nis2

NIS2: la mappa completa degli adempimenti da qui a ottobre 2026

A cura di:Redazione Ore

Il 2026 è l’anno in cui la NIS2 smette di essere un impegno dichiarativo e diventa un sistema operativo verificabile. Con oltre ventimila organizzazioni italiane nel perimetro e la scadenza finale al 31 ottobre 2026 alle porte, la pressione sul fronte della compliance è concreta, progressiva e inderogabile. Questa guida ricostruisce ogni adempimento per fase, area tematica e tipologia di soggetto obbligato.

Il quadro normativo di riferimento

La Direttiva (UE) 2022/2555 è stata recepita nell’ordinamento italiano con il D.Lgs. 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale Serie Generale n. 230 del 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024. Il decreto estende gli obblighi di sicurezza informatica a diciotto settori – undici altamente critici (Allegato I) e sette critici (Allegato II) – coinvolgendo oltre ottanta tipologie di soggetti pubblici e privati, classificati come essenziali o importanti. Le pubbliche amministrazioni rientranti nel perimetro sono enumerate all’Allegato III, mentre l’Allegato IV individua le ulteriori tipologie di soggetti destinatari per identificazione governativa.
La cornice operativa è stata definitivamente consolidata il 19 dicembre 2025 con due determinazioni del Direttore Generale dell’ACN:

  • la Determinazione n. 379887/2025, applicabile dal 31 dicembre 2025, che disciplina il funzionamento della Piattaforma NIS: registrazioni, designazioni, aggiornamenti delle informazioni;
  • la Determinazione n. 379907/2025, applicabile dal 15 gennaio 2026, che fissa le misure di sicurezza di base e gli incidenti significativi di base, abrogando e sostituendo la Determinazione n. 164179 del 14 aprile 2025.

A queste si affianca il Regolamento di esecuzione (UE) 2024/2690 della Commissione, del 17 ottobre 2024, che dettaglia i requisiti tecnici e metodologici applicabili a categorie specifiche di fornitori digitali: servizi DNS, registri TLD, cloud computing, data center, content delivery network, servizi gestiti (MSP) e di sicurezza gestita (MSSP), marketplace, motori di ricerca, piattaforme di social network e prestatori di servizi fiduciari.

Sul piano metodologico, il riferimento operativo è la «Linee Guida NIS – Specifiche di base – Guida alla lettura» di ACN, aggiornata a dicembre 2025 in concomitanza con la Determinazione 379907/2025.

La struttura degli obblighi: due filoni, un orizzonte comune

L’architettura degli obblighi, definita dal Decreto e ricostruita dalla pagina normativa ACN, si articola su due filoni cui corrispondono termini diversi, entrambi decorrenti dalla comunicazione individuale di inserimento nell’elenco nazionale NIS, comunicazioni trasmesse, ai sensi dell’art. 7, comma 3, del Decreto, ai domicili digitali a cavallo del 12 e 13 aprile 2025 e nelle settimane successive:

  • nove mesi dalla comunicazione per l’avvio degli obblighi di notifica degli incidenti significativi al CSIRT Italia, scadenza che per la prima coorte di soggetti è caduta a metà gennaio 2026;
  • diciotto mesi dalla comunicazione per l’adozione delle misure di sicurezza di base, con scadenza concentrata nel mese di ottobre 2026.

Il termine ultimo applicabile a tutta la prima ondata di soggetti, fissato dall’art. 4 della Determinazione 379907/2025, è il 31 ottobre 2026: oltre questa data ACN può avviare l’attività ispettiva.

L’intensità degli obblighi varia per tipologia di soggetto. I soggetti importanti adottano le misure dell’Allegato 1 alla Determinazione 379907/2025 (37 misure articolate in 87 requisiti); i soggetti essenziali quelle dell’Allegato 2 (43 misure e 116 requisiti). Gli Allegati 3 e 4 definiscono rispettivamente gli incidenti significativi di base per le due categorie. Non si tratta tuttavia di scadenze universali fisse: chi ha ricevuto la comunicazione ad aprile 2025 deve adempiere entro ottobre 2026, ma chi la ricevesse in ritardo dispone di un termine corrispondentemente protratto.

La mappa per fasi

Fase 1. Dal 1° gennaio al 28 febbraio 2026: registrazione e avvio notifica incidenti

Registrazione e rinnovo.

