NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

Condividi:

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

L’ACN ha pubblicato nuove determinazioni sugli adempimenti NIS2 per i soggetti inseriti nel 2026 e ha aggiornato le modalità di accesso e utilizzo della piattaforma digitale ACN. Il punto chiave è questo: la fase “dichiarativa” sta lasciando spazio a una fase più operativa, strutturata e verificabile.

Come indicato nella comunicazione ufficiale ACN sulle nuove determinazioni NIS2, e nella determina completa ACN sulla piattaforma NIS, il quadro normativo entra ora in una fase pienamente operativa.

Non basta più sapere di essere soggetti NIS. Ora bisogna organizzare ruoli, aggiornare correttamente i dati, censire i fornitori rilevanti, classificare attività e servizi e rispettare una roadmap precisa.

Cosa cambia davvero nel 2026

Il 13 aprile 2026 segna il passaggio dalla teoria all’operatività. L’ACN non si limita più a identificare i soggetti, ma impone un modello strutturato di gestione.

Non si tratta di un aggiornamento burocratico. È un cambio di paradigma: la cybersicurezza diventa governance, responsabilità e capacità dimostrabile.

Le scadenze per i soggetti NIS inseriti nel 2026

Per i soggetti che entrano nel perimetro NIS nel 2026, la roadmap è chiara:

  • 31 maggio 2026 → Designazione sostituto punto di contatto

  • 1 maggio – 30 giugno 2026 → Categorizzazione attività e servizi

  • 31 dicembre 2026 → Designazione referente CSIRT

  • 1 gennaio 2027 → Obbligo notifica incidenti

  • 31 luglio 2027 → Adozione misure di sicurezza di base

Attenzione: queste scadenze non sono universali ma dipendono dalla data di inclusione nel perimetro NIS.

La piattaforma ACN: il vero centro della compliance

La piattaforma digitale ACN non è un semplice portale. È il punto centrale di:

  • registrazione

  • aggiornamento annuale

  • aggiornamento continuo

  • categorizzazione servizi

Tutte le comunicazioni ufficiali passano da qui. La qualità dei dati inseriti diventa parte integrante della compliance.

Aggiornamento annuale: cosa va davvero gestito

Dal 15 aprile al 31 maggio, ogni soggetto NIS deve aggiornare:

  • dati anagrafici e legali

  • organi di amministrazione

  • IP e domini

  • servizi erogati

  • referente CSIRT

  • fornitori rilevanti

Non è una formalità. È un processo di allineamento tra organizzazione reale e rappresentazione verso ACN.

Fornitori rilevanti: la sicurezza esce dall’azienda

La determina introduce un punto chiave: la sicurezza della supply chain.

I soggetti NIS devono censire i fornitori che:

  • forniscono servizi ICT

  • oppure sono critici per la continuità operativa

Per ciascun fornitore vanno indicati dati, paese, CPV e criterio di rilevanza.

Questo significa una cosa: la sicurezza non è più perimetro, ma ecosistema.

Categorizzazione attività e servizi: il vero nodo strategico

Dal 1 maggio al 30 giugno, ogni soggetto deve classificare le proprie attività e servizi.

Questa attività non è solo descrittiva. È la base per:

  • analisi di impatto (BIA)

  • definizione delle priorità

  • costruzione della sicurezza

ACN può verificare a campione e richiedere modifiche.

Ruoli NIS2: non sono nomine simboliche

I ruoli chiave sono:

  • Punto di contatto

  • Sostituto punto di contatto

  • Referente CSIRT

Devono essere persone reali, operative e competenti. In particolare, il referente CSIRT deve essere in grado di gestire incidenti e interfacciarsi con CSIRT Italia.

Il punto critico: la responsabilità è del management

La NIS2 non è un tema IT.

È responsabilità degli organi di amministrazione e direttivi.

Questo comporta:

  • responsabilità diretta

  • necessità di governance

  • obbligo di controllo e supervisione

Chi delega senza controllo è esposto.

Verifiche ACN: non è più un’autodichiarazione

L’ACN può:

  • verificare le informazioni

  • chiedere integrazioni

  • contestare incongruenze

La compliance deve essere coerente, difendibile e documentata.

Cosa devono fare ora le aziende

Le aziende devono partire da qui:

  • chiarire il perimetro NIS

  • definire i ruoli

  • mettere ordine su asset e servizi

  • censire i fornitori

  • prepararsi alla categorizzazione

  • strutturare governance e processi

Chi parte dalla piattaforma senza struttura rischia di costruire una compliance fragile.

Vuoi capire davvero se sei conforme NIS2?

La differenza non è tra chi ha compilato la piattaforma e chi no, ma tra chi ha costruito una struttura solida e chi ha solo dichiarato di averlo fatto.

Se vuoi fare chiarezza sul tuo perimetro NIS, sui fornitori rilevanti e su cosa devi davvero mettere in piedi nei prossimi mesi, puoi confrontarti con noi. Analizziamo la tua situazione attuale e ti diamo una lettura concreta, senza teoria inutile.

