Indice

Introduzione

Molte aziende italiane stanno entrando nel 2026 con un problema di compliance che non sanno ancora di avere. Si chiama NIS 2 ed è la direttiva europea sulla sicurezza informatica che l'Italia ha recepito con il D.Lgs. 138 del 4 settembre 2024, entrato in vigore il 16 ottobre dello stesso anno. Dalla carta alla pratica, però, la distanza è sempre significativa: e in questo caso gli obblighi concreti sono diventati operativi nel 2026, con scadenze che si accumulano tra aprile e ottobre.

Il perimetro è ampio. Oltre 20.000 organizzazioni in 18 settori critici, di cui più di 5.000 classificate come soggetti essenziali. La logica della NIS 2 è diversa rispetto alla precedente NIS 1: non si limita alle grandi infrastrutture, ma si estende a tutto l'ecosistema che le supporta, compresa la catena di fornitura. Questo significa che puoi essere coinvolto anche se non sei un'azienda energetica o un ospedale, ma sei un loro fornitore di servizi IT o di logistica.

Questa guida raccoglie quello che serve sapere per capire se sei nella lista, cosa ti viene chiesto e con quali tempistiche. Non è un documento legale: è un punto di partenza per orientarsi e decidere i passi successivi.

Cos'è la NIS 2 e perché interessa le aziende italiane

NIS 2 è l'acronimo di Network and Information Security, Directive 2. È la revisione della direttiva europea del 2016 sulla cybersecurity, approvata nel dicembre 2022 (EU 2022/2555) e recepita in Italia con il D.Lgs. 138/2024. L'obiettivo dichiarato è alzare il livello medio di sicurezza informatica in tutta l'Unione Europea, rendendo gli obblighi più uniformi, più estesi e più sanzionabili rispetto alla versione precedente.

Il cambio di impostazione rispetto alla NIS 1 è sostanziale. La prima direttiva si concentrava su un insieme ristretto di operatori di servizi essenziali, lasciando ampi margini di discrezionalità agli Stati membri nel definire chi fosse coinvolto. La NIS 2 elimina quella discrezionalità: fissa criteri dimensionali e settoriali precisi, include la supply chain e introduce la responsabilità diretta dei vertici aziendali. Non basta più delegare la cybersecurity all'IT: la norma richiede che gli organi di amministrazione conoscano le misure adottate, ne approvino l'implementazione e rispondano in prima persona in caso di inadempienza.

In Italia, l'autorità di riferimento è l'ACN (Agenzia per la Cybersicurezza Nazionale), che gestisce il portale di registrazione, riceve le notifiche degli incidenti e conduce gli audit di conformità. L'ACN ha pubblicato a fine 2025 le prime determinazioni operative (n. 379887/2025 sul Portale NIS e n. 379907/2025 sulle misure di sicurezza base) e ha già avviato le prime attività di verifica nel corso del 2025.

Chi è coinvolto: settori, dimensioni e soggetti

La NIS 2 distingue due categorie di soggetti obbligati, con requisiti e sanzioni differenziati.

Soggetti essenziali sono le grandi imprese (oltre 250 dipendenti o fatturato sopra i 50 milioni di euro) che operano in uno degli 11 settori altamente critici: energia, trasporti, banche, infrastrutture dei mercati finanziari, settore sanitario, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT B2B, pubblica amministrazione e spazio. Per questi soggetti si applica il regime più stringente, con la possibilità di audit proattivi da parte di ACN.

Soggetti importanti sono le medie imprese (da 50 a 250 dipendenti o fatturato tra 10 e 50 milioni) nei settori altamente critici, più le medie e grandi imprese in 7 settori critici aggiuntivi: servizi postali, gestione dei rifiuti, fabbricazione di prodotti chimici, produzione e distribuzione di alimenti, manifatturiero (dispositivi medici, elettronica, macchinari, veicoli), fornitori digitali e ricerca. Questi soggetti sono soggetti ad audit solo su base reattiva, cioè in seguito a incidenti o segnalazioni.

Un punto spesso trascurato: anche le aziende sotto soglia dimensionale possono essere incluse se forniscono servizi critici per altri soggetti NIS 2, se sono l'unico fornitore nazionale di un servizio essenziale, o su decisione specifica dell'ACN. La supply chain è espressamente nel perimetro della norma. Se sei un fornitore IT, di sicurezza fisica o di logistica per un'organizzazione già censita, è probabile che tu riceva richieste contrattuali di adeguamento nei prossimi mesi.

Il consiglio pratico più immediato: se operi in uno di questi settori, vai sul portale ACN e verifica se la tua organizzazione è già censita. La lista dei soggetti NIS italiani, comunicata tra aprile e maggio 2025, supera le 20.000 unità. Probabilmente ci sei.

Gli obblighi concreti: cosa devi fare

La NIS 2 non dice genericamente che devi essere sicuro: definisce dieci ambiti specifici su cui ogni soggetto obbligato deve intervenire. Non è una checklist da spuntare una volta sola, ma un framework continuativo di gestione del rischio. Ecco i punti più rilevanti per chi deve ancora impostare il percorso.

Analisi del rischio e politiche di sicurezza. Ogni organizzazione deve condurre una valutazione sistematica dei rischi informatici, tenendo conto sia delle minacce digitali sia di quelle fisiche (allagamenti, incendi, accessi non autorizzati). Il risultato deve tradursi in politiche documentate e aggiornate. Non basta avere un antivirus: serve un processo formale che identifichi gli asset critici, valuti le vulnerabilità e definisca le contromisure proporzionate al livello di rischio.

Notifica degli incidenti. Questo è uno degli obblighi più operativi e con scadenze stringenti. In caso di incidente significativo, il processo è strutturato in tre fasi: pre-notifica ad ACN entro 24 ore dall'individuazione, notifica completa entro 72 ore, relazione finale entro un mese. Per i fornitori di servizi fiduciari il termine della notifica completa scende a 24 ore. Avere una procedura interna già pronta, con responsabilità definite e contatti ACN attivi, prima che accada qualcosa è il requisito minimo da soddisfare.

Sicurezza della supply chain. Ogni soggetto obbligato deve estendere la valutazione del rischio ai propri fornitori critici: verificare la loro postura di sicurezza, inserire clausole contrattuali specifiche e condurre audit periodici. Questo ha un effetto domino: anche un fornitore non direttamente soggetto alla NIS 2 può essere contrattualmente obbligato ad adeguarsi dai propri clienti che lo sono. Se fornisci servizi a grandi aziende in settori critici, preparati a ricevere richieste in questo senso.

Responsabilità degli organi di amministrazione. I vertici dell'organizzazione devono approvare le misure di sicurezza implementate, seguire una formazione specifica e rispondere direttamente in caso di violazioni gravi. La NIS 2 ha introdotto la possibilità di sanzioni personali per i manager, inclusa la disqualificazione temporanea dalle funzioni direttive. Non è più possibile delegare tutto al responsabile IT e considerarsi al sicuro dalla responsabilità diretta.

Le scadenze del 2026

Il calendario NIS 2 per il 2026 è fitto. Queste sono le date che contano concretamente.

15 aprile - 31 maggio 2026: aggiornamento delle informazioni sul portale ACN. I soggetti già registrati devono caricare la lista aggiornata dei membri degli organi di amministrazione, i dati del rappresentante CSIRT, la mappatura degli asset con IP pubblici e statici e nomi di dominio, e gli eventuali accordi di condivisione delle informazioni sulla sicurezza. Chi non aggiorna entro questa finestra commette già un inadempimento formale.

Aprile 2026: l'ACN pubblica il modello di categorizzazione delle attività e gli obblighi a lungo termine, ovvero l'evoluzione delle misure di sicurezza base già pubblicate nel 2025. Questa pubblicazione definisce il quadro completo degli adempimenti per la fase successiva.

Ottobre 2026: scadenza per il completamento delle misure di sicurezza base, calcolata 18 mesi dalla notifica di inclusione nell'elenco NIS (avvenuta per la maggior parte dei soggetti tra aprile e maggio 2025). Entro questa data tutte le misure previste nel framework devono essere pienamente operative, documentate e verificabili.

Chi non ha ancora fatto nulla oggi si trova già nella finestra critica di aggiornamento di aprile-maggio 2026. Il percorso di adeguamento completo richiede mesi di lavoro: non si improvvisa all'ultimo momento.

Le sanzioni: quanto si rischia

Le sanzioni previste dal D.Lgs. 138/2024 sono significative e differenziate per categoria di soggetto.

Per i soggetti essenziali, le sanzioni amministrative pecuniarie possono arrivare fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, applicando il valore più alto tra i due. Per i soggetti importanti, il massimo è 7 milioni di euro o l'1,4% del fatturato mondiale.

A queste si aggiungono le sanzioni personali per i dirigenti in caso di mancata ottemperanza alle disposizioni dell'ACN: inclusa la possibilità di disqualificazione temporanea dalle funzioni direttive, che in certi contesti può avere un impatto operativo più grave della sanzione pecuniaria stessa.

La logica sanzionatoria è progressiva: si parte da richiami formali e obblighi di adeguamento, si passa a sanzioni pecuniarie, si arriva alle misure più pesanti solo nei casi gravi o reiterati. Ma l'ACN ha già avviato le prime attività di audit nel 2025 e nel 2026 il ritmo aumenterà. Non è un rischio teorico destinato a manifestarsi tra anni.

Come partire se non hai ancora fatto nulla

Se la tua organizzazione ricade nel perimetro NIS 2 e non ha ancora avviato un percorso strutturato, questi sono i passi urgenti nell'ordine in cui ha senso affrontarli.

Il primo è la verifica della posizione: accedi al portale ACN e controlla se la tua organizzazione è già censita come soggetto essenziale o importante. Se sì, hai già obblighi attivi. Se non sei sicuro di rientrare nel perimetro, fai una valutazione preliminare basata su settore di appartenenza e dimensioni aziendali.

Il secondo è la gap analysis: confronta la tua situazione attuale con i dieci ambiti di sicurezza previsti dalla norma. Non devi partire da zero su tutto: molte aziende hanno già misure in atto (backup, accessi controllati, antivirus). L'analisi serve a capire dove sei allineato e dove mancano processi formali o documentazione verificabile.

Il terzo passo è costruire la procedura di notifica incidenti: è l'obbligo più operativo e quello che richiede meno infrastruttura per essere impostato subito. Definisci chi è responsabile di riconoscere un incidente significativo, chi notifica ad ACN, con quali strumenti e in quali tempi. Avere questa procedura scritta e testata è il minimo indispensabile da fare prima che accada qualcosa.

Il quarto passo è coinvolgere i vertici. La NIS 2 non è un progetto IT: è un progetto di governance. Il percorso di adeguamento deve essere approvato e seguito dall'organo di amministrazione, con formazione specifica per i manager, non delegato all'interno dell'ufficio tecnico.

Conclusione

La NIS 2 non è l'ennesima norma europea che riguarda solo le grandi aziende. Il perimetro è ampio, le scadenze sono ravvicinate e le sanzioni sono concrete. Oltre 20.000 organizzazioni italiane sono già nell'elenco dei soggetti obbligati: se operi in uno dei 18 settori coinvolti, la probabilità di essere incluso è alta.

Il punto critico non è la complessità degli obblighi, che sono proporzionati alla dimensione e al rischio dell'organizzazione. Il punto critico è partire. Chi ha iniziato nel 2025 ha già percorso metà strada. Chi inizia oggi ha ancora margine per arrivare preparato a ottobre 2026. Chi aspetta ancora non ha questo margine.

Se vuoi confrontarti sulla situazione della tua azienda rispetto alla NIS 2, scrivimi direttamente.

Le domande più comuni

La mia azienda è una PMI con 80 dipendenti nel settore IT: sono soggetto NIS 2?
Dipende dal tipo di servizio che fornisci. Le medie imprese (50-250 dipendenti) nei settori altamente critici sono soggetti importanti. Se fornisci servizi ICT gestiti (managed services) a terze parti, rientri probabilmente nel perimetro. Il modo più rapido per verificarlo è controllare la tua posizione sul portale ACN o fare una valutazione preliminare con un consulente specializzato.

Cosa succede se non mi registro o non aggiorno le informazioni su ACN?
La mancata registrazione o il mancato aggiornamento delle informazioni sul portale ACN è un inadempimento formale già sanzionabile. Le scadenze di aggiornamento per il 2026 sono fissate tra il 15 aprile e il 31 maggio. Chi non ottempera è esposto sia alle sanzioni pecuniarie previste dal D.Lgs. 138/2024 sia a interventi correttivi da parte dell'autorità.

Qual è la differenza tra soggetto essenziale e soggetto importante nella NIS 2?
Entrambi hanno obblighi simili, ma con intensità e regime di supervisione diversi. I soggetti essenziali sono soggetti ad audit proattivi da parte di ACN anche senza che sia accaduto un incidente, mentre i soggetti importanti vengono controllati principalmente su base reattiva. Le sanzioni massime sono anche più alte per i soggetti essenziali: fino a 10 milioni o il 2% del fatturato mondiale, contro i 7 milioni o l'1,4% dei soggetti importanti.

Entro quando devo notificare un incidente informatico all'ACN?
La procedura è in tre fasi: pre-notifica entro 24 ore dall'individuazione dell'incidente, notifica completa entro 72 ore, relazione finale entro un mese. Per i fornitori di servizi fiduciari il termine della notifica completa scende a 24 ore. Avere una procedura interna già scritta e testata è indispensabile per rispettare questi tempi quando si è sotto pressione.

La NIS 2 si applica anche ai fornitori di un'azienda obbligata?
Non direttamente per legge, ma indirettamente tramite la supply chain. Le organizzazioni NIS 2 sono obbligate a valutare la postura di sicurezza dei propri fornitori critici e a inserire clausole contrattuali specifiche. Un fornitore non formalmente soggetto alla norma può quindi essere contrattualmente obbligato ad adeguarsi dai propri clienti che lo sono. La direttiva ha un effetto a cascata sull'intera catena di fornitura.

Quanto costa adeguarsi alla NIS 2?
Non esiste una cifra standard: dipende dalla dimensione dell'organizzazione, dal settore e dalla situazione di partenza. Chi ha già infrastrutture IT strutturate e processi documentati ha costi molto inferiori rispetto a chi parte da zero. In ogni caso, i costi dell'adeguamento sono di gran lunga inferiori alle sanzioni in gioco: fino a 10 milioni o il 2% del fatturato mondiale per i soggetti essenziali.