Il 1° gennaio 2026 l’obbligo di notifica degli incidenti al CSIRT Italia è diventato operativo. L’ottobre 2026 è la scadenza per implementare le misure di sicurezza di base definite dall’ACN. Il Q4 2026 segna l’avvio delle prime ispezioni. Se la tua azienda non ha ancora avviato il percorso di adeguamento alla direttiva NIS2 (recepita in Italia con il D.Lgs 138/2024), il tempo utile si sta esaurendo più velocemente di quanto sembri. Questa guida fornisce un quadro operativo completo: chi è obbligato, cosa deve fare concretamente e come strutturare la roadmap di adeguamento.
Cos’è la direttiva NIS2 e cosa cambia rispetto alla NIS1
La NIS2 (Direttiva UE 2022/2555) è la normativa europea sulla cybersecurity che sostituisce la precedente NIS1 (Direttiva UE 2016/1148) con un ambito di applicazione enormemente più ampio, obblighi più stringenti e sanzioni significativamente più severe. L’Italia l’ha recepita con il D.Lgs 138/2024, entrato in vigore il 16 ottobre 2024.
Perché l’Europa ha aggiornato la normativa sulla cybersecurity
La NIS1 aveva portato i primi standard di sicurezza per le infrastrutture critiche, ma aveva mostrato limiti strutturali: perimetro troppo ristretto, sanzioni irrisorie, approccio frammentato tra gli Stati membri. Nel frattempo, il panorama delle minacce è cambiato radicalmente. Il Rapporto Clusit 2025 documenta una crescita del 23% degli attacchi gravi in Italia nell’ultimo anno, con PMI e supply chain come bersagli primari. La NIS2 risponde a questa realtà con un framework obbligatorio molto più robusto.
Il D.Lgs 138/2024: come l’Italia ha recepito la direttiva
Il recepimento italiano introduce l’ACN (Agenzia per la Cybersicurezza Nazionale) come autorità competente unica per la NIS2, con poteri di ispezione, sanzione e vigilanza. La Determinazione ACN n. 379907/2025 ha definito le misure di sicurezza di base che i soggetti obbligati devono implementare: 37 misure per i soggetti importanti e 43 per i soggetti essenziali.
Chi è obbligato: soggetti essenziali, soggetti importanti e i 18 settori
La NIS2 si applica a organizzazioni pubbliche e private operanti in 18 settori classificati come ad alta criticità (tra cui energia, trasporti, banche, infrastrutture digitali, sanità, acque potabili) o come altri settori critici (produzione alimentare, servizi postali, fabbricazione di prodotti chimici, gestione dei rifiuti e altri). All’interno di questi settori, le organizzazioni vengono classificate in due categorie.
Soggetti essenziali vs soggetti importanti: differenze pratiche
I soggetti essenziali sono le organizzazioni di maggiori dimensioni operanti nei settori ad alta criticità: in genere grandi imprese (250+ dipendenti o fatturato > 50M€) e alcune entità indipendentemente dalla dimensione (operatoridi infrastrutture critiche nazionali). I soggetti importanti comprendono medie imprese (50-249 dipendenti o fatturato 10-50M€) negli stessi settori, più alcune categorie specifiche a prescindere dalla dimensione. I soggetti essenziali sono soggetti a vigilanza ex ante (proattiva), i soggetti importanti principalmente ex post (a seguito di incidenti o segnalazioni).
Come verificare se la tua azienda rientra (piattaforma ACN)
L’ACN ha reso disponibile una piattaforma di autoregistrazione che consente alle aziende di verificare se rientrano nel perimetro NIS2 e di procedere con la registrazione obbligatoria. La registrazione è il primo adempimento formale: le aziende soggette devono completarla entro le scadenze definite dall’ACN. Ignorare questo passaggio espone già alle prime sanzioni.
