Per le aziende italiane soggette alla direttiva NIS2 il 2026 è l’anno della verità: dal 15 gennaio è operativo l’obbligo di notificare gli incidenti significativi al CSIRT Italia, entro il 31 maggio andavano comunicati ad ACN i fornitori rilevanti, e la scadenza più impegnativa — l’adozione delle misure di sicurezza di base entro il 31 ottobre 2026 — è ormai a quattro mesi di distanza. Chi non si è ancora mosso è in ritardo, ma il tempo per rimediare c’è: a patto di partire subito.
Il calendario NIS2 del 2026, in sintesi
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha scandito l’attuazione della direttiva con determinazioni e scadenze precise:
- 15 gennaio 2026 — obbligo attivo di notifica degli incidenti significativi al CSIRT Italia, con le tempistiche strette previste dalla norma (pre-notifica entro 24 ore, notifica entro 72).
- 31 maggio 2026 — comunicazione ad ACN dei fornitori terzi strategici: la Determinazione 127437/2026 richiede l’elenco dei “fornitori rilevanti NIS” con dati anagrafici, codici CPV e criterio di rilevanza.
- 31 ottobre 2026 — completamento dell’adozione delle misure di sicurezza di base: dalle politiche di gestione dei rischi alla continuità operativa, dai backup alla formazione.
- Chi è stato inserito nel perimetro nel corso del 2026 ha tempi propri: notifiche dal 1° gennaio 2027 e misure entro il 31 luglio 2027.
Le sanzioni non sono simboliche: per i “soggetti importanti” si arriva fino a 7 milioni di euro o all’1,4% del fatturato annuo globale.
Riguarda anche la mia azienda?
Sei nel perimetro NIS2 se operi in uno dei settori degli Allegati I e II (energia, trasporti, sanità, digitale, manifatturiero critico, gestione rifiuti, alimentare, e altri) e superi le soglie dimensionali: almeno 50 dipendenti oppure 10 milioni di euro di fatturato o bilancio.
Ma attenzione all’effetto filiera, che è la novità più sottovalutata: anche le aziende sotto soglia vengono coinvolte quando sono fornitori strategici di un soggetto NIS. Con il censimento dei fornitori rilevanti, i clienti soggetti alla direttiva stanno già chiedendo ai propri partner garanzie contrattuali sulla sicurezza. In pratica: la NIS2 arriva in azienda anche attraverso i questionari dei clienti.
Cosa significa per la tua azienda
Quattro mesi bastano, se il percorso è organizzato. Le priorità:
- Verifica il perimetro: controlla settore e soglie dimensionali, e chiediti se qualche tuo cliente ti ha già indicato (o potrebbe indicarti) come fornitore rilevante.
- Parti dalle misure con doppio beneficio: gestione degli accessi e MFA, aggiornamenti sistematici, backup testato e fuori sede, difese di rete — sono richieste dalla NIS2 e riducono davvero il rischio, indipendentemente dagli obblighi.
- Prepara la gestione degli incidenti: con finestre di notifica di 24-72 ore serve saper rilevare un incidente e avere una procedura pronta; il monitoraggio continuo dei sistemi è il prerequisito.
- Documenta tutto: la conformità si dimostra con policy, registri e verifiche periodiche — lo stesso principio di accountability già visto con il GDPR, con cui la NIS2 condivide l’impianto.
Domande frequenti
La mia azienda ha 20 dipendenti: la NIS2 non mi riguarda?
Direttamente forse no, ma indirettamente sì se fornisci beni o servizi a soggetti NIS: i tuoi clienti devono censire i fornitori rilevanti e chiederanno garanzie di sicurezza anche a te. Prepararsi ora significa non perdere commesse domani.
Cosa sono le “misure di sicurezza di base” da adottare entro ottobre?
Un insieme di controlli tecnici e organizzativi definiti da ACN: gestione dei rischi e degli accessi, protezione dei sistemi, backup e continuità operativa, gestione degli incidenti, sicurezza della supply chain e formazione del personale. Nulla di esotico: è buona gestione IT, resa obbligatoria.
Da dove comincio se non ho ancora fatto niente?
Da una fotografia onesta dello stato attuale: un assessment dell’infrastruttura e delle procedure rispetto ai requisiti ACN, da cui derivare un piano con priorità e date. È esattamente il tipo di percorso che seguiamo con i nostri clienti, dalla valutazione iniziale gratuita fino alla gestione continuativa.