L’art. 11 della Determinazione 379887/2025 fissa la finestra annuale di registrazione e rinnovo dal 1° gennaio al 28 febbraio. Il flusso è duplice: i soggetti già iscritti nel 2025 confermano o aggiornano i dati, i nuovi soggetti effettuano la prima iscrizione. Come precisa la sezione «Registrazione» del portale ACN, entro fine marzo l’Agenzia e le Autorità di settore vagliano le dichiarazioni e consolidano l’elenco dei soggetti NIS. Attendere gli ultimi giorni utili è fortemente sconsigliato: il sovraccarico della piattaforma osservato nel 2025 è destinato a ripresentarsi.

È essenziale tenere distinti i tre obblighi informativi previsti dalla Determinazione 379887/2025, che operano su piani autonomi e cumulativi:

  1. l’aggiornamento continuo, da effettuare entro quattordici giorni da ogni evento modificativo rilevante (art. 7, comma 7, del Decreto);
  2. la registrazione o il rinnovo annuale, nella finestra 1° gennaio – 28 febbraio;
  3. l’aggiornamento informativo annuale, nella finestra 15 aprile – 31 maggio, previsto dall’art. 7, commi 4 e 5, del Decreto, in cui il soggetto fornisce o conferma i dati relativi ai membri degli organi di amministrazione e direzione, agli indirizzi IP pubblici e statici, ai nomi a dominio in uso, designando inoltre il sostituto del punto di contatto.

Confondere i tre adempimenti espone a violazioni autonome e, in caso di incidente o ispezione, indebolisce significativamente la posizione dell’ente.

Notifica degli incidenti significativi.

Dal 15 gennaio 2026, ai sensi dell’art. 3, comma 2, della Determinazione 379907/2025, è pienamente operativo il regime di notifica al CSIRT Italia. Il processo, scandito dall’art. 25, comma 5, del Decreto, si articola in quattro momenti:

  • pre-notifica entro 24 ore dalla conoscenza dell’evento;
  • notifica entro 72 ore, con valutazione iniziale di gravità e impatto e, ove disponibili, indicatori di compromissione;
  • relazioni intermedie trasmesse su richiesta del CSIRT Italia per aggiornare la situazione;
  • relazione finale entro un mese dalla notifica, contenente la root cause probabile e le misure di mitigazione adottate, ovvero – se l’incidente è ancora in corso a quella scadenza – una relazione sui progressi compiuti, seguita dalla relazione finale entro un mese dalla chiusura della gestione.

Per i prestatori di servizi fiduciari il termine speciale di 24 ore previsto dall’art. 25, comma 7, del Decreto si combina con i requisiti più stringenti del Regolamento di esecuzione (UE) 2024/2690 e con la disciplina eIDAS (Reg. UE 910/2014), che integrano senza sostituire il regime NIS2.

I criteri che qualificano un incidente come significativo sono dettagliati negli Allegati 3 e 4 della Determinazione 379907/2025, secondo lo schema confermato dalla sezione FAQ di ACN: quattro tipologie complessive, tre comuni a tutti i soggetti e una ulteriore riservata ai soli essenziali.

Un dettaglio spesso trascurato: la qualificazione e la trasmissione dell’evento richiedono l’integrazione della Tassonomia Cyber ACN, nella versione 2.0 di novembre 2025, che assicura la coerenza tra la rappresentazione tecnica interna dell’incidente e quella trasmessa all’autorità.

Checklist Fase 1:

  • rinnovo o prima registrazione sul portale ACN entro il 28 febbraio;
  • verifica e aggiornamento dei dati del Referente CSIRT (misura GV.RR-02 degli Allegati 1 e 2 alla Determinazione 379907/2025);
  • attivazione operativa del processo di notifica incidenti (24h, 72h, intermedie su richiesta, finale a 30 giorni o relazione sui progressi);
  • formalizzazione di un Incident Management Team con ruoli, escalation e procedure documentate.

Fase 2. Da febbraio a settembre 2026: linee guida settoriali, gap analysis, categorizzazione

Tra febbraio e settembre 2026 ACN pubblicherà progressivamente le linee guida settoriali dedicate alle diverse tipologie di misure di sicurezza. Non si tratta di un unico documento ma di una serie di pubblicazioni calibrate sui contesti operativi: le organizzazioni devono presidiare il calendario delle pubblicazioni ACN e adattare la pianificazione interna di pari passo.

