NIS2 in Italia: le prime sanzioni, i primi audit ACN e cosa aspettarsi nel 2026

A quasi due anni dall’entrata in vigore del D.Lgs. 138/2024, il recepimento italiano della Direttiva UE 2022/2555 (NIS2) entra nella sua fase più critica. Registrazioni completate, obblighi di notifica già operativi, ispezioni all’orizzonte: ecco lo stato dell’arte per le oltre 20.000 organizzazioni in perimetro.

Il 2025: l’anno del censimento (e delle corse dell’ultimo minuto)

Il 16 ottobre 2024 il D.Lgs. 138/2024 entrava in vigore, abrogando il precedente D.Lgs. 65/2018 e affidando all’Agenzia per la Cybersicurezza Nazionale (ACN) il ruolo di Autorità nazionale competente NIS, con pieni poteri di vigilanza, ispezione e irrogazione di sanzioni. Come confermato dalla stessa ACN, sulla base delle informazioni condivise da oltre 30.000 realtà, l’elenco dei soggetti NIS individua oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali. A partire dal 12 aprile 2025, l’ACN ha iniziato a comunicare ai soggetti interessati il loro inserimento o meno nell’elenco attraverso la piattaforma.

Un numero significativo, ottenuto però a prezzo di una dinamica che l’Agenzia stessa ha segnalato come problematica. Le registrazioni si sono concentrate in prossimità delle scadenze, confermando la tendenza delle organizzazioni a rimandare fino all’ultimo momento. Il picco più consistente si è verificato a fine febbraio 2025, costringendo l’ACN ad aprire una finestra aggiuntiva per consentire il completamento delle operazioni. Milena Rizzi (ACN), intervenuta al convegno Clusit di dicembre 2025, ha lanciato un avvertimento diretto: «Mi auguro che i soggetti che si sono registrati l’anno scorso non aspettino la scadenza del termine» per il rinnovo 2026.

Sul piano operativo, nel primo anno di applicazione della NIS2 in Italia le aziende hanno riscontrato difficoltà di due ordini principali: interpretative e tecniche. Sul piano interpretativo, molti passaggi del Decreto e delle Determinazioni ACN hanno generato incertezze, come l’applicazione della clausola di salvaguardia o la distinzione tra organi di amministrazione e organi direttivi. Sul piano tecnico, la piattaforma ACN ha mostrato criticità legate alla necessità di SPID o CIE per l’accesso, a campi non adatti a soggetti stranieri e a complessità nella procedura di conferma per i responsabili.

Il perimetro: 18 settori, oltre 80 tipologie di soggetti

Il D.Lgs. 138/2024 introduce un significativo ampliamento del perimetro soggettivo rispetto alla NIS1, estendendo gli obblighi a 18 settori (11 altamente critici e 7 critici) e oltre 80 tipologie di soggetti pubblici e privati. L’architettura istituzionale conferma l’ACN quale Autorità nazionale competente NIS e Punto di contatto unico, con il supporto di nove Ministeri quali Autorità di settore.

Il perimetro NIS2 in Italia coinvolge più di 20.000 organizzazioni, distribuite tra settori altamente critici come energia, trasporti, sanità, comunicazioni e finanza, e settori critici tra cui digitale, servizi postali e sistemi di identificazione.

Un aspetto sistematicamente sottovalutato riguarda l’effetto a cascata sulla filiera produttiva. Come approfondito su ICT Security Magazine nell’articolo Business Impact Analysis e Supply Chain per la NIS2, la normativa italiana non si limita ai settori strettamente critici, ma guarda anche alla loro filiera: vengono coinvolti potenzialmente fornitori e sub-fornitori delle entità essenziali. Rientrano in questa categoria, ad esempio, le aziende che gestiscono i sistemi informativi di un soggetto NIS2. Chi fornisce servizi IT, logistici o di manutenzione a un’organizzazione in scope diventa parte integrante della sua catena di compliance.

