NIS2: il primo semestre 2026 si chiude. Cosa è successo e cosa aspettarsi da ottobre

Il contesto

Il 30 giugno 2026 chiude la finestra di categorizzazione delle attività e dei servizi — il primo adempimento NIS2 davvero nuovo introdotto quest'anno, senza precedenti nel ciclo 2025. È un momento utile per fare il punto: cosa ha prodotto il primo semestre, dove si trovano le organizzazioni in perimetro e cosa significa concretamente la scadenza di ottobre che si avvicina.

Il 2026 è l'anno in cui NIS2 smette di essere un cantiere normativo e diventa un sistema operativo verificabile. Le scadenze si sono susseguite ogni poche settimane. Le Determinazioni ACN hanno aggiunto obblighi nuovi — fornitori rilevanti, categorizzazione, BIA — sopra quelli già esistenti. E in parallelo, ACN ha avviato le prime notifiche ufficiali di classificazione ai soggetti registrati.

Cosa è successo nel primo semestre

Il calendario del primo semestre 2026 ha messo alla prova la tenuta organizzativa di migliaia di soggetti NIS. Ripercorriamo le tappe principali.

Gennaio–Febbraio: dichiarazione annualeIl primo banco di prova dell'anno. Le organizzazioni già iscritte nel 2025 dovevano rinnovare la dichiarazione sul portale ACN, con una bozza precompilata che si cristallizza dopo 10 giorni. Chi non ha presidiato questa finestra ha già una lacuna nel proprio dossier di compliance.

15 Aprile–31 Maggio: aggiornamento annuale con i fornitori rilevantiLa novità più impegnativa del semestre. La Determinazione ACN n. 127437 del 13 aprile 2026 ha introdotto per la prima volta l'obbligo di censire i fornitori rilevanti NIS sul portale: denominazione, codice fiscale, paese di sede legale, codici CPV e criterio di rilevanza applicato. La maggior parte delle organizzazioni non aveva un inventario strutturato dei propri fornitori ICT critici — e lo ha scoperto proprio in questa finestra.

1 Maggio–30 Giugno: categorizzazione delle attività e dei serviziL'adempimento più nuovo e più sottovalutato. La Determinazione ACN n. 155238/2026 ha definito un modello a 10 macro-aree con 4 livelli di rilevanza (minimo, basso, medio, alto). Ogni soggetto NIS ha dovuto mappare le proprie attività, associarle alle macro-aree e attribuire la categoria di rilevanza — confermando quella pre-assegnata o scostándosi da essa con una valutazione d'impatto (BIA) documentata.

Giugno: le prime notifiche ufficiali ACNIn parallelo alla finestra di categorizzazione, ACN ha avviato l'invio delle prime notifiche ufficiali ai soggetti registrati, confermando la classificazione come soggetto essenziale o importante e comunicando gli obblighi specifici applicabili. Non è una formalità: da quella lettera decorrono i termini formali per le misure di sicurezza. Chi l'ha ricevuta sa con certezza dove si trova nel percorso.

Cosa cambia in pratica: il bilancio reale

Al netto delle scadenze formali, il primo semestre ha prodotto tre effetti concreti che vale la pena nominare.

1. La categorizzazione ha reso visibile l'organizzazionePer molte aziende, il processo di mappatura delle attività e dei servizi è stato il primo esercizio strutturato di analisi interna. Non tutte sapevano descrivere con precisione quali processi dipendono da quali sistemi informativi, quali fornitori sono davvero critici e dove si concentra il rischio operativo. NIS2 ha reso questo esercizio obbligatorio — e in molti casi utile al di là della compliance.

2. I fornitori rilevanti hanno aperto un fronte nuovoIl censimento dei fornitori ICT critici ha portato alla luce contratti senza clausole di sicurezza, fornitori senza misure documentate e dipendenze non fungibili mai formalizzate. Questo non è un problema che si risolve compilando un campo sul portale: richiede una revisione contrattuale e un processo di monitoraggio continuo.