Parallelamente, l’art. 30, comma 1, del Decreto NIS prescrive che dal 1° maggio al 30 giugno di ogni anno i soggetti essenziali e importanti comunichino e aggiornino, tramite la piattaforma digitale, l’elenco delle proprie attività e dei propri servizi. Il modello di categorizzazione è stato definito da ACN con la Determinazione n. 155238 del 20 aprile 2026: dieci macro-aree e quattro categorie di rilevanza: impatto minimo, basso, medio, alto. Questo passaggio è la premessa per le misure di sicurezza a lungo termine che ACN definirà successivamente nel rispetto dei principi di proporzionalità e gradualità, modulate sulla rilevanza assegnata a ciascuna macro-area.

È anche la finestra naturale per completare la gap analysis: il confronto strutturato tra lo stato attuale dell’organizzazione e la baseline minima delle misure di sicurezza. Il riferimento metodologico è la «Linee Guida NIS – Specifiche di base – Guida alla lettura» di ACN, nella versione vigente aggiornata a dicembre 2025. La mappatura verso standard consolidati come ISO/IEC 27001:2022 e NIST Cybersecurity Framework 2.0 può supportare l’analisi, a condizione che la corrispondenza con i requisiti NIS2 sia esplicita, tracciabile e verificabile.

Checklist Fase 2:

  • monitoraggio e acquisizione delle linee guida settoriali ACN man mano che vengono pubblicate;
  • completamento della gap analysis con riferimento agli Allegati 1 e 2 della Determinazione 379907/2025;
    inventario degli asset informativi e perimetrazione dei sistemi informativi e di rete rilevanti, come definiti dall’art. 1 del Decreto e ripresi dall’art. 1 della Determinazione 379907/2025;
  • classificazione dei fornitori ICT rilevanti e aggiornamento delle clausole contrattuali;
    formalizzazione del piano di remediation con owner, scadenze, criteri di accettazione e prove attese.

Fase 3. Da settembre al 31 ottobre 2026: implementazione e dimostrabilità

Il 31 ottobre 2026 è il termine ultimo per la piena operatività delle misure di sicurezza di base, fissato dall’art. 4 della Determinazione 379907/2025. Da quel momento ACN transita dalla fase di accompagnamento a quella di vigilanza ispettiva e sanzionatoria, secondo i poteri previsti dagli artt. 32 e seguenti del Decreto.

La parola chiave di questa fase è dimostrabilità. Le misure di sicurezza non possono essere implementate atomisticamente o nelle ultime settimane prima della scadenza: la loro logica è cumulativa. La governance abilita il risk management; il risk management orienta le misure tecniche; le misure tecniche devono essere testate; i test devono produrre evidenze; le evidenze alimentano un ciclo di miglioramento continuo. È questa filiera, non il singolo controllo isolato, a costituire l’oggetto della verifica dell’autorità.

La conformità richiede un duplice livello di evidenza. Il primo è formale: policy, elenchi aggiornati, assegnazione di responsabilità, procedure approvate con delibera. Il secondo è sostanziale: motivazione delle scelte, priorità di intervento, allocazione di risorse, coerenza con l’analisi del rischio. Una misura formalmente adottata ma sistematicamente elusa nella pratica non soddisfa il requisito di adeguatezza e proporzionalità imposto dall’art. 24 del Decreto.

Checklist Fase 3:

  • approvazione formale, con delibera degli organi di amministrazione, delle policy di sicurezza (art. 23 del Decreto);
  • operatività delle misure per tutti i cluster definiti dagli Allegati 1 e 2 della Determinazione 379907/2025 -Governance (GV), Identificazione (ID), Protezione (PR), Rilevamento (DE), Risposta (RS), Ripristino (RC) -coerenti con il Framework Nazionale per la Cybersecurity e Data Protection da cui sono derivati;
  • completamento della formazione specifica per gli organi di amministrazione e attivazione dei programmi periodici per i dipendenti;
  • test e simulazione delle procedure di incident response;
  • audit interni e chiusura delle non conformità rilevate in fase di gap analysis;
  • verifica della supply chain: mappatura dei fornitori ICT rilevanti, audit mirati, clausole contrattuali aggiornate.

Gli adempimenti per area tematica

Governance: la responsabilità del vertice aziendale

L’art. 23 del Decreto introduce una trasformazione strutturale: la cybersicurezza non è più materia delegabile alla sola funzione tecnica, ma competenza diretta degli organi apicali. Gli organi di amministrazione e direttivi sono tenuti ad approvare le modalità di implementazione delle misure di gestione dei rischi adottate dal soggetto NIS, a sovraintendere alla loro attuazione, a rispondere delle violazioni nei limiti di legge, a seguire formazione specifica e a promuoverla periodicamente per i dipendenti.

