Tutte le novità e le prossime scadenze da rispettare per chi rientra nel perimetro NIS
Cos'è e a chi si applica la NIS2
Partiamo dalle basi: la NIS2 è la direttiva europea sulla cybersicurezza recepita in Italia con il D.Lgs. 138/2024. Obbliga migliaia di organizzazioni pubbliche e private – operanti in settori critici come energia, sanità, trasporti e infrastrutture digitali – a dotarsi di misure concrete di sicurezza informatica. La particolarità è che non si tratta di un adempimento tecnico da delegare all'IT: la responsabilità ricade direttamente sui vertici aziendali. In Italia sono oltre 20.000 i soggetti coinvolti, classificati come "essenziali" o "importanti".
Cosa è già successo
Ripercorriamo le principali tappe della NIS2:
- Il 2025 è stato l'anno delle registrazioni: oltre 30.000 organizzazioni si sono iscritte sulla piattaforma ACN, di cui circa 5.000 riconosciute come soggetti essenziali
- A gennaio 2026 sono scattati i primi obblighi operativi: chi subisce un incidente informatico significativo deve notificarlo al CSIRT Italia entro 24 ore (pre-notifica) e fornire una comunicazione completa entro 72 ore.
Le ultime novità in ambito NIS2: obblighi e scadenze
Il 13 aprile 2026 l'ACN ha pubblicato due nuove determinazioni (n.127434 e n.127437) che segnano un salto di qualità nel percorso di adeguamento. La prima riguarda i soggetti entrati nel perimetro NIS per la prima volta nel 2026: per loro l'obbligo di notifica degli incidenti partirà dal 1° gennaio 2027, e il Referente CSIRT dovrà essere designato entro il 31 dicembre 2026. La seconda invece, più rilevante per chi è già nel sistema, introduce due nuovi obblighi:
- Censimento dei fornitori rilevanti: durante la finestra di aggiornamento annuale (15 aprile–31 maggio) ogni soggetto che rientra nel perimetro deve elencare ad ACN i fornitori rilevanti NIS. La sicurezza non riguarda più solo il perimetro interno, ma l'intera catena di fornitura
- Avvio del processo di categorizzazione: durante la finestra di compilazione dell’apposito modello di categorizzazione direttamente in piattaforma (1° maggio-30 giugno), le organizzazioni dovranno classificare le attività e servizi dei soggetti essenziali e importanti previsti dalla Direttiva. Questo tipo di classificazione, guidata e delimitata da precise macro-aree organizzative e categorie di rischio, si pone un obiettivo preciso: identificare i servizi più critici per garantire misure di sicurezza proporzionate e più incisive.
Maggio 2026: il mese più caldo
Maggio, dunque, è il mese più denso sul piano operativo: sarà il punto di snodo di tre diverse scadenze:
- Aggiornamento annuale delle informazioni (15 aprile–31 maggio): ogni soggetto NIS deve verificare e aggiornare sulla piattaforma ACN i propri dati anagrafici, i contatti e la composizione degli organi di amministrazione. Per i soggetti entrati nel perimetro nel 2026, entro il 31 maggio va anche designato il sostituto del Punto di Contatto
- Censimento dei fornitori rilevanti (15 aprile–31 maggio): finestra di tempo per comunicare l'elenco dei fornitori rilevanti NIS
- Avvio della categorizzazione (1° maggio–30 giugno): ogni soggetto deve classificare le proprie attività e servizi tramite il nuovo modello di categorizzazione sulla piattaforma ACN.
Cosa succederà dopo
La scadenza finale del percorso di adeguamento è fissata al 31 ottobre 2026, data entro cui tutte le misure di sicurezza di base devono essere operative e dimostrabili. Da novembre l'ACN potrà avviare le ispezioni. Non si tratta però di un punto di arrivo: la categorizzazione appena avviata servirà a calibrare una seconda fase di obblighi più granulari e proporzionati, che andrà oltre ottobre 2026.
Categorizzazione, procedure dettagliate, nuove figure: con la NIS2 la cyber resilienza delle organizzazioni passa per un nuovo ecosistema di soluzioni interconnesse e in evoluzione che è importante comprendere e rispettare.
Hai delle domande o bisogno di assistenza?
Prenota una consulenza con i nostri esperti in cybersecurity e compliance normativa: https://bit.ly/3QRZUdT
