base presuppone la conoscibilità e tracciabilità delle risorse da proteggere. Quanto detto è utile anche a comprendere quando sia possibile ridurre l’intensità dell’obbligo: alcuni requisiti lasciano infatti al soggetto la facoltà di limitare l’ambito di attuazione ai soli sistemi informativi di rete rilevanti[5][6].

Senza un’asset inventory aggiornata e validata a livello direzionale, ogni ulteriore adempimento risulta strutturalmente fragile. Rispetto ad alcuni asset, potrebbero risultare inapplicabili taluni requisiti, riconoscibili dalla locuzione “fatte salve motivate e documentate ragioni normative o tecniche”. In alcune ipotesi, infatti, l’adozione del requisito ACN potrebbe entrare in conflitto con quanto disciplina l’oggetto del requisito stesso. Un esempio aiuterà a comprendere meglio quanto si dice: si pensi ai dispositivi medici, ai quali l’applicazione del requisito potrebbe compromettere il processo di conformità obbligatoria ai fini della marcatura CE, previsto dal Reg. UE 2017/745. Non avere contezza degli asset, pertanto, non solo impedisce di proteggerli correttamente, ma rischia di essere controproducente.

Nel passo immediatamente successivo, il focus deve spostarsi sulla formalizzazione e attuazione dei processi operativi minimi: vulnerability management, controllo degli accessi, autenticazione multifattore per gli account privilegiati, segmentazione logica dei sistemi più critici, definizione dei criteri di cifratura e protezione delle comunicazioni. In questa fase non è sufficiente l’adozione documentale; occorre dimostrare che le configurazioni tecniche siano coerenti con le policy approvate e che i log, gli audit trail e i sistemi di monitoraggio siano effettivamente attivi.

Questo deve essere il momento in cui la misura passa dalla carta all’infrastruttura, ma per far ciò è necessario che la cultura di sicurezza sia estesa a tutta l’organizzazione: si possono avere tutte le misure di sicurezza tecniche e tutte le procedure necessarie, ma se esse non sono il pane quotidiano di chi le deve rispettare, il sistema non è protetto.

Le determinazioni dell’Agenzia per la Cybersicurezza Nazionale presuppongono un mutamento strutturale dell’organizzazione, in cui la gestione del rischio diventa parte integrante dei processi decisionali e operativi quotidiani: la sicurezza, infatti, non può restare confinata alla funzione IT o al perimetro del CISO. Le misure di base – dalla gestione degli accessi alla segnalazione degli incidenti, dalla protezione delle credenziali alla corretta classificazione degli asset – richiedono comportamenti coerenti da parte di tutto il personale. Senza consapevolezza diffusa, formazione continua e responsabilizzazione dei livelli apicali, la policy resta un documento, la procedura un adempimento, il controllo tecnico un presidio isolato.

In termini giuridici, questo passaggio culturale incide direttamente sulla valutazione dell’adeguatezza. Una misura formalmente adottata, ma sistematicamente elusa o ignorata, non soddisfa il requisito di proporzionalità rispetto al rischio, perché non produce l’effetto sostanziale di riduzione dell’esposizione. L’efficacia, espressamente richiamata tra gli obblighi, è tecnica ed organizzativa: si misura nella capacità dell’ente di trasformare il controllo in prassi ordinaria.

Ciò implica che il percorso verso ottobre 2026 debba includere investimenti in formazione, simulazioni, comunicazione interna e coinvolgimento del management. In assenza di questa metabolizzazione culturale, le misure di base rischiano di ridursi a un apparato formale, esposto a fallire proprio nel momento in cui potrebbe essere chiamato a funzionare: durante l’incidente.

Una volta implementate le misure a protezione dell’infrastruttura la priorità dovrà essere attribuita alla continuità operativa e alla resilienza: redazione e test dei piani di business continuity e disaster recovery, definizione dei parametri di ripristino, simulazioni di scenario, integrazione con le procedure di crisis management. Parallelamente, devono essere rafforzati i controlli sulla supply chain, con mappatura dei fornitori ICT rilevanti, revisione delle clausole contrattuali critiche e introduzione di meccanismi di monitoraggio periodico.

Infine, l’attenzione deve concentrarsi sulla valutazione dell’efficacia e sul consolidamento probatorio: audit interni, riesami di direzione, test tecnici indipendenti, aggiornamento dell’analisi del rischio alla luce delle misure implementate, chiusura delle non conformità eventualmente rilevate. In questa fase verrà saggiata la maturità del sistema, in cui la compliance non si limita più all’adozione delle misure di base, ma ne verifica la coerenza sistemica e la sostenibilità nel tempo.

Tale scansione temporale riflette un’esigenza precisa: le misure di base dettate dall’ACN non possono essere implementate in modo atomistico o tardivo, né concentrate negli ultimi mesi antecedenti la scadenza. La loro logica è progressiva e cumulativa: la governance abilita il risk management; il risk management orienta le misure tecniche; le misure tecniche devono essere testate; i test devono generare evidenze; le evidenze devono alimentare un ciclo di miglioramento continuo.