Qualunque assetto in cui la sicurezza venga delegata esclusivamente al CISO, senza flussi informativi e decisionali strutturati verso il vertice, risulta perciò strutturalmente non conforme. Le evidenze richieste su questo punto includono delibere formali, registri della formazione e flussi di reporting tracciabili.

Gestione del rischio e misure di sicurezza di base

Il cuore operativo della compliance è l’art. 24 del Decreto, che impone misure tecniche, operative e organizzative adeguate e proporzionate basate su un approccio all-hazard: l’intero spettro delle fonti di danno; non i soli attacchi cyber, ma anche errori umani, guasti, eventi fisici e ambientali, interruzioni nella supply chain.

Il catalogo minimo previsto dall’art. 24, comma 2, comprende: politiche di analisi e gestione dei rischi; gestione degli incidenti; continuità operativa, backup, disaster recovery e gestione delle crisi; sicurezza della supply chain; sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informativi; politiche e procedure per valutare l’efficacia delle misure; pratiche di igiene cyber di base e formazione; politiche e procedure per l’uso della crittografia; sicurezza delle risorse umane, controllo degli accessi e gestione degli asset; uso di soluzioni di autenticazione a più fattori o continua, di comunicazioni protette di voce, video e testo e di sistemi di comunicazione di emergenza.

Un punto critico spesso frainteso riguarda il ruolo dell’analisi del rischio nel modello ACN. Negli Allegati 1 e 2 della Determinazione 379907/2025 l’analisi del rischio non è il criterio di selezione delle misure minime – che restano obbligatorie per tutti – ma il criterio di modulazione della loro profondità e configurazione. Un soggetto non può invocare una bassa esposizione per disapplicare una misura di base, ma deve dimostrare che quella misura è stata implementata coerentemente con il proprio contesto operativo. La distinzione è centrale ai fini ispettivi.

Notifica degli incidenti: una capacità operativa, non un documento

Il regime di notifica, operativo dal 15 gennaio 2026, presuppone capacità organizzative concrete: rilevare tempestivamente l’incidente, qualificarlo come significativo secondo gli Allegati 3 e 4 della Determinazione 379907/2025, produrre in tempi brevissimi informazioni coerenti e difendibili da trasmettere al CSIRT Italia.

Gli elementi centrali sul piano probatorio sono la timeline dell’evento, i log e gli indicatori di compromissione, i registri delle decisioni di incident response, la documentazione delle mitigazioni adottate.

Per il dettaglio dei flussi e dei contenuti minimi si rinvia alla «Guida alla notifica degli incidenti informatici» e alle «Linee Guida sul processo di gestione degli incidenti di sicurezza informatica» pubblicate da ACN. La notifica è, in concreto, un atto amministrativo-informativo che può essere contestato: la sua qualità documentale è già parte della compliance.

Sicurezza della supply chain

La NIS2 non ammette zone d’ombra sui fornitori strategici. La normativa impone mappatura e classificazione dei fornitori ICT rilevanti, inserimento nei contratti di requisiti minimi di sicurezza – clausole su gestione incidenti, obblighi di notifica, diritto di audit, exit strategy – e monitoraggio periodico dello stato di sicurezza.

L’aggiunta di una clausola contrattuale non è di per sé sufficiente: il controllo va esercitato attraverso campionamenti, attestazioni, audit e test di conformità. Per i soggetti del settore finanziario il regime si interseca con il Regolamento (UE) 2022/2554 (DORA), applicabile dal 17 gennaio 2025, che prescrive requisiti specifici sulla gestione del rischio ICT di terze parti e sul registro dei fornitori critici.

Il regime sanzionatorio

L’art. 38 del D.Lgs. 138/2024 costruisce un sistema sanzionatorio articolato e proporzionato alla categoria del soggetto, secondo lo schema sintetizzato dalla pagina ACN “Gli obblighi NIS in dirittura d’arrivo”.
Per le violazioni più gravi – mancata osservanza degli obblighi relativi agli organi di amministrazione, alle misure di sicurezza e alla notifica degli incidenti – sono previste sanzioni amministrative pecuniarie fino a:

  • 10.000.000 di euro o, se superiore, il 2% del fatturato mondiale annuo totale dell’esercizio precedente per i soggetti essenziali (con l’esclusione delle pubbliche amministrazioni);
  • 7.000.000 di euro o, se superiore, l’1,4% del fatturato mondiale annuo totale per i soggetti importanti (con la stessa esclusione).