I settori con maggiori criticità

L’applicazione della NIS2 ha evidenziato alcune criticità strutturali: la sottovalutazione da parte delle PMI, che spesso non hanno previsto budget o risorse adeguate per la compliance; la disconnessione tra IT e governance, con il management non coinvolto nel processo in una organizzazione su tre; e settori particolarmente fragili come sanità, PA, trasporti marittimi, energia e ICT, tra i più in ritardo nell’adeguamento secondo ENISA.

Il contesto di rischio italiano è tutt’altro che teorico. Il Rapporto Clusit 2025 documenta una crescita del 23% degli attacchi gravi in Italia nell’ultimo anno, con PMI e supply chain come bersagli primari. Nicolò Rivetti di Val Cervo, Capo Divisione NIS dell’ACN, intervenuto al 23° Forum ICT Security nel novembre 2025, ha sottolineato come la NIS2 vada intesa come un accompagnamento per i soggetti meno maturi sul piano della sicurezza: la norma sposta strutturalmente la cybersecurity dal dominio tecnico-operativo a quello strategico-manageriale, collocandola sullo stesso piano dei rischi finanziari e reputazionali nella governance aziendale.

L’apparato sanzionatorio: già operativo

Il D.Lgs. 138/2024 ha costruito un regime sanzionatorio modulare che scatta in modo progressivo. Come documentato nell’articolo di ICT Security Magazine I nuovi adempimenti della normativa NIS2: prossime scadenze e sanzioni, la mancata registrazione entro il 28 febbraio 2025 può determinare l’applicazione di una sanzione amministrativa pecuniaria pari allo 0,1% del fatturato mondiale annuo per i soggetti essenziali e allo 0,07% per i soggetti importanti. Per le pubbliche amministrazioni l’importo va da un minimo di 10.000 euro a un massimo di 50.000 euro.

Le sanzioni diventano significativamente più severe per le violazioni degli obblighi sostanziali. Per i soggetti essenziali si arriva fino a 10 milioni di euro o il 2% del fatturato mondiale annuo totale (si applica il valore più alto), mentre per i soggetti importanti il limite è di 7 milioni di euro o l’1,4% del fatturato mondiale annuo totale.

Il profilo di rischio, tuttavia, non si esaurisce nelle sanzioni pecuniarie. L’art. 23 del D.Lgs. 138/2024, analizzato in dettaglio nell’articolo di ICT Security Magazine Adempimenti NIS2: cosa bisogna fare entro ottobre 2026, impone agli organi di amministrazione e direttivi non solo di approvare le strategie di implementazione delle misure, ma anche di sovrintendere all’attuazione degli obblighi, con la necessità di apposite informative in merito agli incidenti e alle notifiche. La delega operativa è consentita, ma la responsabilità rimane in capo agli organi apicali e non è trasferibile. In casi estremi, il decreto prevede la possibilità di sospensione temporanea dalle funzioni dirigenziali per i responsabili dei soggetti essenziali.

Sul piano attuativo, la Determinazione del Direttore Generale ACN n. 379907 del 18 dicembre 2025, pubblicata il 24 dicembre 2025 e applicabile dal 15 gennaio 2026, ha sostituito la precedente Determinazione n. 164179/2025, stabilendo le specifiche di base per l’adempimento degli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS. La determinazione è corredata da quattro allegati tecnici: l’Allegato 1 contiene le misure di sicurezza di base per i soggetti importanti; l’Allegato 2 le misure per i soggetti essenziali; gli Allegati 3 e 4 definiscono gli incidenti significativi di base rispettivamente per soggetti importanti ed essenziali.

La tabella di marcia 2026: adempimenti aperti e scadenze critiche

Il 2026 è l’anno in cui la NIS2 transita dalla fase di censimento a quella di piena operatività e poi di vigilanza. Tutte le scadenze che seguono sono tratte direttamente dalle fonti istituzionali dell’ACN e dal testo del D.Lgs. 138/2024.

Gennaio – Febbraio 2026: rinnovo e nuove registrazioni. Si riapre la finestra per la registrazione sulla piattaforma ACN: i soggetti già registrati nel 2025 devono procedere al rinnovo confermando o aggiornando i dati precedentemente comunicati; i nuovi soggetti entrati nel perimetro devono effettuare la prima registrazione. L’ACN ha predisposto un sistema di dichiarazioni precompilate per i soggetti già qualificati, che il legale rappresentante dovrà validare digitalmente.

