NIS2 in Italia: gli adempimenti del 2026 e la corsa verso il 31 ottobre

Questo articolo ricostruisce il quadro degli adempimenti che amministratori e responsabili compliance devono presidiare quest'anno, con particolare attenzione a due passaggi che hanno cambiato la natura del lavoro richiesto — la comunicazione dell'elenco fornitori e la categorizzazione delle attività — e a ciò che davvero conta in vista della scadenza di ottobre: l'adozione delle misure di sicurezza di base.

Il quadro normativo di riferimento

La Direttiva (UE) 2022/2555 è stata recepita nell'ordinamento italiano con il D.Lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. Il decreto estende gli obblighi di sicurezza informatica a diciotto settori — undici altamente critici e sette critici — coinvolgendo oltre ottanta tipologie di soggetti pubblici e privati, classificati come essenziali o importanti a seconda della loro rilevanza sistemica e dimensionale.

L'autorità competente è l'Agenzia per la Cybersicurezza Nazionale (ACN), che ha consolidato la cornice operativa attraverso una serie di determinazioni: quelle di fine 2025 disciplinano il funzionamento della Piattaforma NIS e fissano le misure di sicurezza di base e gli incidenti significativi di base; quelle di aprile 2026 hanno introdotto i due nuovi obblighi informativi su fornitori e categorizzazione delle attività. È un dettaglio importante per chi si occupa di compliance: il quadro non è statico, ma viene precisato per determinazioni successive che incidono su tempi e modalità concrete.

Un aspetto spesso frainteso riguarda la decorrenza delle scadenze. I termini non sono date universali fisse uguali per tutti, ma decorrono dalla comunicazione individuale di inserimento nell'elenco nazionale NIS. Per la prima ondata di soggetti, notificata intorno ad aprile 2025, il termine di diciotto mesi per l'adozione delle misure di sicurezza di base si concentra a ottobre 2026; chi è stato inserito più tardi dispone di un termine corrispondentemente protratto. I soggetti già presenti nell'elenco 2025 non beneficiano di proroghe, mentre per i nuovi soggetti entrati nel 2026 è previsto un percorso graduale, con l'adozione delle misure spostata al 2027.

Il calendario annuale: tre finestre da non confondere

Il primo errore da evitare è trattare la NIS2 come un adempimento una tantum. La normativa impone obblighi informativi ricorrenti, scanditi da finestre temporali annuali che operano su piani autonomi e cumulativi. Confonderli espone a violazioni distinte e, in caso di incidente o ispezione, indebolisce la posizione dell'ente. Le finestre principali sono tre:

• 1° gennaio – 28 febbraio: registrazione o rinnovo annuale sulla Piattaforma NIS. I soggetti già iscritti confermano o aggiornano i dati; i nuovi soggetti effettuano la prima iscrizione. Attendere gli ultimi giorni è fortemente sconsigliato, dato il sovraccarico della piattaforma già osservato.
• 15 aprile – 31 maggio: aggiornamento informativo annuale, che comprende i dati sugli organi di amministrazione e direzione, gli indirizzi IP pubblici e statici, i nomi a dominio in uso, oltre alla designazione del sostituto del punto di contatto. È in questa finestra che si colloca il nuovo obbligo di comunicazione dell'elenco fornitori.
• 1° maggio – 30 giugno: comunicazione e aggiornamento della categorizzazione delle attività e dei servizi.

A queste si aggiunge l'obbligo di aggiornamento continuo, da effettuare entro quattordici giorni da ogni evento modificativo rilevante. Sul fronte della gestione degli incidenti, il regime di notifica al CSIRT Italia è pienamente operativo dal 15 gennaio 2026, con la sua sequenza di pre-notifica entro 24 ore, notifica entro 72 ore, eventuali relazioni intermedie e relazione finale entro un mese.

Primo adempimento: l'elenco dei fornitori rilevanti

La presentazione dell'elenco dei fornitori rilevanti è una delle novità più significative del 2026, perché sposta l'asse della conformità dal perimetro interno dell'organizzazione all'intera catena di approvvigionamento. L'adempimento si svolge nell'ambito dell'aggiornamento annuale, nella finestra 15 aprile – 31 maggio, e consiste nell'identificare, sulla piattaforma ACN, i fornitori della propria supply chain che — per le caratteristiche dei servizi erogati — sono rilevanti ai fini della sicurezza informatica della filiera. Non è quindi una procedura straordinaria, ma una componente del ciclo informativo ordinario.