Conclusioni

Il D.Lgs. n. 138/2024 delinea un paradigma di responsabilità che trascende la mera adozione di controlli tecnici e si radica in una concezione strutturalmente organizzativa della cybersicurezza. L’obbligo imposto ai soggetti essenziali e importanti non si esaurisce nell’implementazione di un catalogo di misure, ma si traduce nell’istituzione di un sistema governato, documentato e continuamente verificabile, nel quale governance, analisi del rischio, misure di base, notifica degli incidenti e gestione della supply chain si integrano in un circuito unitario.

La distinzione tra soggetti essenziali e importanti non incide sull’architettura sostanziale degli obblighi, bensì sul regime di vigilanza e sull’intensità della risposta sanzionatoria. Il legislatore ha inteso uniformare il modello di sicurezza, differenziando soltanto il grado di esposizione al controllo pubblico e l’entità delle conseguenze in caso di inadempimento: fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, fino a 7 milioni o l’1,4% per quelli importanti, con la possibilità di sanzioni accessorie personali (incapacità temporanea a svolgere funzioni dirigenziali) in caso di inottemperanza alla diffida.

L’orizzonte di ottobre 2026 rappresenta il termine entro il quale il sistema di gestione del rischio deve risultare maturo, integrato e probatoriamente solido. La progressività dell’adeguamento impone una pianificazione razionale che renda compatibili le finestre di registrazione e l’implementazione delle misure di base con un disegno unitario.

In prospettiva, il raggiungimento della compliance di base non esaurirà il percorso: il modello ACN è disegnato per evolvere verso obblighi a lungo termine e verso una categorizzazione delle attività e dei servizi (art. 42 del Decreto) che consentirà una differenziazione più granulare dei livelli di sicurezza richiesti. Il ciclo di adeguamento, dunque, è strutturalmente aperto: le misure di base rappresentano il livello di partenza, non il traguardo.

In definitiva, la cybersicurezza, nel diritto italiano post-NIS2, assume la fisionomia di dovere di governo e di rendicontazione permanente. L’ente che saprà tradurre le prescrizioni in un sistema organico non solo ridurrà l’esposizione sanzionatoria, ma consoliderà la propria resilienza operativa e la propria credibilità istituzionale. Diversamente, la compliance apparente o atomistica sarà inevitabilmente esposta a censura, poiché il modello normativo non tollera più la dissociazione tra regola scritta e prassi organizzativa.

Note

[1] A tali fonti si affianca il regolamento di esecuzione (UE) 2024/2690, che specifica requisiti tecnici e metodologici delle misure e ulteriori criteri di “significatività” dell’incidente per specifiche categorie di fornitori digitali (DNS, registri TLD, cloud, data center, CDN, servizi gestiti e di sicurezza gestiti, marketplace, motori di ricerca, piattaforme social, prestatori di servizi fiduciari).

[2] Sul punto cfr. par. 2.3.2. Linee Guida NIS Specifiche di base Guida alla lettura, Versione 2.0, pubblicata da ACN a dicembre 2025 e disponibile al presente link: https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base.

[3] Quanto detto ha senso, specialmente per la fase iniziale di approccio alla NIS 2, se si considera che la compliance non inizia con le “misure”, ma con la corretta riconoscibilità del soggetto e dei suoi servizi: un’errata o incompleta rappresentazione può generare violazioni autonome, oltre a indebolire la difesa in caso di incidente. In termini operativi, le evidenze richieste sono, prima ancora di essere “cyber”, organizzative: ownership dei dati, processi di validazione interna, controlli sulle modifiche, e auditabilità della corrispondenza tra realtà tecnica e dichiarazioni su piattaforma.

[4] ai sensi dell’articolo 1 della determinazione 379907/2025 questi sono definiti come “i sistemi informativi e di rete la cui compromissione comporterebbe un impatto significativo sulla riservatezza, integrità e disponibilità delle attività e dei servizi per i quali il soggetto rientra nell’ambito di applicazione del decreto NIS”.

[5] Cfr. par. 2.3.1 e Appendice B delle Linee Guida NIS Specifiche di base Guida alla lettura, Versione 2.0, pubblicata da ACN a dicembre 2025 e disponibile al presente link: https://www.acn.gov.it/portale/documents/d/guest/guida-alla-lettura-specifiche-di-base.

[6] Sembra opportuno specificare sul punto la differenza fra disapplicazione della misura (non consentita in quanto obbligatoria) e delimitazione del suo perimetro oggettivo (consentita solo entro i limiti previsti dalla norma ed eventualmente dall’analisi del rischio).

Riferimenti normativi

Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (NIS 2)

D.Lgs. 4 settembre 2024, n. 138, recepimento della direttiva (UE) 2022/2555

Determinazione ACN n. 379887/2025 (Portale ACN e Servizi NIS), applicabile dal 31 dicembre 2025

Determinazione ACN n. 379907/2025 (Misure di sicurezza di base e incidenti significativi), applicabile dal 15 gennaio 2026

ACN, La Tassonomia Cyber dell’ACN, versione 2.0, novembre 2025

ACN, Linee Guida NIS – Definizione del processo di gestione degli incidenti di sicurezza informatica, 31 dicembre 2025

Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio del 5 aprile 2017 relativo ai dispositivi medici