NIS2: la mappa completa degli adempimenti da qui a ottobre 2026

Il 2026 è l’anno in cui la NIS2 smette di essere un impegno dichiarativo e diventa un sistema operativo verificabile. Con oltre 20.000 organizzazioni italiane nel perimetro e la scadenza finale al 31 ottobre 2026 che si avvicina, la pressione sul fronte della compliance è concreta e progressiva. Questa guida mappa ogni adempimento per fase, per area tematica e per soggetto obbligato, partendo esclusivamente dalle fonti normative primarie, senza approssimazioni.

Il quadro normativo di riferimento

La Direttiva (UE) 2022/2555 è stata recepita nell’ordinamento italiano con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024. Il decreto estende gli obblighi di sicurezza informatica a 18 settori critici: dall’energia alla sanità, dai trasporti alle infrastrutture digitali, coinvolgendo tanto i soggetti privati quanto le pubbliche amministrazioni classificati come essenziali o importanti.

Il quadro degli obblighi operativi è stato definitivamente consolidato a fine dicembre 2025 con l’adozione di due determinazioni del Direttore Generale dell’ACN:

• Determinazione ACN n. 379887/2025, che disciplina il Portale NIS (registrazioni, aggiornamento informazioni, designazioni), applicabile dal 31 dicembre 2025.
• Determinazione ACN n. 379907/2025, che definisce le misure di sicurezza di base e gli incidenti significativi di base, applicabile dal 15 gennaio 2026.

A queste si affianca il Regolamento di esecuzione (UE) 2024/2690, che specifica requisiti tecnici e metodologici per categorie specifiche di fornitori digitali, tra cui DNS, cloud, data center, CDN, marketplace, piattaforme social e prestatori di servizi fiduciari.

La struttura degli obblighi: due filoni, un orizzonte comune

Prima di entrare nel dettaglio delle scadenze, è necessario comprendere l’architettura degli obblighi così come definita dal Decreto e dalla pagina normativa ufficiale dell’ACN. Gli adempimenti si articolano su due filoni principali, entrambi con termini che decorrono dalla comunicazione di inserimento nell’elenco nazionale NIS inviata dall’ACN ai soggetti individuati tra marzo e aprile 2025:

• 9 mesi dalla comunicazione: obbligo di notifica degli incidenti significativi al CSIRT Italia, con scadenza al 15 gennaio 2026.
• 18 mesi dalla comunicazione: adozione delle misure di sicurezza di base, con scadenza entro ottobre 2026.

Come precisa la sezione “Modalità e specifiche di base” del portale ACN, i soggetti importanti adottano le misure dell’Allegato 1, i soggetti essenziali quelle dell’Allegato 2 della Determinazione 379907/2025. Non si tratta di date universali fisse, ma di termini mobili: chi ha ricevuto la comunicazione ACN ad aprile 2025 ha come scadenza ottobre 2026; chi la ricevesse in ritardo avrà un termine corrispondentemente protratto.

La mappa per fasi

Fase 1. Dal 1° gennaio al 28 febbraio 2026: registrazione e avvio notifica incidenti

Registrazione sul portale ACN. L’art. 11, comma 10 della Determinazione 379887/2025 stabilisce la finestra di registrazione e rinnovo dal 1° gennaio al 28 febbraio 2026. Il flusso è duplice: i soggetti già registrati nel 2025 rinnovano la registrazione confermando o aggiornando i dati; i nuovi soggetti effettuano la prima iscrizione. L’ACN ha predisposto dichiarazioni precompilate per i soggetti già qualificati come essenziali o importanti, da validare digitalmente dal legale rappresentante. Non attendere il 28 febbraio è fortemente raccomandato, per evitare il sovraccarico della piattaforma già verificatosi nel 2025.

Un’attenzione particolare va alla distinzione tra i tre obblighi di aggiornamento informativo che la Determinazione 379887/2025 stabilisce in modo distinto. Il primo è l’aggiornamento continuo, da effettuare entro 14 giorni da ogni evento modificativo rilevante. Il secondo è la registrazione o il rinnovo annuale nella finestra 1° gennaio – 28 febbraio. Il terzo è l’aggiornamento informativo annuale nella finestra 15 aprile – 31 maggio, previsto dall’art. 30 del Decreto e dall’art. 16 della Determinazione 379887/2025. Confondere questi tre adempimenti espone a violazioni autonome, oltre a indebolire la posizione dell’ente in caso di incidente o ispezione.

Notifica degli incidenti significativi. Dal 15 gennaio 2026, ai sensi dell’art. 3, comma 2, della Determinazione 379907/2025, è pienamente operativo il regime di notifica al CSIRT Italia. Il processo è articolato in quattro momenti, come stabilisce l’art. 25 del Decreto: pre-notifica entro 24 ore dalla conoscenza dell’evento; notifica entro 72 ore con valutazione iniziale di gravità e impatto e, ove disponibili, indicatori di compromissione; relazione finale entro un mese (con root cause probabile e misure di mitigazione adottate); relazioni mensili se l’incidente è ancora in corso alla scadenza del mese. Per i prestatori di servizi fiduciari qualificati, la notifica principale deve avvenire entro 24 ore.

I criteri che qualificano un incidente come “significativo” sono definiti negli Allegati 3 e 4 della Determinazione 379907/2025: quattro fattispecie totali, tre comuni a tutti i soggetti e una riservata ai soli essenziali.

Un elemento spesso trascurato: la qualificazione dell’evento ai fini della notifica richiede l’integrazione della Tassonomia Cyber ACN versione 2.0 (novembre 2025), indispensabile per garantire la coerenza tra la versione tecnica interna dell’incidente e quella trasmessa all’autorità.

Checklist Fase 1:

• Rinnovo o prima registrazione sul portale ACN entro il 28 febbraio
• Verifica e aggiornamento dei dati del Referente CSIRT (misura GV.RR-02 degli allegati alla Determinazione 379907/2025)
• Attivazione operativa del processo di notifica incidenti (pre-notifica 24h, notifica 72h, relazione finale 30 giorni)
• Formalizzazione dell’Incident Management Team con ruoli, escalation e procedure documentate

Fase 2. Da febbraio a settembre 2026: linee guida settoriali e gap analysis

Tra febbraio e settembre 2026, l’ACN pubblicherà progressivamente le linee guida settoriali dedicate alle diverse tipologie di misure di sicurezza. Non si tratterà di un unico documento, ma di una serie di pubblicazioni calibrate sui diversi contesti operativi. Le organizzazioni sono tenute a monitorare il calendario delle pubblicazioni ACN e ad adattare la propria pianificazione man mano che i documenti diventano disponibili.

Parallelamente, tra aprile e maggio 2026, l’ACN definirà le modalità per la categorizzazione delle attività e dei servizi dei soggetti NIS ai sensi dell’art. 42 del Decreto. Questo passaggio aprirà la strada a una differenziazione più granulare dei livelli di sicurezza richiesti nella fase successiva all’ottobre 2026.

Questa è anche la finestra naturale per completare la gap analysis strutturata: il confronto tra lo stato attuale dell’organizzazione e la baseline delle misure di sicurezza minime. Il riferimento metodologico obbligatorio è la Linee Guida NIS – Specifiche di base – Guida alla lettura, versione 2.0, pubblicata da ACN a dicembre 2025. Come approfondito nel nostro articolo sui 13 pilastri dell’implementazione tecnica NIS2, la mappatura verso standard già consolidati come ISO/IEC 27001:2022 e NIST CSF 2.0 può supportare l’analisi, a condizione che il mapping verso i requisiti NIS2 sia esplicito e verificabile.

Checklist Fase 2:

• Monitoraggio e acquisizione delle linee guida settoriali ACN man mano che vengono pubblicate
• Completamento della gap analysis con riferimento agli Allegati 1 e 2 della Determinazione 379907/2025
• Inventario degli asset informativi e perimetrazione dei sistemi informativi di rete rilevanti, definiti dall’art. 1 della Determinazione 379907/2025 come quelli la cui compromissione comporterebbe un impatto significativo su riservatezza, integrità e disponibilità dei servizi NIS
• Classificazione dei fornitori ICT rilevanti e aggiornamento delle clausole contrattuali
• Formalizzazione del piano di remediation con owner, scadenze, criteri di accettazione e prove attese

Fase 3. Da settembre al 31 ottobre 2026: implementazione e dimostrabilità

Il 31 ottobre 2026 è il termine ultimo per la piena operatività delle misure di sicurezza di base, come stabilisce l’art. 4 della Determinazione 379907/2025. Dopo questa data, l’ACN transita dalla fase di accompagnamento alla fase ispettiva.