Richiedi un confronto diretto qui:

Self-Assessment NIS2

Nota importante: questo strumento non è sostitutivo di una gap analysis ma fornisce una valutazione orientativa. Non sostituisce una consulenza legale né un audit tecnico certificato. Le risposte restano solo nel browser e vengono perse alla chiusura della pagina.

Roadmap NIS2 Italia 2026-2027

FAQ

Cosa cambia con la determina ACN del 2026?

Introduce nuove scadenze, rafforza l’uso della piattaforma ACN e impone una gestione più strutturata di dati, fornitori e servizi.

Quando scatta l’obbligo di notifica incidenti?

Dal 1 gennaio 2027 per i soggetti inseriti nel 2026.

Chi è il referente CSIRT?

È la figura incaricata di gestire le comunicazioni con CSIRT Italia e notificare gli incidenti.

La NIS2 riguarda anche i fornitori?

Sì. I fornitori rilevanti devono essere censiti e valutati.

La responsabilità è dell’IT?

No. È degli organi di amministrazione e direttivi.

Condividi:

NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

Condividi:

adeguamento NIS2 Modena

NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

Basta una gap analysis per essere conformi alla NIS2? No, non basta. Eppure questa è la trappola in cui stanno cadendo molte organizzazioni italiane: commissionano un’analisi iniziale, ricevono una fotografia della loro situazione e si fermano lì.

Non per disinteresse. Non per mancanza di comprensione. Ma perché adeguarsi alla NIS2 è un percorso strutturato, non un documento da archiviare e molte aziende non sono ancora pronte ad affrontarlo nella sua interezza.

Il rischio sottovalutato di fermarsi alla sola analisi

La gap analysis è necessaria: serve a capire dove si è, quali sono le criticità reali e quali i rischi prioritari. Ma sapere dove sono i problemi non li risolve. Avere un documento, una checklist o un report non equivale a essere conformi.

La NIS2 non richiede consapevolezza. Richiede azione.

Fermarsi all’analisi genera un problema specifico e spesso sottovalutato: la falsa sicurezza. L’azienda crede di aver “fatto qualcosa”, mentre di fatto non ha ancora intrapreso nulla di strutturalmente rilevante ai fini della normativa.

Cosa significa davvero adeguarsi alla NIS2

In Italia la NIS2 è stata recepita con il D.Lgs. 138/2024, in vigore dal 18 ottobre 2024. L’autorità competente è l’ACN (Agenzia per la Cybersicurezza Nazionale) che gestisce il portale NIS, definisce le specifiche tecniche e supervisiona la conformità.

La normativa introduce un meccanismo di adeguamento progressivo, che parte dalla comunicazione ufficiale di ACN con cui l’azienda viene inserita nell’elenco dei soggetti essenziali o importanti. Da quel momento scattano due scadenze precise e non negoziabili:

  • Entro 9 mesi dalla comunicazione ACN: devono essere attivi i processi di gestione e notifica degli incidenti significativi al CSIRT Italia.
  • Entro 18 mesi dalla comunicazione ACN: devono essere implementate tutte le misure tecniche e organizzative di sicurezza previste dal decreto.

Poiché le prime comunicazioni ACN sono partite ad aprile 2025, per la maggior parte dei soggetti questi termini scadono rispettivamente a gennaio 2026 e ottobre 2026.

L’adeguamento richiede interventi concreti su più livelli: misure tecniche reali, processi aziendali strutturati, formazione del personale, sistemi di monitoraggio attivi, procedure di gestione degli incidenti definite e testate. Non è un documento. È un sistema che deve funzionare.

Ed è, soprattutto, una responsabilità diretta del management: il D.Lgs. 138/2024 prevede per i soggetti essenziali sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, con responsabilità personali anche per le figure di direzione e controllo.

Il punto di contatto CSIRT: cosa è davvero (e cosa non è)

Uno degli elementi più citati — e più fraintesi — della NIS2 è il punto di contatto CSIRT. Chiarire cosa sia realmente è fondamentale per non costruire su basi errate.

Il punto di contatto CSIRT è il riferimento ufficiale dell’organizzazione verso il Computer Security Incident Response Team nazionale per la notifica degli incidenti, la gestione delle comunicazioni ufficiali e il coordinamento in caso di eventi critici.

Avere il punto di contatto non significa però essere conformi. È solo uno degli elementi richiesti.

Ciò che fa davvero la differenza non è il titolo della persona che ricopre il ruolo, ma il contesto organizzativo in cui opera. Può essere anche una figura interna non strettamente tecnica, a condizione che sia inserita in una struttura che le consenta di agire correttamente: con processi chiari di gestione degli incidenti, supporto tecnico adeguato, strumenti di monitoraggio e procedure interne definite.