NIS2 e PMI: coinvolte anche senza essere soggetti diretti
Uno degli aspetti più sottovalutati della NIS2 è il suo effetto a cascata sulla supply chain. Molte PMI italiane non rientrano formalmente nei 18 settori o non raggiungono le soglie dimensionali, eppure sono già — o saranno presto — impattate dalla direttiva. La ragione è semplice: la NIS2 impone ai soggetti obbligati di valutare e monitorare la sicurezza dei propri fornitori. Se fornisci servizi IT, logistici, di manutenzione o qualsiasi altro servizio critico a un’azienda soggetta NIS2, il tuo profilo di sicurezza diventa parte della loro compliance. Per approfondire il quadro delle minacce che le PMI devono considerare, leggi la nostra analisi su cybersecurity per PMI: perché sei già un bersaglio e come difenderti nel 2026.
Il rischio supply chain: come la NIS2 colpisce i fornitori
I soggetti NIS2 sono tenuti a includere nei contratti con i fornitori clausole di sicurezza, a richiedere documentazione delle misure implementate e a effettuare audit periodici. Un fornitore che non riesce a dimostrare un livello adeguato di sicurezza rischia concretamente di essere escluso dalla supply chain del cliente — indipendentemente dalla qualità del servizio erogato.
Cosa possono chiederti i tuoi clienti NIS2
I clienti soggetti NIS2 possono richiederti: politiche di sicurezza documentate, evidence di vulnerability assessment periodici, procedure di gestione degli incidenti, certificazioni di sicurezza (ISO 27001 o equivalenti), clausole contrattuali di sicurezza e notifica entro tempi definiti in caso di incidenti che li impattano.
Le scadenze operative 2025–2026: il calendario completo
Il calendario NIS2 in Italia è già operativo. Non si tratta di scadenze future ipotetiche, ma di obblighi già esigibili.
1° gennaio 2026 — obbligo di notifica incidenti al CSIRT Italia
Dal 1° gennaio 2026 i soggetti NIS2 hanno l’obbligo di notificare al CSIRT Italia (Computer Security Incident Response Team) gli incidenti significativi secondo la procedura in tre fasi: pre-notifica entro 24 ore, notifica formale entro 72 ore, report finale entro 30 giorni. Chi non ha ancora implementato le procedure interne per rilevare, classificare e notificare gli incidenti è già in violazione.
Ottobre 2026 — deadline per le misure di sicurezza di base
Entro ottobre 2026 i soggetti obbligati devono aver implementato le misure di sicurezza di base definite dall’ACN. Per i soggetti importanti si tratta di 37 misure, per i soggetti essenziali 43. Il Framework Nazionale per la Cybersecurity 2025 (che struttura queste misure in 5 ambiti: Identificare, Proteggere, Rilevare, Rispondere, Ripristinare) è il riferimento metodologico ufficiale.
Q4 2026 — avvio delle ispezioni ACN
A partire dal Q4 2026 l’ACN avvierà le prime ispezioni formali. Le aziende non adeguate rischiano sanzioni amministrative significative e, in alcuni casi, misure interdittive.
Gli obblighi concreti: cosa deve fare la tua azienda
Gli obblighi NIS2 si articolano in quattro macro-aree.
Misure tecniche: MFA, cifratura, backup, log, aggiornamenti
Sul fronte tecnico, le misure di base dell’ACN includono: autenticazione multi-fattore (MFA) per tutti gli accessi privilegiati, cifratura dei dati sensibili in transito e a riposo, backup regolari con test di ripristino documentati, gestione centralizzata dei log di sicurezza, aggiornamento sistematico dei sistemi (patch management), segmentazione della rete e controllo degli accessi privilegiati. Un vulnerability assessment periodico è il punto di partenza per identificare le lacune tecniche da colmare rispetto alle misure richieste. La corretta configurazione del firewall aziendale rientra tra le misure di protezione perimetrale obbligatorie, così come l’adozione di strumenti di protezione anti-ransomware, la minaccia più diffusa e impattante per le organizzazioni italiane.
