La NIS2 ha allargato di molto il numero di imprese tenute a garantire la sicurezza informatica dei propri sistemi. Il 2026 è l’anno in cui gli obblighi diventano concreti, con scadenze precise e responsabilità che arrivano fino ai vertici aziendali.
Per anni la sicurezza informatica obbligatoria ha riguardato una cerchia ristretta di operatori. Con la NIS2 il perimetro si allarga enormemente, e coinvolge anche molte imprese di medie dimensioni che finora non si erano mai poste il problema in termini di conformità. Capire se si rientra — e cosa fare — è diventato urgente.
Cos’è la NIS2 e chi la applica in Italia
La NIS2 è la direttiva europea (UE) 2022/2555, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. Sostituisce la precedente disciplina NIS e amplia gli obblighi di sicurezza informatica a diciotto settori — undici altamente critici e sette critici — coinvolgendo oltre ottanta tipologie di soggetti pubblici e privati. L’autorità competente è l’Agenzia per la Cybersicurezza Nazionale (ACN), mentre le notifiche di incidente vanno al CSIRT Italia.
Soggetti essenziali e soggetti importanti
La direttiva distingue due categorie, con obblighi calibrati sul livello di criticità: soggetti essenziali e soggetti importanti. L’individuazione passa da un’autodichiarazione sulla piattaforma dell’ACN: le organizzazioni che rientrano nel campo di applicazione devono registrarsi e aggiornare i propri dati. Ad oggi risultano nel perimetro oltre ventimila organizzazioni, di cui più di cinquemila classificate come essenziali.
Cosa impone, in concreto
Gli obblighi si muovono su tre piani che vanno affrontati insieme:
- Misure di gestione del rischio: policy di sicurezza, gestione degli incidenti, continuità operativa e backup, sicurezza della catena di fornitura, controllo degli accessi, formazione, secondo le specifiche di base definite dalla Determinazione ACN n. 379907/2025.
- Notifica degli incidenti significativi al CSIRT Italia, con tempi serrati: pre-notifica entro 24 ore, notifica entro 72 ore e relazione finale entro un mese.
- Governance e responsabilità dei vertici: l’art. 23 del decreto pone in capo agli organi di amministrazione una responsabilità diretta e non delegabile, con l’obbligo di approvare le misure e di partecipare a percorsi di formazione.
Con la NIS2 la sicurezza informatica smette di essere un tema del reparto IT e diventa una responsabilità del consiglio di amministrazione.
Le scadenze del 2026
Il 2026 è l’anno decisivo. Le tappe principali per i soggetti già in elenco dal 2025 sono:
- 1° gennaio – 28 febbraio: finestra annuale di registrazione o aggiornamento sulla piattaforma ACN.
- 1° maggio – 30 giugno: comunicazione e categorizzazione delle attività e dei servizi svolti.
- 31 ottobre: termine ultimo per la piena operatività delle misure di sicurezza di base, con evidenze documentali dimostrabili.
Per i soggetti inseriti nel perimetro per la prima volta nel 2026, il termine per l’adozione delle misure di base slitta al 31 luglio 2027. Attenzione però: dopo ottobre 2026 l’ACN passa dalla fase di accompagnamento a quella ispettiva, e le sanzioni sono pesanti — fino al 2% del fatturato mondiale per i soggetti essenziali, allineate al modello del GDPR.
Cosa fare adesso
- verificare se si rientra nel perimetro e completare registrazione e categorizzazione nei tempi;
- svolgere una gap analysis rispetto alle misure della Determinazione ACN n. 379907/2025;
- costruire una roadmap con owner, scadenze ed evidenze: senza prove documentali non c’è conformità dimostrabile;
- coinvolgere e formare gli organi di vertice e mappare i fornitori ICT rilevanti.
Con oltre ventimila organizzazioni coinvolte, concentrare tutto nelle ultime settimane prima di ottobre non è realistico: chi inizia per tempo riduce insieme rischio sanzionatorio, costi e stress organizzativo.
Questo contenuto ha finalità informative e divulgative e non costituisce consulenza legale o tecnica personalizzata. Perimetro e obblighi vanno verificati sul caso concreto e sulle determinazioni ACN vigenti.