NIS2 e D.Lgs. 138/2024: gli adempimenti 2026

A diciotto mesi dall’entrata in vigore del decreto di recepimento, la NIS2 in Italia esce dalla fase di impostazione ed entra in quella degli obblighi vincolanti. Il 2026 è l’anno in cui le scadenze diventano operative: la notifica degli incidenti è già un dovere, le misure di sicurezza di base devono essere implementate entro l’autunno e, da ottobre, l’Agenzia per la Cybersicurezza Nazionale (ACN) potrà avviare le verifiche. Per i soggetti in perimetro, soprattutto quelli che hanno trattato la registrazione come un mero adempimento formale, è il momento di trasformare gli obblighi sulla carta in controlli funzionanti.

Dal decreto alle determinazioni: il quadro aggiornato

Con il decreto legislativo 4 settembre 2024, n. 138, l’Italia ha recepito la direttiva (UE) 2022/2555, nota come NIS2, sostituendo il precedente impianto NIS del 2018. Il testo, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024, conferma l’ACN come Autorità nazionale competente NIS e come Punto di contatto unico, e affida al CSIRT Italia la ricezione delle notifiche di incidente. Rispetto alla direttiva del 2016, la NIS2 amplia in modo sostanziale la platea dei soggetti obbligati, irrigidisce gli obblighi di notifica e introduce un regime sanzionatorio severo: il salto di scala spiega perché l’adeguamento non possa essere trattato come un aggiornamento marginale della precedente disciplina.

Il decreto fissa la cornice; i dettagli operativi sono demandati alle determinazioni dell’Agenzia. È qui che si è prodotta la novità più rilevante degli ultimi mesi, e quella su cui occorre fare chiarezza. La prima determinazione tecnica, la n. 164179 del 14 aprile 2025, ha definito le misure di sicurezza di base e i criteri di notifica. Il 24 dicembre 2025, però, l’ACN ha pubblicato due nuove determinazioni che riscrivono il quadro: la n. 379887/2025, applicabile dal 31 dicembre 2025, aggiorna le regole sul Portale NIS e sui servizi correlati; la n. 379907/2025, efficace dal 15 gennaio 2026, abroga e sostituisce la n. 164179/2025, ridefinendo con maggiore precisione le misure di base e la gestione degli incidenti significativi.

Chi sta ancora lavorando sulla determinazione di aprile 2025 sta quindi seguendo un testo superato: il riferimento valido per gli adempimenti 2026 è la determinazione n. 379907/2025.

Chi è dentro il perimetro e la finestra di registrazione 2026

La NIS2 distingue tra soggetti essenziali e soggetti importanti, con obblighi calibrati sul livello di criticità. L’individuazione passa dall’autodichiarazione sulla piattaforma ACN, attiva dal 1° dicembre 2024. Secondo i dati comunicati dall’ACN, l’elenco nazionale ha individuato oltre 20.000 organizzazioni, di cui più di 5.000 classificate come essenziali, a fronte di oltre 30.000 realtà che si sono registrate.

Per il 2026 si è riaperta la finestra annuale, dal 1° gennaio al 28 febbraio, con un flusso ora duplice. I soggetti già registrati nel 2025 devono rinnovare la registrazione, confermando o aggiornando i dati: l’Agenzia ha predisposto dichiarazioni precompilate che il legale rappresentante deve validare digitalmente. I nuovi soggetti entrati nel frattempo nel perimetro devono invece effettuare la prima registrazione. La conferma annuale non è un passaggio burocratico trascurabile, perché è proprio la comunicazione di inserimento nell’elenco a far decorrere i termini per gli adempimenti successivi.

Le scadenze operative del 2026

Il meccanismo è scandito dalla data in cui l’ACN comunica al soggetto l’inserimento nell’elenco. Da quel momento decorrono due termini distinti: nove mesi per attivare i meccanismi di notifica degli incidenti, diciotto mesi per implementare le misure di sicurezza di base. Tradotti nel calendario dei soggetti già in elenco dal 2025, questi termini producono due scadenze decisive.