La parola chiave di questa fase è dimostrabilità. Come analizzato in modo approfondito nel nostro articolo sugli adempimenti NIS2 entro ottobre 2026, le misure di sicurezza non possono essere implementate in modo atomistico o concentrate nelle ultime settimane prima della scadenza: la loro logica è progressiva e cumulativa. La governance abilita il risk management; il risk management orienta le misure tecniche; le misure tecniche devono essere testate; i test devono generare evidenze; le evidenze devono alimentare un ciclo di miglioramento continuo.

La conformità richiede un doppio livello di evidenza. Il primo riguarda l’esistenza formale del requisito: policy, elenco aggiornato, assegnazione di responsabilità, procedure approvate con delibera. Il secondo riguarda la coerenza sostanziale con l’analisi del rischio: motivazioni delle scelte, priorità di intervento, allocazione di risorse. Una misura formalmente adottata ma sistematicamente elusa nella pratica non soddisfa il requisito di adeguatezza e proporzionalità previsto dall’art. 24 del Decreto.

Checklist Fase 3:

• Approvazione formale con delibera degli organi di amministrazione delle policy di sicurezza (art. 23, D.Lgs. 138/2024)
• Operatività delle misure per tutti i cluster: Governance (GV), Identificazione (ID), Protezione (PR), Rilevamento (RS), Risposta e Recupero, secondo gli Allegati 1 e 2 della Determinazione 379907/2025
• Completamento della formazione specifica per gli organi di amministrazione e avvio dei programmi periodici per i dipendenti
• Test e simulazione delle procedure di incident response
• Audit interni e chiusura delle non conformità rilevate in fase di gap analysis
• Verifica della supply chain: mappatura dei fornitori ICT rilevanti, audit mirati, clausole contrattuali aggiornate

Gli adempimenti per area tematica

Governance: la responsabilità del vertice aziendale

L’art. 23 del D.Lgs. 138/2024 introduce una trasformazione strutturale nella governance della cybersicurezza: non più delegata unicamente alla funzione tecnica, ma elevata a materia di competenza diretta degli organi apicali. Il CdA e gli organi direttivi sono obbligati ad approvare le modalità di implementazione delle misure di gestione dei rischi, a sovraintendere all’attuazione degli obblighi del Capo IV, a seguire formazione specifica e a promuoverla periodicamente verso i dipendenti.

Come documentiamo nel nostro approfondimento su NIS2 e governance aziendale, qualsiasi assetto in cui la sicurezza sia delegata esclusivamente al CISO, senza flussi informativi e decisionali verso il vertice, risulta strutturalmente non conforme. Le evidenze richieste dalla norma su questo punto includono delibere formali, registri di formazione e flussi di reporting tracciabili.

Gestione del rischio e misure di sicurezza di base

Il cuore operativo della compliance risiede nell’art. 24, che impone misure tecniche, operative e organizzative “adeguate e proporzionate” basate su un approccio all-hazard, cioè all’intero spettro delle fonti di danno e non solo agli attacchi cyber. Il catalogo minimo include: analisi del rischio, gestione degli incidenti, continuità operativa e crisis management, sicurezza della supply chain, gestione delle vulnerabilità, valutazione dell’efficacia delle misure, igiene cyber e formazione, e specifiche misure tecniche quali crittografia, controllo accessi, autenticazione multifattore e comunicazioni protette.

Un punto critico spesso frainteso riguarda il ruolo dell’analisi del rischio nel modello ACN. Nel sistema definito dagli Allegati 1 e 2 della Determinazione 379907/2025, l’analisi del rischio non è il criterio di selezione delle misure minime, che sono obbligatorie per tutti. È invece il criterio di modulazione della loro profondità e configurazione. L’ente non può invocare una propria bassa esposizione per disapplicare una misura di base; deve però dimostrare che quella misura è stata implementata in modo coerente con il suo contesto operativo. La distinzione è centrale ai fini della verifica ispettiva.

Notifica degli incidenti: una capacità operativa, non un documento

Il regime di notifica, operativo dal 15 gennaio 2026, richiede che l’organizzazione sia in grado di rilevare tempestivamente un incidente, qualificarlo come significativo secondo i criteri degli Allegati 3 e 4 della Determinazione 379907/2025 e produrre in tempi brevissimi informazioni coerenti e difendibili verso il CSIRT Italia. Gli elementi centrali ai fini della verifica sono: timeline dell’evento, log e indicatori di compromissione, registri delle decisioni di incident response, documentazione delle mitigazioni adottate. La notifica è, in concreto, un atto amministrativo-informativo che può essere oggetto di contestazione.

