Vai al contenuto

NIS2, ottobre si avvicina: cosa fare entro fine 2026

Redazione Xion IT GroupNIS2normativesicurezza informatica

Per le aziende italiane soggette alla direttiva NIS2 il 2026 è l’anno della verità: dal 15 gennaio è operativo l’obbligo di notificare gli incidenti significativi al CSIRT Italia, entro il 31 maggio andavano comunicati ad ACN i fornitori rilevanti, e la scadenza più impegnativa — l’adozione delle misure di sicurezza di base entro il 31 ottobre 2026 — è ormai a quattro mesi di distanza. Chi non si è ancora mosso è in ritardo, ma il tempo per rimediare c’è: a patto di partire subito.

Il calendario NIS2 del 2026, in sintesi

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha scandito l’attuazione della direttiva con determinazioni e scadenze precise:

Le sanzioni non sono simboliche: per i “soggetti importanti” si arriva fino a 7 milioni di euro o all’1,4% del fatturato annuo globale.

Riguarda anche la mia azienda?

Sei nel perimetro NIS2 se operi in uno dei settori degli Allegati I e II (energia, trasporti, sanità, digitale, manifatturiero critico, gestione rifiuti, alimentare, e altri) e superi le soglie dimensionali: almeno 50 dipendenti oppure 10 milioni di euro di fatturato o bilancio.

Ma attenzione all’effetto filiera, che è la novità più sottovalutata: anche le aziende sotto soglia vengono coinvolte quando sono fornitori strategici di un soggetto NIS. Con il censimento dei fornitori rilevanti, i clienti soggetti alla direttiva stanno già chiedendo ai propri partner garanzie contrattuali sulla sicurezza. In pratica: la NIS2 arriva in azienda anche attraverso i questionari dei clienti.

Cosa significa per la tua azienda

Quattro mesi bastano, se il percorso è organizzato. Le priorità:

Domande frequenti

La mia azienda ha 20 dipendenti: la NIS2 non mi riguarda?

Direttamente forse no, ma indirettamente sì se fornisci beni o servizi a soggetti NIS: i tuoi clienti devono censire i fornitori rilevanti e chiederanno garanzie di sicurezza anche a te. Prepararsi ora significa non perdere commesse domani.

Cosa sono le “misure di sicurezza di base” da adottare entro ottobre?

Un insieme di controlli tecnici e organizzativi definiti da ACN: gestione dei rischi e degli accessi, protezione dei sistemi, backup e continuità operativa, gestione degli incidenti, sicurezza della supply chain e formazione del personale. Nulla di esotico: è buona gestione IT, resa obbligatoria.

Da dove comincio se non ho ancora fatto niente?

Da una fotografia onesta dello stato attuale: un assessment dell’infrastruttura e delle procedure rispetto ai requisiti ACN, da cui derivare un piano con priorità e date. È esattamente il tipo di percorso che seguiamo con i nostri clienti, dalla valutazione iniziale gratuita fino alla gestione continuativa.

Vuoi proteggere e far crescere l'IT della tua azienda?

Parliamone: un consulente Xion analizza gratuitamente la tua situazione.