Le competenze necessarie sono distribuite, non individuali: capacità di coordinamento, comprensione dei processi aziendali, accesso a competenze tecniche, capacità di attivare le procedure corrette nei tempi richiesti dalla normativa, pre-notifica entro 24 ore, notifica formale entro 72 ore, relazione finale entro 30 giorni.

La domanda giusta non è “chi è il punto di contatto?” ma “quanto l’azienda è pronta a supportarlo?”

Un approccio sostenibile: il percorso a fasi

Proprio per questa complessità, il modo corretto di affrontare la NIS2 non è un pacchetto unico e rigido. È un percorso progressivo, costruito per accompagnare l’organizzazione nel tempo senza bloccarla.

Il percorso si articola in fasi con obiettivi e output precisi: analisi reale dello stato attuale, definizione delle priorità e della roadmap, formazione del board e del management, implementazione tecnica delle misure, formazione operativa e adeguamento dei processi, monitoraggio e continuità operativa.

La formazione del board è un passaggio chiave, spesso sottovalutato. La NIS2 responsabilizza esplicitamente i vertici aziendali: i dirigenti devono seguire percorsi formativi sulla sicurezza informatica, approvare le politiche di sicurezza e monitorarne l’implementazione. Prima di intervenire sull’azienda, chi prende le decisioni deve avere piena consapevolezza dei rischi e delle proprie responsabilità personali.

Strutturare il percorso a fasi consente all’azienda di iniziare, valutare, comprendere il valore del lavoro svolto e decidere come proseguire, senza vincoli insostenibili e senza rischiare di paralizzarsi di fronte alla complessità complessiva.

Adeguamento NIS2: dalla strategia all’operatività, con un unico partner

Adeguarsi alla NIS2 è obbligatorio. Il modo in cui ci si arriva deve essere sostenibile.

Il valore di avere un unico partner lungo tutto il percorso, dalla prima analisi fino alla piena operatività, sta proprio in questo: non si limita a indicare i problemi, ma li affronta e li risolve insieme all’azienda. Nella definizione della strategia, nella formazione del management, nell’implementazione tecnica, nella riorganizzazione dei processi, nella continuità operativa.

Il primo passo: consapevolezza reale della propria situazione

Il momento più delicato è spesso proprio l’inizio. Prendere consapevolezza delle proprie vulnerabilità non è comodo. Ma è inevitabile.

Se la tua azienda rientra tra i soggetti NIS2, perché opera in uno dei 18 settori previsti, perché supera determinate soglie dimensionali, o perché è parte di una filiera rilevante, non si tratta più di valutare se adeguarsi. Si tratta di capire come farlo, con quali priorità e con quale sostenibilità.

Il primo passo è sempre un’analisi reale dello stato attuale. Solo così è possibile costruire una roadmap efficace e iniziare nel modo giusto.

La NIS2 non si acquista. Si costruisce. È un percorso, non un documento. L’importante non è iniziare tutto subito: è iniziare nel modo giusto.

Parliamone

FAQ

Cosa succede se non mi adeguo alla NIS2?

Il mancato adeguamento espone l’azienda a sanzioni significative — fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, fino a 7 milioni o l’1,4% per i soggetti importanti — oltre a responsabilità personali del management e a rischi operativi concreti in caso di incidente informatico.

La NIS2 riguarda anche la mia azienda?

Molte organizzazioni non sanno di rientrare nella normativa. Se operi in uno degli 11 settori altamente critici o nei 7 settori critici previsti dal decreto, o se sei fornitore di un soggetto NIS2, potresti essere coinvolto anche senza saperlo.

Chi è responsabile della compliance NIS2 in azienda?

La responsabilità non è solo tecnica: ricade sul management. Il D.Lgs. 138/2024 prevede che i vertici aziendali garantiscano l’adozione e il funzionamento delle misure, con responsabilità personali espressamente normate.

Serve cambiare tutta l’infrastruttura IT?

Non necessariamente. Ma nella maggior parte dei casi è necessario intervenire su configurazioni, processi e strumenti per raggiungere il livello di sicurezza richiesto dalle specifiche di base ACN.

Quanto tempo ho per adeguarmi?

Dalla comunicazione ufficiale di ACN hai 9 mesi per attivare il sistema di notifica degli incidenti e 18 mesi per implementare le misure di sicurezza complete. Chi ha ricevuto la comunicazione ad aprile 2025 ha le scadenze rispettivamente a gennaio e ottobre 2026.

Cos’è il punto di contatto CSIRT nella NIS2?

È il riferimento ufficiale verso il CSIRT nazionale per notifiche e gestione degli incidenti. Da solo non garantisce la conformità: deve essere supportato da processi, strumenti e competenze distribuite all’interno dell’organizzazione.

Posso fare tutto internamente?

Alcune attività possono essere gestite internamente, ma la definizione della strategia, la corretta implementazione tecnica e il rispetto delle scadenze normative richiedono quasi sempre il supporto di un partner esperto.

Condividi: