NIS2: cosa devono fare le aziende italiane nel 2026

Cos’è la NIS2 e perché vi riguarda

La Direttiva (UE) 2022/2555 — nota come NIS2 — è il quadro normativo europeo sulla sicurezza delle reti e dei sistemi informativi. Sostituisce la NIS1 del 2016, ampliando drasticamente il perimetro dei soggetti obbligati e inasprendo le sanzioni. In Italia è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024.

Se pensate che la NIS2 riguardi solo le grandi infrastrutture critiche, vi sbagliate. Il perimetro si è allargato a decine di settori e coinvolge migliaia di aziende italiane che fino a ieri non avevano obblighi di cybersecurity specifici.

Chi è soggetto: entità essenziali e importanti

La NIS2 distingue due categorie di soggetti obbligati:

Entità essenziali

Operatori nei settori ad alta criticità (Allegato I del decreto): energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione servizi ICT B2B, pubblica amministrazione, spazio. Generalmente: imprese con oltre 250 dipendenti o fatturato superiore a 50 milioni di euro in questi settori.

Entità importanti

Operatori in altri settori critici (Allegato II): servizi postali, gestione rifiuti, fabbricazione di dispositivi medici, prodotti chimici, alimentari, elettronica, macchinari, autoveicoli, fornitori di servizi digitali (marketplace, motori di ricerca, social network), ricerca. Soglia: medie imprese (50+ dipendenti o 10+ milioni di fatturato).

Attenzione: alcuni soggetti rientrano nel perimetro indipendentemente dalla dimensione: fornitori di DNS, registri di nomi di dominio TLD, fornitori di servizi fiduciari qualificati, operatori di telecomunicazioni. Se operate in questi ambiti, siete dentro a prescindere dal fatturato.

La registrazione sulla piattaforma ACN era obbligatoria entro il 28 febbraio 2025. Se non vi siete ancora registrati, siete già in ritardo.

Gli obblighi chiave

1. Gestione del rischio (art. 24 D.Lgs. 138/2024)

Dovete adottare misure tecniche, operative e organizzative proporzionate al rischio. Non è una checklist da spuntare: è un approccio basato sull’analisi del rischio che copre almeno:

• Politiche di analisi dei rischi e sicurezza dei sistemi informativi
• Gestione degli incidenti
• Continuità operativa e gestione delle crisi
• Sicurezza della catena di approvvigionamento
• Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi
• Politiche di crittografia e cifratura
• Sicurezza delle risorse umane e controllo degli accessi
• Autenticazione a più fattori (MFA)

2. Segnalazione degli incidenti

Il regime di notifica è tra i più stringenti in Europa. In caso di incidente significativo dovete:

• Entro 24 ore: inviare un early warning al CSIRT Italia (presso ACN) — una pre-notifica che segnala l’incidente senza necessità di analisi completa
• Entro 72 ore: inviare la notifica completa con valutazione iniziale dell’incidente, gravità, impatto e indicatori di compromissione disponibili
• Entro 1 mese: presentare la relazione finale con descrizione dettagliata, causa, misure adottate e impatto transfrontaliero

Un incidente è “significativo” quando causa o può causare gravi perturbazioni operative o perdite finanziarie, oppure può provocare danni considerevoli a persone fisiche o giuridiche.

3. Sicurezza della supply chain

Non basta mettere in sicurezza i vostri sistemi. Dovete valutare e gestire i rischi derivanti dalla vostra catena di fornitura: fornitori IT, cloud provider, sviluppatori software, MSP. Questo significa contratti con clausole di sicurezza specifiche, audit periodici, valutazione delle vulnerabilità dei fornitori critici.

4. Responsabilità degli organi di gestione

Questo è il punto che cambia tutto: gli organi di amministrazione e direzione (CdA, amministratori delegati) sono personalmente responsabili dell’approvazione delle misure di sicurezza e della supervisione della loro attuazione. Devono ricevere formazione specifica in materia di cybersecurity. Non possono delegare e dimenticare.

In caso di violazione, possono essere soggetti a sospensione temporanea dalle funzioni dirigenziali.

ACN: l’autorità competente in Italia

L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità nazionale competente per l’attuazione della NIS2 in Italia. È anche il punto di contatto unico e ospita il CSIRT Italia, che riceve le notifiche degli incidenti.

ACN ha il potere di condurre audit, ispezioni, richiedere informazioni e irrogare sanzioni. A partire dal 2026 può disporre verifiche sui soggetti registrati e applicare misure correttive in caso di non conformità.

Sanzioni: i numeri che contano

Le sanzioni sono differenziate per categoria:

• Entità essenziali: fino a 10 milioni di euro o 2% del fatturato mondiale annuo (si applica l’importo più alto)
• Entità importanti: fino a 7 milioni di euro o 1,4% del fatturato mondiale annuo

Non sono cifre teoriche. La NIS2 prevede espressamente che le sanzioni siano effettive, proporzionate e dissuasive. Con ACN pienamente operativa e la pressione politica sulla cybersecurity dopo gli attacchi ransomware alla PA del 2023-2024, aspettatevi enforcement reale.

La scadenza: ottobre 2026

Entro il 17 ottobre 2026, i soggetti NIS2 devono aver implementato le misure di sicurezza di base definite da ACN. L’Agenzia ha pubblicato le determinazioni con i requisiti minimi nella prima metà del 2025 e sta rilasciando linee guida settoriali.

Ottobre 2026 non è una scadenza per “iniziare a pensarci”. È la data entro cui dovete essere conformi. Se oggi non avete un programma di adeguamento in corso, avete sei mesi. Per un’azienda media, è il tempo minimo necessario.

NIS2, DORA e GDPR: come si incastrano

NIS2 e DORA

Il Regolamento DORA (Digital Operational Resilience Act) si applica specificamente al settore finanziario. Per i soggetti finanziari, DORA prevale come lex specialis: se siete una banca o un’assicurazione, gli obblighi DORA sostituiscono quelli NIS2 per quanto riguarda la gestione del rischio ICT e la segnalazione degli incidenti. Ma la NIS2 resta applicabile per gli aspetti non coperti da DORA.

NIS2 e GDPR

La NIS2 riguarda la sicurezza dei sistemi e delle reti. Il GDPR riguarda la protezione dei dati personali. Si sovrappongono quando un incidente cyber coinvolge dati personali: in quel caso dovete notificare sia al CSIRT Italia (NIS2) sia al Garante Privacy (GDPR). Il Digital Omnibus, approvato dal Parlamento UE a marzo 2026, prevede un portale unico di segnalazione ENISA per unificare queste notifiche — ma non è ancora in vigore.

Cosa fare adesso: 5 passi concreti

1. Verificate se rientrate nel perimetro. Controllate gli Allegati I e II del D.Lgs. 138/2024. Se non vi siete registrati sulla piattaforma ACN, fatelo immediatamente.
2. Conducete un gap assessment. Confrontate le vostre misure attuali con i requisiti minimi pubblicati da ACN. Identificate i delta.
3. Coinvolgete il CdA. La responsabilità degli organi di gestione non è facoltativa. Preparate un briefing per il consiglio, ottenete mandato e budget.
4. Mappate la supply chain. Identificate i fornitori critici, inserite clausole NIS2 nei contratti, pianificate audit.
5. Implementate un processo di incident response. Early warning entro 24 ore significa avere un processo testato, non improvvisare sotto pressione. Fate esercitazioni.

La NIS2 non è l’ennesimo adempimento burocratico da gestire al minimo. È un cambio di paradigma: la cybersecurity diventa un obbligo legale con conseguenze personali per chi amministra l’azienda. Chi si muove adesso ha ancora margine. Chi aspetta, rischia.

Fonti

• Direttiva (UE) 2022/2555 (NIS2) — EUR-Lex
• D.Lgs. 4 settembre 2024, n. 138 — Gazzetta Ufficiale
• Agenzia per la Cybersicurezza Nazionale (ACN)
• Piattaforma di registrazione NIS2 — ACN
• Regolamento DORA (UE) 2022/2554 — EUR-Lex
• Digital Omnibus — Posizione del Parlamento europeo, marzo 2026