Agile NIS2
Redazione

NIS2: la Dashboard di Conformità per il 2026

Il contesto

Siamo a fine aprile 2026. Il portale ACN è aperto per l'aggiornamento annuale. Dal 1° maggio parte la finestra di categorizzazione delle attività e dei servizi. I soggetti entrati nel perimetro NIS nel 2026 hanno scadenze specifiche che si estendono fino a luglio 2027. E nel mezzo di tutto questo, molte organizzazioni stanno ancora cercando di capire chi fa cosa e entro quando.

Il problema non è la mancanza di informazioni: è la difficoltà di tenerle tutte insieme in modo operativo. La normativa NIS2 — recepita in Italia con il D.Lgs. 138/2024 — genera un flusso continuo di adempimenti che si sovrappongono, con scadenze annuali, scadenze specifiche per coorte di iscrizione e obblighi che cambiano in base al ruolo del soggetto. Gestirla senza una visione d'insieme significa procedere in ordine sparso, con il rischio concreto di saltare un passaggio critico.

In occasione del nostro webinar della scorsa settimana, abbiamo presentato ai partecipanti una Dashboard di Conformità NIS — uno strumento visivo e operativo che mappa l'intero sistema di adempimenti in un'unica panoramica esecutiva. In questo articolo ne condividiamo la logica e i contenuti chiave, perché riteniamo che questo tipo di chiarezza dovrebbe essere accessibile a tutti i soggetti NIS2, non solo a chi ha partecipato all'evento.

Cosa cambia in pratica

La dashboard si articola in quattro blocchi logici, che corrispondono alle quattro domande operative che ogni responsabile compliance NIS2 deve saper rispondere.

A — Il ciclo annuale: cosa si ripete ogni anno

Esistono quattro finestre operative che si aprono e chiudono ogni anno, indipendentemente dalla coorte di iscrizione:

Gennaio – Febbraio: Dichiarazione annualeOgni soggetto NIS deve rinnovare la propria dichiarazione sulla piattaforma ACN. Il sistema genera una bozza precompilata che si cristallizza dopo 10 giorni: se non si interviene entro quella finestra, i dati dell'anno precedente vengono confermati automaticamente. Non è un'operazione passiva: è il momento in cui si verifica che la rappresentazione dell'organizzazione verso ACN sia ancora accurata. Riferimento: Art. 7 D.Lgs. 138/2024.

15 Aprile – 31 Maggio: Aggiornamento annualeLa finestra più densa di contenuti operativi. Vanno aggiornati: dati anagrafici, composizione degli organi di amministrazione e direzione (CDA), elenco dei fornitori rilevanti NIS, indirizzi IP pubblici e domini. Quest'anno, per la prima volta, l'obbligo sui fornitori rilevanti è pienamente operativo — introdotto dalla Determinazione ACN n. 127437 del 13 aprile 2026. Riferimento: Art. 16 Det. ACN.

1 Maggio – 30 Giugno: Categorizzazione attività e servizi (NUOVO dal 2026)Ogni soggetto NIS deve comunicare tramite il Servizio NIS/Categorizzazione l'elenco delle proprie attività e servizi, attribuendo a ciascuno la categoria di rilevanza. ACN effettua verifiche a campione entro 90 giorni. Questo adempimento è la base per la definizione degli obblighi a lungo termine: non è un formulario, è la fotografia dell'esposizione al rischio dell'organizzazione. Riferimento: Art. 30 D.Lgs. 138/2024.

Tutto l'anno: Aggiornamento continuoQualsiasi modifica rilevante deve essere comunicata ad ACN entro 14 giorni dall'evento. Cambia un membro del CDA? Cambia un fornitore critico? Cambia la struttura dei servizi erogati? Va aggiornato il portale. È un obbligo a bassa visibilità ma ad alto rischio di inadempimento silenzioso. Riferimento: Art. 19.

B — Le scadenze specifiche 2026: per chi è entrato nel perimetro quest'anno

Per i soggetti inseriti nell'elenco NIS per la prima volta nel 2026, il calendario è diverso da quello dei soggetti già iscritti nel 2025. La Determinazione ACN n. 127434 del 13 aprile 2026 ha fissato una roadmap dedicata:

  • 30 aprile 2026 — Entrata in vigore della Determina: il quadro normativo diventa pienamente operativo
  • 31 maggio 2026 — Designazione del Sostituto Punto di Contatto e censimento sul Portale ACN (con esonero per organizzazioni con una sola persona)
  • 31 dicembre 2026 — Designazione del Referente CSIRT, con attivazione degli obblighi di notifica incidenti (art. 25-26) e designazione dei sostituti
  • 1 gennaio 2027 — Obbligo di notifica degli incidenti significativi al CSIRT Italia
  • 31 luglio 2027 — Adozione delle Misure di sicurezza (Allegati 1-2) e DNS Security

Attenzione: per i soggetti già iscritti nel 2025 e confermati nel 2026, restano fermi i termini della Det. ACN 379907/2025. Le scadenze della roadmap 2026-2027 sopra non si applicano e non è prevista nessuna proroga.