Misure organizzative: governance, policy, formazione
La NIS2 è una normativa di governance, non solo di sicurezza tecnica. Il management non può più delegare completamente la cybersecurity all’IT: i dirigenti sono personalmente responsabili dell’adeguamento e possono essere soggetti a sanzioni individuali. Gli obblighi organizzativi comprendono: approvazione formale delle politiche di sicurezza da parte del board, piano di formazione periodica per dipendenti e management, nomina di un responsabile della sicurezza informatica, e procedure documentate per la gestione degli incidenti.
Gestione della supply chain: valutare e monitorare i fornitori
I soggetti NIS2 devono implementare un processo strutturato di valutazione della sicurezza dei fornitori: risk assessment iniziale, clausole contrattuali di sicurezza, monitoraggio continuativo e procedure di risposta in caso di incidenti che coinvolgono la supply chain.
Continuità operativa: BCP e disaster recovery
La NIS2 richiede piani documentati di continuità operativa (Business Continuity Plan) e di disaster recovery, con test periodici e aggiornamento annuale. La resilienza operativa non è un’opzione: è un obbligo normativo.
L’obbligo di notifica degli incidenti: la procedura in 3 fasi
Il processo di notifica degli incidenti significativi è uno degli obblighi più operativi della NIS2 e richiede procedure interne già attive.
Pre-notifica entro 24 ore
Entro 24 ore dal rilevamento di un incidente significativo, il soggetto obbligato deve inviare al CSIRT Italia una pre-notifica con le informazioni iniziali disponibili: tipologia dell’incidente, sistemi coinvolti, impatto stimato. Non è richiesta una analisi completa — è richiesta la notifica tempestiva.
Notifica formale entro 72 ore
Entro 72 ore dall’incidente, la notifica formale deve includere una valutazione più dettagliata: causa (se nota), misure di contenimento adottate, impatto sui servizi, dati potenzialmente compromessi.
Report finale entro 30 giorni
Entro 30 giorni dall’incidente, il report finale deve fornire un’analisi completa: causa radice, impatto effettivo, misure correttive implementate, lesson learned. Questo documento è anche il punto di partenza per eventuali ispezioni successive.
La responsabilità del management: cosa rischiano i dirigenti
La NIS2 introduce un cambio di paradigma significativo: la responsabilità della cybersecurity non ricade solo sull’IT, ma sul management dell’organizzazione. I dirigenti sono tenuti a seguire percorsi di formazione sulla sicurezza informatica, ad approvare le politiche di sicurezza, a monitorarne l’implementazione e a rispondere personalmente in caso di violazioni gravi. In casi estremi, l’ACN può applicare misure interdittive che includono la sospensione temporanea dall’incarico per i responsabili apicali delle organizzazioni soggette essenziali.
Le sanzioni: quanto costa non adeguarsi
Le sanzioni amministrative previste dal D.Lgs 138/2024 sono significative:
- Soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo totale (si applica il valore più alto)
- Soggetti importanti: fino a 7 milioni di euro o l’1,4% del fatturato mondiale annuo totale
A queste si aggiungono sanzioni specifiche per la mancata notifica degli incidenti, per la violazione degli obblighi di registrazione e per l’inosservanza delle misure correttive disposte dall’ACN. Il costo di non adeguarsi supera in tutti gli scenari il costo di un percorso di compliance strutturato.
Come adeguarsi alla NIS2: la roadmap in 6 step
Step 1 — Verifica se sei soggetto NIS2 o coinvolto indirettamente
Analizza il settore di appartenenza, le dimensioni aziendali e la posizione nella supply chain rispetto a clienti soggetti NIS2. Usa la piattaforma ACN come riferimento ufficiale.
Step 2 — Registrazione sulla piattaforma ACN
Completa la registrazione ufficiale sulla piattaforma ACN entro le scadenze previste. È il primo adempimento formale e la base per tutti i passaggi successivi.
