Direttiva NIS2: scadenze operative 2026

Con l’adozione della Determinazione ACN n. 379907/2025, efficace dal 15 gennaio 2026, il 2026 rappresenta l’anno della piena operatività della Direttiva (UE) 2022/2555 (NIS2) in Italia.

Le organizzazioni classificate come soggetti Essenziali o Importanti devono rispettare scadenze precise per garantire la conformità ed evitare sanzioni amministrative.

Le principali scadenze del 2026

15 gennaio 2026 – Entrata in vigore Determinazione ACN 379907/2025

Dal 15 gennaio 2026:

• Diventano operative le modalità di gestione e notifica degli incidenti significativi
• Entrano in vigore le specifiche di base per la resilienza immediata
• Scatta l’obbligo di notifica al CSIRT Italia secondo le nuove tassonomie

1 gennaio – 28 febbraio 2026 – Registrazione o rinnovo sul Portale ACN

Entro questo periodo:

• I soggetti già registrati nel 2025 devono aggiornare i dati, confermare la classificazione e designare il Punto di Contatto e il Referente CSIRT
• Le nuove organizzazioni entrate nel perimetro NIS2 devono effettuare la prima registrazione

Da gennaio 2026 – Obbligo di notifica degli incidenti significativi

L’obbligo decorre dopo 9 mesi dalla comunicazione di inserimento nell’elenco NIS (aprile 2025).

La procedura di notifica si articola in tre fasi:

1. Pre-notifica entro 24 ore dall’evidenza dell’incidente
2. Notifica completa entro 72 ore (gravità, impatti, IOC)
3. Relazione finale entro 1 mese (cause e misure adottate)

Sono considerati incidenti notificabili (Allegati 3 e 4 della Determinazione ACN 379907):

• Perdite di riservatezza e integrità dei dati digitali
• Violazioni di SLA
• Accessi non autorizzati o abuso di privilegi (solo per soggetti essenziali)

---

Febbraio – settembre 2026 – Pubblicazione Linee Guida settoriali ACN

Nel corso del 2026 saranno pubblicate linee guida specifiche per settore con indicazioni operative pratiche, finalizzate a:

• Adattare le misure di sicurezza ai diversi contesti operativi
• Supportare l’implementazione delle misure di base

---

31 ottobre 2026 – Scadenza critica: implementazione delle misure di sicurezza di base

Questa è la scadenza centrale.

L’obbligo decorre dopo 18 mesi dalla comunicazione di inserimento nell’elenco NIS.

Per i soggetti Importanti (Allegato 1 – 37 misure, 87 requisiti)

Le misure coprono:

• Governance (organizzazione della sicurezza, gestione del rischio, politiche)
• Identificazione (asset management, valutazione dei rischi)
• Protezione (controlli di accesso, crittografia, hardening)
• Rilevamento (monitoring, SIEM, vulnerability assessment)
• Risposta (incident response, comunicazioni di crisi)
• Ripristino (backup, disaster recovery)

Per i soggetti Essenziali (Allegato 2 – 43 misure, 116 requisiti)

Devono implementare:

• Tutte le misure previste per i soggetti importanti
• Requisiti aggiuntivi specifici
• Un piano di valutazione dell’efficacia delle misure
• Controlli avanzati sulla supply chain e sulle terze parti

Le misure devono essere effettivamente operative e integrate nei processi aziendali, non semplicemente formalizzate su carta.

Da ottobre 2026 – Avvio attività ispettive ACN

Da ottobre 2026 si passa dalla fase di accompagnamento alla fase di verifica.

Sono previsti:

• Audit documentali
• Verifiche tecniche on-site
• Valutazione dell’effettiva implementazione delle misure
• Applicazione di sanzioni in caso di inadempimenti

---

Responsabilità del management (Art. 23)

La Direttiva NIS2 introduce la responsabilità diretta degli organi di amministrazione (CdA, amministratori, direttori generali) nella governance della cybersecurity.

Il management deve:

• Approvare le modalità di implementazione delle misure di gestione del rischio cyber
• Sovraintendere all’implementazione degli obblighi NIS2
• Seguire formazione specifica in cybersecurity (obbligatoria entro ottobre 2026)
• Promuovere formazione periodica ai dipendenti

---

Regime sanzionatorio

Il D.Lgs. 138/2024 prevede sanzioni amministrative pecuniarie significative.

Per i soggetti Essenziali:

• Violazione obblighi misure di sicurezza: fino a 10.000.000 € o 2% del fatturato
• Violazione obblighi notifica incidenti: fino a 10.000.000 € o 2% del fatturato

Per i soggetti Importanti:

• Violazione obblighi misure di sicurezza: fino a 7.000.000 € o 1,4% del fatturato
• Violazione obblighi notifica incidenti: fino a 7.000.000 € o 1,4% del fatturato

---

Azioni prioritarie immediate

Per garantire la conformità ed evitare sanzioni, le organizzazioni devono avviare immediatamente:

• Gap Analysis strutturata tra processi esistenti e requisiti degli Allegati 1 o 2 della Determinazione ACN 379907/2025
• Implementazione dell’Incident Management con procedure di rilevamento, classificazione e notifica (24h – 72h – 1 mese)
• Formalizzazione dei ruoli chiave: Punto di Contatto NIS, Referente CSIRT, Incident Management Team multidisciplinare
• Assessment della supply chain con classificazione fornitori critici, richiesta certificazioni (es. ISO 27001) e clausole cyber nei contratti
• Piano di formazione per il management in linea con l’Art. 23
• Documentazione di compliance: piani (rischio, formazione, ecc.), politiche, procedure e registri pronti per audit

---

Riferimenti normativi

• Direttiva (UE) 2022/2555 (NIS2)
• D.Lgs. 4 settembre 2024, n. 138 (recepimento NIS2 in Italia, in vigore dal 16 ottobre 2024)
• Determinazione ACN n. 379907/2025 (obblighi di base, efficace dal 15 gennaio 2026)
• Determinazione ACN n. 379887/2025 (Servizi NIS sul Portale ACN)
• Linee Guida ACN – Specifiche di base – Guida alla lettura (31 dicembre 2025)
• Linee Guida ACN – Definizione del processo di gestione degli incidenti (31 dicembre 2025)
• Framework Nazionale per la Cybersecurity e Data Protection (Edizione 2025)