NIS2 Enforcement Q1 2026: quando la compliance smette di essere un esercizio teorico
Il BSI tedesco avvia l’enforcement attivo dopo una scadenza di registrazione disastrosa. La Francia costruisce il framework mentre manca ancora la legge. Il Q1 2026 segna il punto di non ritorno tra adeguamento formale e responsabilità reale.
Per anni la compliance in materia di cybersicurezza è stata trattata come un problema di documentazione. Si redigevano policy, si compilavano gap analysis, si aggiornava il registro dei rischi. La sostanza, ossia la capacità effettiva di rilevare una minaccia, contenere un incidente e proteggere la catena di fornitura, era spesso secondaria rispetto alla forma. La direttiva NIS2 era percepita come l’ennesimo framework da assorbire con calma, soprattutto in paesi che, come la Francia, hanno accumulato ritardi significativi nella trasposizione nazionale.
Il Q1 2026 ha cambiato questa narrativa in modo brusco e definitivo.
La Germania fa sul serio: enforcement attivo dopo una scadenza di registrazione fallita
Il 6 dicembre 2025 la Germania ha completato la trasposizione della direttiva NIS2 con il NIS2UmsG (Gesetz zur Umsetzung der NIS-2-Richtlinie), introducendo obblighi immediati e senza alcun periodo transitorio per circa 29.500 aziende soggette alla supervisione del Bundesamt für Sicherheit in der Informationstechnik (BSI). Non una data da segnare in calendario per il futuro: una scadenza retroattiva rispetto all’attività già in corso.
Il primo banco di prova è arrivato il 6 marzo 2026, termine ultimo per la registrazione obbligatoria sul portale BSI per le entità classificate come besonders wichtige Einrichtungen (entità di particolare importanza). Il risultato è stato inequivocabile nel senso peggiore: solo 11.500 dei circa 29.850 soggetti obbligati si sono registrati entro la scadenza, fermandosi a una quota del 38,5%. Oltre 18.000 organizzazioni, vale a dire la maggioranza assoluta degli obbligati, hanno mancato la prima scadenza sostanziale dell’intero regime NIS2 tedesco.
Il BSI ha risposto annunciando il passaggio formale dalla fase di orientamento a quella di enforcement attivo. L’autorità utilizzerà registri commerciali, associazioni di settore e informazioni ricevute dall’ecosistema imprenditoriale per identificare i soggetti non registrati, potendo procedere con ordini vincolanti e, per le entità di particolare importanza, con ispezioni in loco.
Il quadro sanzionatorio è strutturato su due livelli. Le entità di particolare importanza sono esposte a sanzioni fino a 10 milioni di euro o al 2% del fatturato annuo globale; le entità importanti possono incorrere in sanzioni fino a 7 milioni di euro o all’1,4% del fatturato globale. A questi importi si aggiunge una leva che trasforma radicalmente la governance aziendale: il nuovo BSIG introduce, al paragrafo 38, la responsabilità personale per i membri degli organi di gestione. Gli organi di governance delle entità in perimetro devono approvare le misure di gestione del rischio di cybersicurezza e sovrintendere alla loro attuazione. La cybersicurezza non è più delegabile all’IT manager: è una responsabilità fiduciaria del vertice aziendale.
Il settore cloud e dei servizi digitali rientra tra i bersagli naturali di questa prima fase di enforcement, per ragioni normative precise. Per i servizi digitali (cloud provider, data center, marketplace online, motori di ricerca, social network, managed service provider) si applica in aggiunta il Regolamento UE 2024/2690, che specifica ulteriormente i requisiti tecnici e di sicurezza. La supply chain digitale è esplicitamente nel mirino: i grandi operatori che prendono sul serio la NIS2 richiederanno ai propri fornitori prove di conformità, e chi non è in grado di fornirle rischia la perdita di relazioni commerciali strategiche.
Va sottolineato, in prospettiva europea comparata, che a livello continentale nessuna sanzione specifica NIS2 risulta essere stata emessa pubblicamente prima dell’aprile 2026, principalmente perché la maggior parte delle giurisdizioni non ha ancora completato la trasposizione. La Germania è tra le pochissime eccezioni, con il regime in vigore dal dicembre 2025, ma l’enforcement formale con sanzioni pecuniarie è nelle fasi iniziali. Questo dato non riduce l’urgenza: significa che ci troviamo esattamente nella finestra in cui le autorità stanno costruendo i precedenti destinati a orientare la pratica per anni.
La Francia costruisce il framework senza ancora la legge: un paradosso normativo istruttivo
La situazione francese è paradossalmente più complessa, e per questo più interessante dal punto di vista dell’analisi regolamentare.
La Francia non ha rispettato la scadenza del 17 ottobre 2024 per la trasposizione della direttiva NIS2, e la trasposizione definitiva è ora attesa per luglio 2026 nell’ambito del progetto di legge denominato Loi Résilience. Il 7 maggio 2025 la Commissione europea ha già inviato a Parigi un parere motivato per mancata notifica della trasposizione completa, un passo formale che precede il possibile ricorso alla Corte di Giustizia UE.
Il ritardo ha ragioni molteplici. Oltre alla complessità tecnica del testo, un nodo politico ha rallentato i lavori parlamentari: il dibattito sulle backdoors, ossia le porte di accesso ai sistemi cifrati che alcune forze politiche volevano introdurre nel testo, ha generato una frattura tra la posizione dell’Agence nationale de la sécurité des systèmes d’information (ANSSI) e alcune istanze dell’esecutivo. L’Agenzia si è espressa contro misure che indebolirebbero strutturalmente la sicurezza dei sistemi, e il confronto ha dilatato ulteriormente i tempi parlamentari.
