Direttiva NIS2: stato dell’arte 2026 e scadenze operative da rispettare

Il 2026 non è un anno qualunque per la cybersecurity: è il momento in cui la Direttiva NIS2 diventa davvero operativa in Italia, grazie al recepimento tramite il D.Lgs. 138/2024.

La sicurezza informatica smette di essere un tema “solo IT” e diventa parte integrante del risk management aziendale, coinvolgendo ben 18 settori critici: dalla sanità alla pubblica amministrazione, passando per energia, trasporti e finanza.

Governance: i vertici non possono più fare finta di niente

Una delle novità più importanti? La responsabilità diretta del management. L’articolo 23 del decreto è chiaro: il CdA e gli amministratori devono scendere in campo. Non basta delegare ai tecnici: i vertici devono:

• Formarsi: corsi obbligatori per capire gli scenari cyber e leggere i report di rischio, da completare entro ottobre 2026.
• Approvare le politiche di sicurezza: non più documenti lasciati nel cassetto, ma strategie firmate e deliberate.
• Assumersi la responsabilità: in caso di violazioni, le sanzioni non colpiscono solo l’azienda, ma anche i dirigenti, con rischi personali e perfino interdizioni.

Messaggio chiaro: se un dirigente ignora i rischi, il rischio ignora il dirigente.

Le scadenze chiave del 2026

Per non perdersi tra date e obblighi, ecco il calendario operativo:

Incident Response: tempi serrati e multe salate

Dal 1° gennaio 2026, ogni incidente va notificato al CSIRT Italia con tempistiche precise:

• Pre-notifica entro 24 ore: una descrizione rapida e indicazione se è malevolo o transfrontaliero.
• Notifica completa entro 72 ore: gravità stimata e indicatori di compromissione.
• Relazione finale entro un mese: analisi delle cause, misure adottate e impatto.

Chi non rispetta i tempi rischia multe pesanti: fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, e fino a 7 milioni o l’1,4% per quelli importanti.

Misure tecniche: cosa attuare davvero

La Determina ACN 164179 definisce le regole del gioco: 37 misure e 87 requisiti per i soggetti importanti, 43 misure e 116 requisiti per quelli essenziali. Si parla di:

• MFA (autenticazione a più fattori)
• Segmentazione delle reti
• Cifratura dei dati
• Clausole di sicurezza nei contratti con i fornitori
• Test di business continuity e disaster recovery

In pratica, tutto il ciclo del framework nazionale: Governance, Identificazione, Protezione, Rilevamento, Risposta, Ripristino.

Controlli e vigilanza: il GDPR insegna

L’esperienza del GDPR ci ha insegnato che i controlli non arrivano mai “a sorpresa”, ma colpiscono duramente chi non è preparato. Con la NIS2, l’ACN adotterà un approccio differenziato: controlli preventivi per i soggetti essenziali e verifiche post-evento per i soggetti importanti, soprattutto a seguito di incidenti significativi o segnalazioni.

Le modalità richiamano da vicino le ispezioni già viste in ambito privacy: richieste documentali, valutazioni delle misure tecniche e organizzative, audit sul campo. Il messaggio è chiaro: la conformità va dimostrata prima, non costruita in emergenza quando l’autorità bussa alla porta.

Cosa fare subito

Per evitare di trovarsi impreparati di fronte alle prime scadenze operative, è fondamentale avviare da subito attività chiave, che costituiscono la base di un percorso di conformità concreto.

• Gap analysis: avviare una valutazione strutturata confrontando i processi e le misure di sicurezza esistenti con i requisiti definiti dall’ACN. L’obiettivo non è solo capire “cosa manca”, ma anche prioritizzare gli interventi in base al rischio e all’impatto operativo.
• Formalizzate i ruoli: la NIS2 richiede responsabilità chiare. Nominate un referente per le comunicazioni con il CSIRT/ACN e costituite un Incident Management Team multidisciplinare (IT, sicurezza, legale, comunicazione), con ruoli, escalation e procedure formalizzate e testate.
• Gestione dei fornitori: la sicurezza della supply chain è un punto critico. Classificate i vendor in base alla criticità dei servizi erogati, richiedete evidenze di sicurezza (come certificazioni ISO/IEC 27001 o equivalenti) e inserite nei contratti clausole cyber su gestione degli incidenti, obblighi di notifica e diritto di audit. La NIS2 non ammette più zone d’ombra sui fornitori strategici.

NIS2 2026: l’anno dell’operatività

Prepararsi alla NIS2 non è solo evitare sanzioni: significa garantire continuità operativa, fiducia e resilienza. Ma c’è di più: questa direttiva non è un ostacolo burocratico, è un’opportunità strategica. Perché?

• Resilienza come vantaggio competitivo: in un mercato dove gli attacchi informatici crescono in complessità e frequenza, essere pronti non è solo difendersi, è dimostrare solidità. Un’azienda che gestisce bene il rischio cyber ispira fiducia a clienti, partner e investitori.
• Governance evoluta: la NIS2 obbliga i vertici a comprendere il rischio digitale. Questo significa che la cybersecurity entra nel cuore delle decisioni aziendali, diventando parte integrante della strategia, non più un costo tecnico da ridurre.
• Effetto reputazione: chi subisce un data breach oggi non perde solo dati, perde credibilità. Prepararsi alla NIS2 riduce il rischio di incidenti e, di conseguenza, tutela il brand.
• Innovazione e compliance: adottare le misure richieste spinge le aziende a modernizzare infrastrutture e processi. In altre parole, la conformità diventa un acceleratore di innovazione.

Chi si muove ora, non solo rispetta la legge, ma costruisce un ecosistema più sicuro, agile e competitivo. In un mondo dove la fiducia è la nuova moneta, la NIS2 è il biglietto d’ingresso per restare rilevanti.

Di Luca Benatti - Head Of Business Development

Metti in sicurezza governance e misure NIS2: parlane con i nostri esperti.