Per le violazioni di minore gravità – segnatamente la mancata registrazione, la mancata comunicazione dei dati, l’inosservanza degli obblighi di certificazione e di registrazione di nomi a dominio o delle prescrizioni settoriali – il massimale scende allo 0,1% del fatturato per i soggetti essenziali e allo 0,07% per i soggetti importanti. La mancata registrazione entro il 28 febbraio è espressamente sanzionata dall’art. 38, commi 10 e 11, fino al massimale dello 0,1% richiamato dalla pagina informativa di ACN.

In caso di inottemperanza alle diffide dell’ACN si aggiungono sanzioni accessorie di natura personale, inclusa la possibilità di incapacità temporanea a svolgere funzioni dirigenziali per tutto il periodo dell’inadempimento, secondo i meccanismi previsti dall’art. 38 del Decreto.

Per le pubbliche amministrazioni rientranti nell’Allegato III, il Decreto prevede un sistema sanzionatorio specifico: il dettaglio degli importi e dei meccanismi è interamente contenuto nell’art. 38 ed è consultabile nella versione vigente del decreto su Normattiva.

Il regime si differenzia per tipologia di soggetto anche sul piano dell’approccio ispettivo: controlli preventivi per gli essenziali, verifiche post-evento per gli importanti, soprattutto a seguito di incidenti significativi o segnalazioni. Le modalità di vigilanza ricalcano quelle già sperimentate in ambito GDPR: richieste documentali, valutazione delle misure tecniche e organizzative, audit on site. La conformità si dimostra, non si improvvisa quando l’autorità avvia la verifica.

Da ottobre 2026: fine della fase di accompagnamento, inizio della verifica

Il 31 ottobre 2026 non è la fine del percorso, ma l’inizio della fase ispettiva. Lo chiarisce la sezione «Modalità e specifiche di base» del portale ACN: da quella data l’Agenzia può avviare le attività di verifica.
Parallelamente, con la Determinazione 155238 del 20 aprile 2026, ACN ha già definito il modello di categorizzazione delle attività e dei servizi dei soggetti NIS – ai sensi dell’art. 30 del Decreto – premessa indispensabile per le misure di sicurezza a lungo termine, che saranno modulate sulla categoria di rilevanza assegnata a ciascuna macro-area.

Il ciclo di adeguamento è dunque strutturalmente aperto: le misure di base sono il livello di partenza, non il traguardo. Come emerso dal Forum ICT Security 2025 nel confronto tra ACN e imprese sulla governance NIS2, la direttiva va intesa come un percorso di maturazione continua verso la resilienza, non come un adempimento da spuntare su una lista.

Il rischio del procrastinare

Con oltre ventimila organizzazioni nel perimetro, un accumulo generalizzato di adempimenti nelle ultime settimane prima del 31 ottobre 2026 sarebbe operativamente ingestibile: mancherebbero consulenti qualificati, tempo per il testing delle misure, capacità di produrre le evidenze richieste. Il messaggio ACN, ribadito nelle riunioni del Tavolo per l’attuazione della disciplina NIS e nelle pagine informative dell’Agenzia, è inequivoco: chi inizia ora riduce contemporaneamente il rischio sanzionatorio, i costi e lo stress organizzativo.

L’approccio più efficace prevede tre livelli temporali sovrapposti: interventi rapidi nei primi 60 giorni dall’avvio del progetto, hardening strutturale tra 60 e 180 giorni, consolidamento della maturità oltre i 180 giorni. Ogni misura deve avere un owner identificato, una scadenza, un criterio di accettazione e una prova attesa. Non per burocrazia: senza evidenze non esiste conformità verificabile.

Conclusioni

Il D.Lgs. 138/2024 delinea un paradigma in cui la cybersicurezza diventa dovere di governo e di rendicontazione permanente. Gli obblighi imposti ai soggetti essenziali e importanti non si esauriscono nell’adozione di un catalogo di misure: si traducono nell’istituzione di un sistema governato, documentato e continuamente verificabile, dove governance, analisi del rischio, misure di base, notifica degli incidenti e gestione della supply chain si integrano in un circuito unitario.

L’ente che saprà tradurre queste prescrizioni in un sistema organico non solo ridurrà l’esposizione sanzionatoria, ma consoliderà la propria resilienza operativa e la propria credibilità istituzionale. La compliance apparente, costruita su misure soltanto sulla carta e su processi mai testati, non reggerà la fase ispettiva che si apre dopo ottobre 2026.

Condividi sui Social Network:

Ultimi Articoli