Eppure l’ANSSI non è rimasta ferma. Dal 17 marzo 2026 l’Agenzia ha messo a disposizione il Référentiel Cyber France (ReCyF), il documento di lavoro che elenca le misure raccomandate per raggiungere gli obiettivi di sicurezza fissati da NIS2. In quella stessa occasione l’ANSSI ha riunito gli attori istituzionali, settoriali e pubblici coinvolti dalla direttiva per incoraggiarli a iscriversi nella dinamica di messa in sicurezza su larga scala.
Il ReCyF non è ancora giuridicamente vincolante, ma ha una funzione strategica precisa: costruire il parametro tecnico di riferimento prima che la legge entri in vigore. Chi lo adotta oggi potrà documentarlo in caso di controllo una volta che la Loi Résilience sarà operativa. Chi lo ha ignorato partirà invece da una posizione di svantaggio documentale significativo.
Sul fronte della vigilanza settoriale, l’ANSSI agisce già sulla base dei poteri derivanti dal regime degli Opérateurs d’Importance Vitale (OIV) e dalle disposizioni specifiche sul sistema sanitario, rafforzate dopo gli attacchi devastanti agli ospedali francesi del periodo 2021-2022. Non si tratta di enforcement NIS2 in senso tecnico (la legge di recepimento non esiste ancora), bensì di una supervisione che anticipa il futuro regime, costruendo la capacità ispettiva e l’infrastruttura procedurale che serviranno non appena la Loi Résilience sarà promulgata.
Il pattern europeo NIS2 Enforcement Q1 2026: dall’adeguamento alla responsabilità
Guardando al Q1 2026 con uno sguardo sistemico, emerge una dinamica coerente in tutta Europa. Le autorità nazionali non attendono la perfezione normativa per costruire la pressione regolatoria. Operano nell’intersezione tra vecchi framework e nuovi, usano ogni leva disponibile e inviano segnali chiari ai settori ad alto rischio (cloud, sanità, energia, infrastrutture digitali) sul fatto che il tempo dell’attesa è terminato.
Nel caso tedesco la scadenza del 6 marzo 2026 è diventata il primo grande stress test del regime. Con il 61,5% degli obbligati che non ha adempiuto, il BSI dispone ora di una lista implicita di soggetti da contattare, verificare e, se necessario, sanzionare. Nel caso francese la costruzione del ReCyF e del sistema di pre-registrazione volontaria serve a evitare il caos che si verificherà quando la Loi Résilience entrerà in vigore: le organizzazioni che si sono preparate in anticipo avranno un vantaggio strutturale certificabile.
La convergenza è inequivocabile: la NIS2 sta smettendo di essere un tema da convegno e sta diventando un tema da consiglio di amministrazione, da piano di bilancio, da contratto con i fornitori. Per un approfondimento sulla convergenza NIS2 e DORA in ottica di governance integrata si rimanda all’analisi pubblicata su queste pagine.
Le implicazioni per il mercato italiano
L’Italia ha recepito la NIS2 con il Decreto Legislativo 138/2024, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il percorso di implementazione è strutturato in fasi progressive gestite dall’Agenzia per la Cybersicurezza Nazionale (ACN), con obblighi tecnici e organizzativi da adottare entro 18 mesi dalla notifica di qualificazione, il che significa che per la prima coorte di soggetti notificati le scadenze sostanziali cadranno entro l’autunno del 2026. Per una mappa dettagliata degli adempimenti con le relative scadenze si rimanda all’articolo NIS2: adempimenti e calendario 2026 pubblicato su ICT Security Magazine.
I soggetti essenziali e importanti che hanno interpretato i ritardi altrui come un segnale di scarsa urgenza stanno leggendo il panorama in modo errato. L’analisi del Q1 2026 in Germania e Francia offre tre lezioni immediate per il mercato italiano.
La prima riguarda i tempi reali dell’enforcement. L’attivazione dei controlli non inizia dal giorno della prima sanzione: inizia dal giorno in cui l’autorità notifica l’inclusione nel perimetro. La finestra tra quella notifica e la prima verifica può essere molto più breve di quanto si immagini, e il 61,5% di non-conformità registrato in Germania dimostra che la maggioranza degli operatori arriva impreparata alle scadenze concrete.
La seconda riguarda i settori prioritari. I cloud provider e gli enti sanitari sono i bersagli principali di questa prima fase in tutta Europa, non perché siano necessariamente i meno conformi, ma perché concentrano le due condizioni che le autorità trovano più critiche: una superficie di rischio elevata e un impatto potenzialmente sistemico su utenti terzi. Su questo punto si rimanda all’approfondimento sulle prime sanzioni e audit ACN in Italia.
La terza riguarda la governance. La responsabilità personale del management trasforma la cybersicurezza da costo operativo a rischio diretto del vertice aziendale. Il D.Lgs. 138/2024, all’articolo 23, prevede responsabilità per le persone fisiche che ricoprono ruoli di direzione e controllo, con potenziali sanzioni personali significative. Questa è la leva più potente dell’intera direttiva e quella che più di ogni altra cambierà la governance della sicurezza nei prossimi anni nel nostro Paese.
Il Q1 2026 ha risposto a una domanda che molti si ponevano sottovoce: le sanzioni NIS2 arriveranno davvero? La Germania ha già attivato la macchina dell’enforcement. La Francia la sta costruendo mattone per mattone, in attesa che la legge le fornisca i poteri definitivi. Il meccanismo è in moto. Non è più una questione di se. È una questione di quando toccherà a te e di quanto sarà costosa l’impreparazione.