C — I ruoli chiave sul Portale ACN: non sono figure nominali

La normativa individua tre ruoli con responsabilità distinte, che devono essere persone reali, operative e raggiungibili:

1. Punto di Contatto — Unico firmatario delle dichiarazioni. Agisce su delega del rappresentante legale. Riferisce al vertice e al CDA. Non è una figura tecnica: è un ruolo di governo. (Art. 4 Det. ACN)

2. Referente CSIRT — Interlocutore diretto con CSIRT Italia per le notifiche di incidente (art. 25-26). Deve avere competenze base di sicurezza informatica. È il raccordo operativo tra l'organizzazione e l'autorità in caso di evento critico. (Art. 7 Det. ACN)

3. Organi di Amministrazione e Direzione — Sovrintendono alla registrazione e sono personalmente responsabili delle violazioni. Devono accettare formalmente la propria indicazione tramite il Portale ACN. Questo non è un passaggio burocratico: è il momento in cui il management prende atto della propria esposizione legale. (Art. 23 D.Lgs. 138/2024)

D — La registrazione dei fornitori rilevanti: il nodo più sottovalutato

Il blocco più nuovo e più critico della dashboard riguarda la registrazione dei fornitori rilevanti NIS nell'ambito dell'aggiornamento annuale. Un fornitore è "rilevante" se soddisfa almeno uno di questi criteri:

  • Forniture ICT: riconducibili ai settori degli Allegati I, punti 8-9 del D.Lgs. 138/2024 (infrastrutture digitali, servizi ICT, servizi gestiti)
  • Non fungibilità: impatto significativo in caso di interruzione del servizio e assenza di alternative disponibili

Per ciascun fornitore rilevante vanno comunicati: denominazione e codice fiscale, paese della sede legale, codici CPV (Common Procurement Vocabulary) e il criterio di rilevanza applicato.

La maggior parte delle organizzazioni non ha ancora un inventario strutturato dei propri fornitori ICT critici. Questo è il momento in cui quella lacuna diventa un problema normativo concreto.

Il punto di vista del consultant

La dashboard che abbiamo presentato al webinar non è nata come uno strumento di comunicazione. È nata da un'esigenza pratica: nelle organizzazioni con cui lavoriamo, il primo ostacolo alla compliance NIS2 non è la complessità tecnica delle misure — è la frammentazione delle responsabilità e la perdita di visibilità d'insieme nel tempo.

Il ciclo annuale di adempimenti NIS2 è progettato per essere continuo, non episodico. Ma la cultura operativa della maggior parte delle aziende italiane tratta ancora la compliance come un progetto a termine: si ingaggia una risorsa, si chiude il cerchio, si passa ad altro. Con NIS2 questo approccio non funziona: ogni finestra che si apre presuppone che quella precedente sia stata gestita correttamente.

Il rischio più concreto che vedo oggi è quello dell'inadempimento silenzioso: organizzazioni che credono di essere in regola perché si sono registrate nel 2025, ma che non hanno aggiornato il portale in seguito a cambiamenti organizzativi, non hanno ancora identificato i fornitori rilevanti, e non hanno una persona realmente operativa nel ruolo di Referente CSIRT. ACN ha il potere di verificare a campione — e lo farà.

Cosa fare adesso

  1. Aprire il portale ACN questa settimana e verificare che i dati dell'aggiornamento annuale siano completi: anagrafici, CDA, IP pubblici, domini. La finestra è aperta fino al 31 maggio — ma chi aspetta l'ultima settimana si espone al rischio di sovraccarico della piattaforma, già visto nel 2025.
  2. Avviare l'inventario dei fornitori rilevanti prima di procedere all'aggiornamento: identificare i fornitori ICT critici, verificare i codici CPV, definire il criterio di rilevanza applicabile a ciascuno. È un lavoro che richiede qualche giorno e il coinvolgimento di funzioni diverse (IT, procurement, legal).
  3. Prepararsi alla categorizzazione che si apre dal 1° maggio: mappare le attività e i servizi dell'organizzazione rispetto al perimetro NIS2, con una prima valutazione del livello di esposizione al rischio. Questo lavoro alimenterà sia la categorizzazione che la gap analysis verso le misure di sicurezza base.
  4. Verificare i ruoli sul portale: Punto di Contatto, Referente CSIRT e Organi di Amministrazione devono essere persone reali, aggiornate e operative. Se c'è stato un cambio di management o di struttura organizzativa dall'ultima dichiarazione, va gestito entro 14 giorni dall'evento.
  5. Portare la dashboard al CDA: gli organi di amministrazione sono personalmente responsabili. Devono avere visibilità sullo stato di compliance, sulle scadenze imminenti e sui rischi residui. Una panoramica esecutiva come quella che abbiamo sviluppato è lo strumento giusto per questo tipo di conversazione.

Vuoi ricevere la Dashboard di Conformità NIS completa in formato PDF? Scrivici a info@agilehub.it o visita www.agilehub.it/nis2

Riferimenti normativi: D.Lgs. 138/2024 — Det. ACN 379907/2025 — Det. ACN 127434/2026 — Det. ACN 127437/2026 — Framework Nazionale Cybersicurezza 2025

Continua a leggere

Agile AI ACT

Comitato Scientifico Agile Hub

IA generativa nelle istituzioni pubbliche: il vero rischio non è tecnologico, ma organizzativo

Agile Compliance

Ilaria Logiurato

Linee guida 12 febbraio 2026: uso dei recapiti telefonici per screening sanitario. Cosa devono fare ora le aziende sanitarie?

Agile AI ACT

Barbara Sabellico

Intelligenza Artificiale in azienda e 10 ottobre 2025: una grande opportunità per i datori di lavoro