NIS2 in Italia: siamo nell'anno zero dell'applicazione della normativa. Cosa rischi se sei in ritardo?

Il contesto

Il 2026 non è l'anno in cui "bisogna cominciare a pensare a NIS2". È l'anno in cui NIS2 diventa un sistema operativo verificabile, con scadenze che si susseguono ogni pochi mesi e sanzioni reali sul tavolo. In Italia, con oltre 20.000 organizzazioni nel perimetro della direttiva, il primo ciclo di adeguamento è già in pieno svolgimento — ma il mercato si divide nettamente tra chi ha strutturato un programma serio e chi è ancora in modalità "aspettiamo di vedere cosa succede".

Il D.Lgs. 138/2024 ha recepito NIS2 in Italia a partire dal 16 ottobre 2024. L'ACN — Agenzia per la Cybersicurezza Nazionale — è l'autorità competente e ha il potere di condurre ispezioni, richiedere documentazione e irrogare sanzioni. Non è un'autorità simbolica: ha costruito un sistema di notifiche digitali, piattaforme di registrazione e determinazioni operative che stanno entrando in vigore scadenza dopo scadenza.

Il fatto che molte aziende abbiano registrato picchi di iscrizioni solo in prossimità delle scadenze — con il picco massimo a fine febbraio 2025 e l'ACN costretta ad aprire una finestra aggiuntiva — la dice lunga sulla maturità media del mercato. Ma la fase del "rush" è finita. Adesso cominciamo a parlare di compliance sostanziale, non solo formale.

Cosa cambia in pratica

Il 2026 segue una sequenza precisa di scadenze che ogni organizzazione soggetta a NIS2 deve presidiare:

Gennaio–Febbraio 2026: rinnovo delle registrazioni
Le organizzazioni già registrate nel 2025 dovevano rinnovare la dichiarazione sulla piattaforma ACN, confermando o aggiornando i dati comunicati. I nuovi soggetti entrati nel perimetro dovevano effettuare la prima registrazione nello stesso periodo. L'ACN ha introdotto un sistema di dichiarazioni precompilate con validazione digitale da parte del legale rappresentante. Chi non ha rinnovato nei termini è già tecnicamente in violazione.

Dal 15 gennaio 2026: obbligo pieno di notifica degli incidenti
Dalla metà di gennaio, i soggetti importanti ed essenziali devono notificare al CSIRT Italia gli incidenti "significativi" secondo le modalità definite dalla Determinazione ACN n. 164179 del 14 aprile 2025. L'obbligo è operativo: 24 ore per l'early warning, 72 ore per il report completo, un mese per il report finale.

Aprile–Maggio 2026: aggiornamento dati specifici
DNS provider, data center, motori di ricerca online e categorie assimilate devono aggiornare sulla piattaforma ACN i dati aggiuntivi previsti dall'art. 7 del decreto.

Maggio–Giugno 2026: dichiarazione delle attività e dei servizi
Tutti i soggetti devono fornire o aggiornare l'elenco delle attività e servizi rilevanti per la loro categorizzazione. Questa dichiarazione è la base su cui ACN assegna le categorie di importanza.

Ottobre 2026: scadenza per le misure di sicurezza tecniche e organizzative
Entro il 1° ottobre 2026, le organizzazioni devono dimostrare la conformità agli obblighi di governance e risk management cybersecurity previsti dagli art. 23 e 24 del decreto. Le misure tecniche minime saranno definite dagli annex tecnici ACN, basati sul Framework Nazionale per la Cybersicurezza (FNCS, adattamento italiano del NIST CSF 2.0).

Sul fronte delle sanzioni:

• Soggetti essenziali: fino a €10 milioni o il 2% del fatturato annuo globale
• Soggetti importanti: fino a €7 milioni o l'1,4% del fatturato annuo globale
• Pubbliche amministrazioni essenziali: da €25.000 a €125.000
• PA importanti: da €8.300 a €41.600

Il punto di vista del consultant

Il dato che colpisce di più, nel primo anno di applicazione italiana di NIS2, non è il numero di iscrizioni: è la qualità della risposta organizzativa. In molte aziende ho rilevato due problemi sistemici che si ripetono:

La disconnessione tra IT e governance. In circa un'organizzazione su tre, il management non è stato coinvolto nel processo di compliance NIS2. Questo è un errore con conseguenze concrete: sotto NIS2, gli organi di amministrazione e direzione sono personalmente responsabili dell'approvazione e supervisione delle misure di gestione del rischio. Non è una responsabilità delegabile all'IT manager.

La sottovalutazione della supply chain. NIS2 obbliga le organizzazioni a presidiare la sicurezza dei propri fornitori ICT. Nella pratica, pochissimi soggetti hanno già avviato una revisione sistematica dei contratti e delle posture di sicurezza dei loro vendor. Eppure il rischio è reale: secondo il Rapporto Clusit 2025, gli attacchi gravi in Italia sono cresciuti del 23% nell'ultimo anno, con PMI e supply chain come bersagli primari.

C'è anche un punto che Milena Rizzi (ACN) ha sottolineato direttamente al convegno Clusit di dicembre 2025: l'agenzia non si aspetta che le aziende aspettino l'ultimo momento per il rinnovo 2026, così come hanno fatto nel 2025. Il segnale è chiaro: ACN sta aumentando l'intensità dei controlli.

Cosa fare adesso

1. Verificare immediatamente lo stato della registrazione 2026: se non si è rinnovata la dichiarazione ACN entro febbraio, contattare l'agenzia o un consulente per capire le opzioni disponibili prima che la situazione si aggravi.
2. Attivare il processo di notifica incidenti: implementare o aggiornare le procedure operative per la segnalazione al CSIRT Italia. Testare il processo con un esercizio tabletop prima che avvenga un incidente reale.
3. Coinvolgere il board nella governance NIS2: presentare al CDA o all'organo di amministrazione competente un aggiornamento formale sullo stato di compliance, i rischi residui e le scadenze imminenti. Documentare questa attività.
4. Avviare la due diligence sulla supply chain ICT: identificare i fornitori critici, verificare i contratti per l'inclusione di clausole di sicurezza, richiedere evidenze della loro postura di sicurezza.
5. Costruire il dossier documentale in vista di ottobre 2026: le misure tecniche devono essere non solo implementate, ma documentate e verificabili. Iniziare oggi significa avere sei mesi per costruire un dossier robusto; aspettare settembre significa affidarsi alla fortuna.

‍