La logica sottostante è precisa: estendere la cultura della cybersicurezza lungo tutta la catena, evitando che un soggetto NIS esponga le proprie infrastrutture a vulnerabilità ereditate da terze parti, e consentire all'autorità di individuare quei fornitori che — per il ruolo svolto — potrebbero a loro volta essere qualificati come soggetti essenziali o importanti.

Sono considerati fornitori rilevanti quelli riconducibili a una di tre categorie:

A. Fornitori di infrastrutture digitali. Rientrano qui i punti di interscambio internet, i servizi DNS (esclusi gli operatori dei server dei nomi radice), i gestori di registri dei nomi di dominio di primo livello, i servizi di cloud computing e i data center, le reti di distribuzione dei contenuti, i prestatori di servizi fiduciari e le reti e i servizi di comunicazione elettronica accessibili al pubblico.

B. Fornitori di servizi TIC in ambito B2B. In particolare i fornitori di servizi gestiti (MSP) e di servizi di sicurezza gestita (MSSP), cioè quei soggetti che amministrano in tutto o in parte i sistemi del cliente e che, proprio per questo, rappresentano un punto di accesso privilegiato.

C. Fornitori critici per continuità del servizio. Si tratta dei fornitori di attività, servizi o prodotti la cui interruzione o compromissione inciderebbe in modo significativo sulla capacità del soggetto NIS di erogare i propri servizi rilevanti, anche in assenza di alternative immediatamente disponibili. È la categoria più aperta e quella che richiede maggiore lavoro di analisi, perché impone di ragionare in termini di dipendenze operative reali e non di semplici relazioni contrattuali.

Per chi si occupa di compliance, l'avvertenza pratica è che la mappatura non si esaurisce in un elenco da caricare a portale. È il presupposto di un lavoro più ampio sulla supply chain: aggiornamento delle clausole contrattuali con requisiti minimi di sicurezza, obblighi di notifica, diritto di audit ed exit strategy, fino al monitoraggio periodico. L'inserimento di una clausola, da solo, non basta: il controllo va esercitato attraverso attestazioni, campionamenti e verifiche di conformità.

Secondo adempimento: la categorizzazione delle attività e dei servizi

Il secondo nuovo obbligo, anch'esso introdotto nel 2026, riguarda la categorizzazione delle attività e dei servizi svolti dal soggetto NIS. Si svolge nella finestra 1° maggio – 30 giugno e impone a ciascun ente due passaggi: individuare tutte le attività e i servizi supportati, erogati o gestiti mediante sistemi informativi e di rete, e ricondurli alle macro-categorie definite dal modello ACN.

Il modello articola le attività in dieci macro-aree e prevede quattro categorie di rilevanza — impatto minimo, basso, medio e alto. Lo scopo è consentire all'autorità di determinare, in una fase successiva, quali sistemi informativi dovranno essere assoggettati a misure di sicurezza più stringenti. La categorizzazione è quindi la premessa metodologica delle misure di sicurezza a lungo termine che ACN definirà in seguito, modulate sul principio di proporzionalità e gradualità in funzione della rilevanza assegnata.

Due precisazioni utili. La prima: le entità finanziarie soggette al Regolamento DORA sono escluse da questo adempimento, in quanto la categorizzazione si considera assolta nell'ambito di quel regime. La seconda: l'esercizio non è puramente formale. Per ricondurre correttamente i servizi alle macro-aree è necessario un inventario degli asset informativi e una perimetrazione accurata dei sistemi rilevanti — lo stesso lavoro che alimenta, a monte, la gap analysis sulle misure di sicurezza.

Verifiche di conformità e regime sanzionatorio

ACN effettua controlli a campione sugli elenchi trasmessi, anche per raffronto con soggetti comparabili. In assenza di un esito negativo comunicato entro 90 giorni — prorogabili di altri 90 in caso di richieste istruttorie — l'elenco si intende convalidato.

Sul piano sanzionatorio, il decreto costruisce un sistema proporzionato alla categoria del soggetto. Per le violazioni più gravi — relative a obblighi degli organi di amministrazione, misure di sicurezza e notifica degli incidenti — le sanzioni amministrative pecuniarie arrivano fino a 10 milioni di euro o, se superiore, al 2% del fatturato mondiale annuo per i soggetti essenziali, e fino a 7 milioni o all'1,4% del fatturato per i soggetti importanti. Per le violazioni minori, come la mancata registrazione o comunicazione dei dati, i massimali si attestano su percentuali più contenute del fatturato. In caso di inottemperanza alle diffide possono aggiungersi sanzioni accessorie di natura personale, inclusa l'incapacità temporanea a svolgere funzioni dirigenziali.