Dal 15 gennaio 2026: notifica degli incidenti, obbligo pieno. Come stabilito dalla Determinazione ACN 379907/2025 e confermato dall’ACN stessa, entro 9 mesi dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, i soggetti importanti sono tenuti a notificare al CSIRT Italia gli incidenti significativi riportati nell’Allegato 3 della Determinazione, mentre i soggetti essenziali devono riferirsi all’Allegato 4. La procedura, disciplinata dall’art. 25 del decreto, si articola in tre fasi inderogabili: pre-notifica entro 24 ore dall’acquisizione dell’evidenza dell’incidente; notifica completa entro 72 ore; relazione finale entro 30 giorni.

Per i soggetti importanti sono previste tre tipologie di incidente significativo: IS-1 (perdita di riservatezza verso l’esterno di dati digitali), IS-2 (perdita di integrità con impatto verso l’esterno di dati digitali) e IS-3 (violazione dei livelli di servizio attesi). I soggetti essenziali devono notificare anche l’incidente IS-4 (accesso non autorizzato o con abuso dei privilegi concessi a dati digitali).

Aprile – Maggio 2026: aggiornamento annuale dei dati. Aggiornamento delle informazioni sulla piattaforma NIS: servizi essenziali, asset, referenti, indirizzi IP statici pubblici e nomi di dominio in uso, ai sensi dell’art. 30 del Decreto e dell’art. 16 della Determinazione ACN 379887/2025.

Entro ottobre 2026: implementazione delle misure di sicurezza di base. Come specificato dalla pagina ufficiale dell’ACN sulle modalità e specifiche di base, i soggetti importanti devono aver adottato le 37 misure e 87 requisiti di cui all’Allegato 1; i soggetti essenziali devono aver adottato le 43 misure e 116 requisiti di cui all’Allegato 2. Le misure sono sviluppate in accordo al Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025).

Da ottobre 2026: attività ispettive ACN. Entro ottobre 2026 (18 mesi dalla ricezione delle prime comunicazioni di inserimento nell’elenco) è prevista la completa implementazione delle misure di sicurezza di base. Da quella data l’ACN transita dalla “fase di accompagnamento” alla fase di verifica e ispezione formale. I soggetti essenziali saranno soggetti a vigilanza ex ante (proattiva), i soggetti importanti principalmente ex post, a seguito di incidenti o segnalazioni.

Cosa aspettarsi: compliance sistemica, non solo formale

Il quadro normativo è oggi completo nei suoi elementi essenziali. Come analizzato nel dettaglio nell’articolo di ICT Security Magazine NIS2 e sicurezza informatica in Italia: implementazione, impatti, scadenze e sanzioni, il segnale più importante che emerge dall’attuale fase attuativa riguarda la natura degli obblighi stessi.

In prospettiva ottobre 2026, la vera criticità non sarà tanto avere su carta tutte le misure di base, quanto dimostrare la coerenza sistemica tra il perimetro degli asset, l’analisi del rischio formalizzata e riesaminata, le scelte organizzative con ruoli e responsabilità definiti, i controlli tecnici implementati, le verifiche periodiche e le azioni correttive.

Le misure di base dettate dall’ACN non possono essere implementate in modo tardivo o concentrate negli ultimi mesi antecedenti la scadenza. La loro logica è progressiva e cumulativa: la governance abilita il risk management; il risk management orienta le misure tecniche; le misure tecniche devono essere testate; i test devono generare evidenze; le evidenze devono alimentare un ciclo di miglioramento continuo.

Per le organizzazioni che hanno usato il 2025 come anno di sola registrazione senza avviare concretamente il percorso di adeguamento tecnico e di governance, il tempo utile si sta esaurendo. Le prime contestazioni formali di rilievo arriveranno con tutta probabilità tra la fine del 2026 e l’inizio del 2027, quando scadrà l’intera fase transitoria e l’ACN sarà pienamente operativa nelle sue funzioni di enforcement.