3. La responsabilità del management è diventata concretaGli organi di amministrazione e direzione sono personalmente responsabili delle violazioni NIS2. Nel primo semestre molti CDA hanno preso atto di questa esposizione per la prima volta — spesso in occasione della dichiarazione annuale o dell'accettazione formale sul portale ACN. Chi non l'ha ancora fatto ha tempo fino a ottobre per strutturare una governance adeguata.

Il punto di vista del consultant

Il dato che emerge con più chiarezza dal primo semestre non è il numero di adempimenti completati: è la qualità con cui sono stati completati.

Molte organizzazioni hanno rispettato le scadenze in modo formale — hanno caricato i dati, hanno compilato i campi, hanno inviato le dichiarazioni. Poche hanno colto l'occasione per costruire qualcosa di strutturale: un inventario reale dei fornitori critici, una gap analysis seria rispetto alle misure minime, un processo di governance che coinvolga davvero il management.

La differenza tra i due approcci diventerà evidente a ottobre — e nelle verifiche ACN che seguiranno. ACN ha il potere di effettuare controlli a campione e di richiedere la documentazione a supporto di ogni dichiarazione. Non basta aver inviato la categorizzazione: bisogna poter dimostrare come si è arrivati a quella valutazione, con quali dati, approvata da chi.

Cosa aspettarsi da ottobre

La scadenza del 1° ottobre 2026 riguarda le misure di sicurezza tecniche e organizzative previste dagli articoli 23 e 24 del D.Lgs. 138/2024. Le misure minime sono definite dagli Allegati 1 e 2 della Determinazione ACN 379907/2025 e si basano sul Framework Nazionale per la Cybersicurezza — adattamento italiano del NIST CSF 2.0.

Concretamente, le organizzazioni devono dimostrare di aver adottato misure adeguate in aree come: gestione del rischio cyber, sicurezza della supply chain, gestione degli incidenti, continuità operativa, sicurezza delle risorse umane, controllo degli accessi, crittografia e autenticazione.

Il termine "adeguate" non è generico: la categorizzazione appena completata determina il livello di proporzionalità richiesto. Chi ha ottenuto categorie di rilevanza alta sarà soggetto a misure più stringenti. Chi ha documentato scostamenti dalla pre-assegnazione con una BIA dovrà coerentemente dimostrare misure calibrate su quella valutazione.

Tre mesi non sono molti. Chi non ha ancora avviato una gap analysis strutturata rispetto agli Allegati 1 e 2 deve farlo adesso — non a settembre.

Cosa fare adesso

1. Verificare la qualità della categorizzazione inviata: non limitarsi a confermare che sia stata caricata, ma controllare che la documentazione a supporto — specialmente per gli scostamenti dalla categoria pre-assegnata — sia conservata e accessibile.
2. Avviare o completare la gap analysis: confrontare lo stato attuale delle misure di sicurezza con gli Allegati 1 e 2 della Det. ACN 379907/2025. Questo è il lavoro che alimenta il piano di adeguamento verso ottobre.
3. Strutturare la governance NIS2 a livello di board: la notifica ufficiale ACN, se già ricevuta, deve essere portata all'attenzione degli organi di amministrazione con un aggiornamento formale sullo stato di compliance e sui rischi residui.
4. Avviare la revisione dei contratti con i fornitori rilevanti: inserire clausole di sicurezza NIS, definire i requisiti minimi e pianificare audit periodici. Questo processo richiede mesi — iniziare adesso significa poter dimostrare progressi concreti a ottobre.
5. Costruire il dossier documentale: le misure di sicurezza devono essere non solo implementate, ma dimostrabili. Politiche, procedure, verbali di approvazione del CDA, risultati della gap analysis — tutto deve essere in ordine e accessibile in caso di verifica.

Riferimenti normativi: D.Lgs. 138/2024 — Det. ACN 379907/2025 — Det. ACN 127434/2026 — Det. ACN 127437/2026 — Det. ACN 155238/2026 — Framework Nazionale Cybersicurezza 2025

Per un confronto sul tuo percorso di adeguamento NIS2: info@agilehub.it — www.agilehub.it/agile-nis2