La prima riguarda la notifica degli incidenti significativi, pienamente operativa dal 15 gennaio 2026 in applicazione della determinazione n. 379907/2025. Da quella data i soggetti in perimetro devono saper comunicare al CSIRT Italia un incidente significativo entro tempi stretti: una pre-notifica, o early warning, entro 24 ore dal momento in cui ne sono venuti a conoscenza; una notifica completa entro 72 ore, con una valutazione iniziale e, se disponibili, gli indicatori di compromissione; una relazione finale entro un mese. S

e l’incidente è ancora in corso allo scadere del mese, sono previste relazioni intermedie di avanzamento e una finale entro un mese dalla chiusura della gestione. Rispettare questi tempi presuppone processi, ruoli e canali già definiti prima dell’evento, non improvvisati durante una crisi.

La seconda scadenza riguarda le misure di sicurezza di base, che devono essere operative entro ottobre 2026: la data indicata come termine ultimo per la piena conformità dei soggetti già in elenco è il 31 ottobre 2026, con evidenze documentali dimostrabili. Da quel mese l’ACN potrà transitare dalla fase di accompagnamento alla fase di verifica, avviando le prime attività ispettive.

Cosa chiedono le misure di base

La determinazione n. 379907/2025 declina gli obblighi in quattro allegati tecnici: due dedicati alle misure di sicurezza di base (per i soggetti importanti e per quelli essenziali), affiancati da due allegati sugli incidenti significativi. Sul fronte delle misure, l’allegato dedicato ai soggetti importanti elenca 37 misure articolate in 87 requisiti; quello per i soggetti essenziali sale a 43 misure e 116 requisiti.

La logica è quella dell’articolo 24 del decreto, che impone un approccio multirischio e individua un nucleo minimo di controlli: politiche di analisi e gestione del rischio, gestione degli incidenti, continuità operativa con backup e disaster recovery, sicurezza della catena di fornitura, igiene informatica di base e formazione, uso della crittografia, controllo degli accessi e autenticazione a più fattori.

Si tratta di un impianto che, sul piano dei principi, riprende framework noti ai team di sicurezza; il riferimento metodologico nazionale resta il Framework nazionale per la Cybersecurity e la Data Protection, edizione 2025. La differenza rispetto al passato è che questi controlli non sono più buone pratiche facoltative, ma requisiti la cui assenza espone a responsabilità precise. Il principio di proporzionalità, fissato dall’articolo 31, consente di graduare modalità e termini in funzione della dimensione del soggetto, del grado di esposizione al rischio e della probabilità e gravità degli incidenti: non è una scappatoia, ma un criterio di calibratura che va documentato.

La responsabilità sale ai vertici

Uno degli aspetti più sottovalutati del decreto riguarda la governance. L’articolo 23 stabilisce che gli organi di amministrazione e gli organi direttivi approvino le modalità di implementazione delle misure di gestione del rischio, ne vigilino l’attuazione e rispondano delle violazioni commesse dal soggetto che rappresentano. La cybersicurezza cessa di essere una questione delegabile alla sola funzione IT e diventa materia di responsabilità del vertice, che è inoltre tenuto a seguire percorsi di formazione adeguati.

Questa impostazione si riflette sul regime sanzionatorio. Per i soggetti essenziali, escluse le pubbliche amministrazioni, le sanzioni per la mancata osservanza degli obblighi di gestione del rischio e di notifica possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Per i soggetti importanti il massimale scende a 7 milioni di euro o all’1,4% del fatturato mondiale annuo. Alle persone fisiche al vertice possono inoltre applicarsi sanzioni accessorie, fino alla temporanea incapacità di svolgere funzioni dirigenziali nello stesso soggetto. È una leva che sposta la cybersicurezza dal piano tecnico a quello della responsabilità d’impresa.