Step 3 — Risk assessment e mappatura degli asset critici
Identifica e classifica tutti gli asset informativi, i sistemi critici e le dipendenze tecnologiche. Il risk assessment è il fondamento da cui derivano le priorità di intervento.
Step 4 — Implementazione delle misure tecniche di base (ACN)
Implementa le misure tecniche richieste dall’ACN in ordine di priorità basata sul risk assessment: MFA, patch management, backup testati, gestione dei log, firewall, protezione endpoint e anti-ransomware.
Step 5 — Strutturare la governance e formare il management
Formalizza le politiche di sicurezza, nomina i responsabili, struttura i percorsi di formazione per dipendenti e dirigenti, e integra la cybersecurity nei processi decisionali aziendali.
Step 6 — Predisporre il piano di risposta agli incidenti
Definisci e testa l’Incident Response Plan: procedure di rilevamento, classificazione, contenimento e notifica. Includi simulazioni periodiche (tabletop exercise) per verificare che le procedure funzionino nella pratica.
NIS2 e GDPR, DORA, AI Act: come gestire la compliance integrata
La NIS2 non esiste in un vacuum normativo. Le aziende italiane si trovano a gestire un ecosistema di normative interconnesse: il GDPR per la protezione dei dati personali, il DORA (Digital Operational Resilience Act) per il settore finanziario, il Cyber Resilience Act per i prodotti con componenti digitali, e l’AI Act per i sistemi di intelligenza artificiale. La buona notizia è che molte misure richieste dalla NIS2 (risk assessment, gestione degli incidenti, continuità operativa) si sovrappongono con quelle già previste dal GDPR e dal DORA. Un approccio di compliance integrata, che evita duplicazioni e sfrutta le sinergie tra le normative, riduce significativamente i costi e gli sforzi complessivi di adeguamento.
FAQ — Domande frequenti sulla NIS2
La mia PMI deve adeguarsi alla NIS2?
Dipende dal settore e dalle dimensioni. Se operi in uno dei 18 settori NIS2 con almeno 50 dipendenti o 10M€ di fatturato, probabilmente sì. Se sei fornitore di un’azienda soggetta NIS2, sei impattato indirettamente attraverso la supply chain indipendentemente dalle tue dimensioni.
Entro quando devo completare l’adeguamento?
L’obbligo di notifica incidenti è già attivo dal 1° gennaio 2026. Le misure di sicurezzadi base devono essere implementate entro ottobre 2026. La registrazione sulla piattaforma ACN è il primo passo da completare immediatamente.
Cosa succede se non mi adeguo?
Sanzioni fino a 10 milioni di euro o 2% del fatturato (soggetti essenziali) o 7 milioni/1,4% fatturato (soggetti importanti). In casi gravi, misure interdittive per i dirigenti responsabili.
La NIS2 si applica anche alle aziende pubbliche?
Sì. La NIS2 si applica sia a soggetti privati che pubblici che operano nei settori identificati come critici, con alcune eccezioni per specifiche categorie della pubblica amministrazione.
Conclusioni: la NIS2 è una scadenza operativa, non un progetto futuro
Le scadenze NIS2 non sono sul calendario del futuro: sono già operative. Le aziende che hanno avviato il percorso di adeguamento stanno costruendo un vantaggio competitivo reale — non solo di compliance, ma di resilienza operativa, affidabilità per i clienti e posizione nella supply chain. Quelle che aspettano si troveranno a gestire un adeguamento emergenziale con tempi e costi superiori, oltre all’esposizione alle sanzioni già esigibili.
Brain Computing supporta le aziende italiane nel percorso di adeguamento NIS2: dall’assessment iniziale alla definizione della roadmap, dall’implementazione delle misure tecniche alla strutturazione della governance. Contattaci per una valutazione del tuo profilo di compliance.