L'approccio ispettivo, peraltro, ricalca quello già sperimentato in ambito GDPR: richieste documentali, valutazione delle misure tecniche e organizzative, audit on site. È un punto che gli organi di vertice farebbero bene a interiorizzare, perché la responsabilità sulla cybersicurezza non è più delegabile alla sola funzione tecnica.

La chiusa che conta: le misure di sicurezza di base entro il 31 ottobre 2026

Tutti gli adempimenti descritti convergono su un'unica scadenza: il 31 ottobre 2026, termine ultimo per la piena operatività delle misure di sicurezza di base per la prima ondata di soggetti. Da quella data, ACN transita dalla fase di accompagnamento a quella di vigilanza ispettiva e sanzionatoria. È il momento in cui la conformità smette di essere un progetto e diventa una condizione da dimostrare.

Le misure di base non sono un elenco arbitrario, ma derivano direttamente dall'art. 24 del decreto, che impone un approccio all-hazard: non solo gli attacchi cyber, ma l'intero spettro delle fonti di danno — errori umani, guasti, eventi fisici e ambientali, interruzioni nella supply chain. Il catalogo minimo comprende, in sintesi:

• politiche di analisi e gestione del rischio;
• gestione degli incidenti;
• continuità operativa, backup, disaster recovery e gestione delle crisi;
• sicurezza della catena di approvvigionamento;
• sicurezza nell'acquisizione, sviluppo e manutenzione dei sistemi;
• procedure per valutare l'efficacia delle misure adottate;
• igiene cyber di base e formazione del personale;
• politiche e procedure per l'uso della crittografia;
• sicurezza delle risorse umane, controllo degli accessi e gestione degli asset;
• autenticazione a più fattori, comunicazioni protette e sistemi di comunicazione di emergenza.

Sul piano dell'intensità, l'allegato dedicato ai soggetti importanti raccoglie 37 misure articolate in 87 requisiti, mentre quello per i soggetti essenziali ne prevede 43, per 116 requisiti. Le misure sono organizzate secondo i cluster del Framework Nazionale — Governance, Identificazione, Protezione, Rilevamento, Risposta, Ripristino.

C'è un punto che merita attenzione particolare, perché spesso interpretato male. Nel modello ACN l'analisi del rischio non è il criterio per selezionare quali misure adottare: le misure di base restano obbligatorie per tutti. L'analisi del rischio serve a modulare la profondità e la configurazione di ciascuna misura rispetto al contesto operativo. In altre parole, un'organizzazione non può invocare una bassa esposizione per disapplicare una misura: deve dimostrare di averla implementata in modo coerente con la propria realtà. È una distinzione decisiva sotto il profilo ispettivo.

La parola chiave di questa fase finale è infatti dimostrabilità. Le misure non possono essere implementate all'ultimo momento, né come controlli isolati, perché la loro logica è cumulativa: la governance abilita il risk management, che orienta le misure tecniche, che vanno testate, producendo evidenze che alimentano il miglioramento continuo. La conformità richiede un duplice livello di prova: quello formale — policy, elenchi aggiornati, responsabilità assegnate, procedure approvate con delibera — e quello sostanziale — la motivazione delle scelte, le priorità di intervento, la coerenza con l'analisi del rischio. Una misura adottata sulla carta ma sistematicamente elusa nella pratica non soddisfa il requisito di adeguatezza e proporzionalità.

Per chi parte ora, l'approccio più realistico prevede tre livelli temporali sovrapposti: interventi rapidi nei primi 60 giorni, hardening strutturale tra i 60 e i 180 giorni, consolidamento della maturità oltre i 180 giorni. Ogni misura dovrebbe avere un owner identificato, una scadenza, un criterio di accettazione e una prova attesa. Non per burocrazia, ma perché — senza evidenze — non esiste conformità verificabile.

Il messaggio di fondo, ribadito più volte dall'autorità, è che con oltre ventimila organizzazioni nel perimetro un accumulo generalizzato di adempimenti nelle ultime settimane sarebbe ingestibile: mancherebbero consulenti qualificati, tempo per il testing e capacità di produrre le evidenze richieste. La NIS2 non è una casella da spuntare, ma un percorso di maturazione continua verso la resilienza. Il 31 ottobre 2026 non è il traguardo: è il punto da cui l'autorità inizia a verificare se quel percorso è stato realmente avviato.