Sicurezza della supply chain

La NIS2 non ammette zone d’ombra sui fornitori strategici. La normativa richiede mappatura e classificazione dei fornitori ICT rilevanti, inserimento nei contratti di requisiti minimi di sicurezza (clausole su gestione incidenti, obblighi di notifica, diritto di audit) e monitoraggio periodico dello stato di sicurezza. Non è sufficiente aggiungere una clausola contrattuale: il controllo deve essere eseguito attraverso campioni, attestazioni, audit e test di conformità. Per i soggetti del settore finanziario, questo tema si intreccia con gli obblighi DORA, analizzati nel nostro articolo su NIS2, DORA e CER: la convergenza normativa europea.

Il regime sanzionatorio

Il sistema sanzionatorio previsto dall’art. 38 del D.Lgs. 138/2024 è articolato e proporzionato alla categoria di appartenenza. Per i soggetti essenziali le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, applicando il valore più elevato. Per i soggetti importanti il limite è fissato a 7 milioni di euro o all’1,4% del fatturato. In caso di inottemperanza alla diffida dell’ACN, si aggiungono sanzioni accessorie di natura personale, inclusa la possibilità di incapacità temporanea a svolgere funzioni dirigenziali.

Il regime si differenzia per tipologia di soggetto anche sul piano dell’approccio ispettivo: controlli preventivi per gli essenziali, verifiche post-evento per gli importanti, soprattutto a seguito di incidenti significativi o segnalazioni. Le modalità di vigilanza ricalcano quelle già sperimentate in ambito GDPR: richieste documentali, valutazioni delle misure tecniche e organizzative, audit sul campo. La conformità va dimostrata prima, non costruita in emergenza quando l’autorità avvia la verifica.

Per i dettagli sulle singole fattispecie sanzionatorie, rimandiamo al nostro articolo su NIS2: scadenze e sanzioni per le imprese e le pubbliche amministrazioni.

Da ottobre 2026: fine della fase di accompagnamento, inizio della verifica

Il 31 ottobre 2026 non è la fine del percorso. Come chiarisce il portale ACN nella sezione dedicata alle modalità e specifiche di base, dopo questa data l’Agenzia potrà avviare le attività ispettive. Parallelamente, già tra aprile e maggio 2026, l’ACN avrà avviato la definizione degli obblighi a lungo termine e della categorizzazione delle attività dei soggetti NIS ai sensi dell’art. 42 del Decreto, aprendo la strada a livelli di sicurezza più granulari e differenziati.

Il ciclo di adeguamento è strutturalmente aperto: le misure di base rappresentano il livello di partenza, non il traguardo. Come emerso dal Forum ICT Security 2025 nel confronto tra ACN e imprese sulla governance NIS2, la direttiva va intesa come un percorso di maturazione continua verso la resilienza, non come un adempimento da spuntare su una lista.

Il rischio del procrastinare

Con oltre 20.000 organizzazioni nel perimetro, un accumulo generalizzato nelle ultime settimane prima del 31 ottobre 2026 sarebbe operativamente ingestibile: mancherebbero consulenti qualificati, tempo sufficiente per il testing delle misure e la produzione delle evidenze richieste. Il messaggio dell’ACN, ribadito più volte, è inequivoco: chi inizia ora riduce rischi, costi e stress organizzativo.

L’approccio più efficace prevede tre livelli temporali sovrapposti: interventi rapidi nei primi 60 giorni dall’avvio del progetto, hardening strutturale tra i 60 e i 180 giorni, consolidamento della maturità oltre i 180 giorni. Ciascuna misura deve avere un owner identificato, una scadenza, un criterio di accettazione e una prova attesa: non per burocrazia, ma perché senza evidenze non esiste conformità verificabile.

Conclusioni

Il D.Lgs. 138/2024 delinea un paradigma in cui la cybersicurezza diventa dovere di governo e di rendicontazione permanente. Gli obblighi imposti ai soggetti essenziali e importanti non si esauriscono nell’adozione di un catalogo di misure: si traducono nell’istituzione di un sistema governato, documentato e continuamente verificabile, nel quale governance, analisi del rischio, misure di base, notifica degli incidenti e gestione della supply chain si integrano in un circuito unitario.

L’ente che saprà tradurre queste prescrizioni in un sistema organico non solo ridurrà l’esposizione sanzionatoria, ma consoliderà la propria resilienza operativa e la propria credibilità istituzionale. La compliance apparente, costruita su misure sulla carta e processi non testati, è destinata a non reggere la fase ispettiva che si apre dopo ottobre 2026.