Dalla fase di accompagnamento alla verifica

Finora l’ACN ha operato in una logica di accompagnamento, privilegiando la costruzione del perimetro e l’allineamento dei soggetti. Con l’autunno 2026 si apre una stagione diversa, fatta di audit e possibili contestazioni, come ricostruito nella nostra analisi sui primi audit. Le organizzazioni che avranno trattato la conformità come un esercizio documentale rischiano di trovarsi impreparate di fronte a una richiesta di evidenze: registri degli incidenti, prove dell’esecuzione dei backup, verbali di formazione, contratti con clausole di sicurezza verso i fornitori.

Un punto merita attenzione particolare, perché ricorre nelle situazioni più critiche: la sicurezza della catena di fornitura. Molti soggetti in perimetro dipendono da fornitori di servizi gestiti e da piattaforme cloud che a loro volta possono o meno rientrare nella NIS2; il decreto chiede di valutare e governare il rischio derivante da questi rapporti, non di limitarsi al proprio perimetro tecnico. La mappatura dei fornitori critici, l’inserimento di obblighi contrattuali di sicurezza e di notifica, e la verifica periodica delle loro misure sono attività che richiedono tempo e coordinamento tra funzioni diverse, difficilmente comprimibili nelle settimane finali prima di una scadenza.

Cosa fare adesso

Per i soggetti in perimetro la priorità di breve termine è triplice. Primo, verificare di aver completato il rinnovo o la prima registrazione entro la finestra del 1° gennaio – 28 febbraio 2026 e di aver designato il referente per i rapporti con il CSIRT Italia.

Secondo, rendere effettivamente operativa la procedura di notifica degli incidenti, già esigibile dal 15 gennaio: significa avere ruoli assegnati, soglie di valutazione della significatività e tempistiche interne compatibili con i termini di 24 e 72 ore.

Terzo, eseguire una gap analysis rispetto agli allegati della determinazione n. 379907/2025 e costruire un piano di adeguamento che porti le misure di base a essere dimostrabili entro ottobre. Un quadro di sintesi degli adempimenti è disponibile nella nostra mappa delle scadenze.

Il messaggio di fondo del 2026 è che la NIS2 non è più un progetto da impostare, ma un obbligo da dimostrare. La distanza tra una conformità formale e una postura di sicurezza reale, fino a ieri tollerata, sta per diventare il terreno su cui si misureranno le verifiche dell’Agenzia.

Condividi sui Social Network:

NIS2 e D.Lgs. 138/2024: stato del recepimento e adempimenti 2026

Dal decreto alle determinazioni: il quadro aggiornato

Chi è dentro il perimetro e la finestra di registrazione 2026

Le scadenze operative del 2026

Cosa chiedono le misure di base

La responsabilità sale ai vertici

Dalla fase di accompagnamento alla verifica

Cosa fare adesso

Oltre l’orizzonte visibile: Difesa, Carabinieri e la sfida al crimine cibernetico nell’era della Guerra Cognitiva

Protezione cavi sottomarini, dal Cable Security Toolbox a Baltic Sentry

AI agentica e prova penale: come acquisire i log dai provider esteri

Forensics by design e art. 220 c.p.p.: come si processa un agente AI in un tribunale italiano

Non-Human Identity (NHI) secondo NIS2 e D.Lgs. 138/2024

No Human at the Keyboard: Agentic AI e la nuova frontiera del cybercrime

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Dal decreto alle determinazioni: il quadro aggiornato

Chi è dentro il perimetro e la finestra di registrazione 2026

Le scadenze operative del 2026

Cosa chiedono le misure di base

La responsabilità sale ai vertici

Dalla fase di accompagnamento alla verifica

Cosa fare adesso

Ultimi Articoli

La Prima Rivista Italiana Dedicata alla Sicurezza Informatica

ICT Security Magazine

Argomenti

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE