NIS2, il 2026 è l'anno della verità: le scadenze che le imprese non possono perdere
Dalla finestra di registrazione sul portale ACN all'obbligo di notifica degli incidenti, fino al 31 ottobre: cosa cambia concretamente per le aziende del perimetro NIS2 e come arrivarci preparati.
Per due anni la NIS2 è stata soprattutto un tema da convegno. Nel 2026 diventa un calendario di scadenze operative, con un’autorità — l’Agenzia per la Cybersicurezza Nazionale — che da ottobre potrà entrare nel merito e verificare. Per le aziende del perimetro non è più il momento delle valutazioni di principio: è il momento di avere le misure in funzione e le notifiche pronte.
Il quadro normativo è chiaro. Con il D.Lgs. 4 settembre 2024, n. 138 l’Italia ha recepito la direttiva europea 2022/2555, in vigore dal 16 ottobre 2024. Quello che cambia nel 2026 non è la norma in sé, ma il fatto che i suoi obblighi smettono di essere prospettici e diventano esigibili.
Le tre date che contano
1 gennaio – 28 febbraio 2026 — la finestra sul portale ACN. È la finestra annuale per registrarsi o aggiornare la propria posizione sulla piattaforma dell’Agenzia: dati societari, punti di contatto, referente per il CSIRT. Sembra un adempimento formale, ma è il presupposto di tutto il resto — ed è anche il primo dato che un audit andrà a controllare.
15 gennaio 2026 — la notifica degli incidenti diventa piena. Da questa data l’obbligo di segnalazione degli incidenti significativi al CSIRT Italia è pienamente operativo, con una catena di tempi stringente:
- pre-notifica entro 24 ore dalla conoscenza dell’incidente;
- notifica entro 72 ore, con la valutazione di gravità e impatto;
- relazione finale entro un mese.
Ventiquattro ore è una soglia che si rispetta solo se i processi esistono prima dell’incidente: chi rileva, chi decide, chi notifica. Improvvisare il giorno dell’attacco non è un’opzione.
31 ottobre 2026 — la conformità delle misure di base. È la scadenza decisiva per i soggetti già in elenco dal 2025: entro quella data le misure di sicurezza di base previste dagli allegati alla determinazione ACN devono essere operative. Non sulla carta, ma in produzione.
Il punto della NIS2 non è avere un documento di policy. È poter dimostrare, il giorno della verifica, che la misura era attiva e funzionava.
Cosa significa “misure di base”, in pratica
Dietro la formula normativa ci sono i fondamentali della sicurezza enterprise: governance del rischio, gestione degli accessi e dell’autenticazione, protezione e segmentazione delle reti, backup e capacità di ripristino, gestione delle vulnerabilità, continuità operativa. Nessuna di queste è una novità tecnologica. La novità è che ora vanno documentate, mantenute e verificabili — e che la responsabilità ricade sugli organi di gestione, non sull’IT da solo.
È qui che molte aziende scoprono la distanza tra “abbiamo un firewall” e “abbiamo un processo di sicurezza dimostrabile”. La prima è una fotografia; la seconda è ciò che la NIS2 chiede.
Il nostro punto di vista
Affrontiamo la conformità NIS2 partendo da un assessment dello stato reale — non da un template. Misuriamo la distanza tra dove l’azienda è e dove la norma la vuole, e costruiamo una roadmap prioritaria: prima ciò che riduce il rischio e ciò che un audit guarderebbe per primo.
Sul fronte della notifica, il vincolo delle 24 ore si regge su un presidio continuo: il nostro SOC · Smart Care garantisce rilevamento e gestione degli incidenti con i tempi che la norma impone. E poiché la continuità operativa è parte integrante delle misure, le architetture di disaster recovery che progettiamo sono pensate per ripartire in fretta, con obiettivi di ripristino misurati e provati.
La NIS2 non premia chi ha più documenti. Premia chi, il giorno della verifica, può mostrare che la sicurezza funziona davvero. Il 2026 è l’anno in cui questa differenza diventa misurabile.