Il D.Lgs. 138/2024 estende significativamente il perimetro dei soggetti obbligati, coinvolgendo oltre 20.000 organizzazioni pubbliche e private in 18 settori strategici. La distinzione fondamentale tra Soggetti Essenziali e Soggetti Importanti definisce non solo l’intensità degli obblighi, ma anche la natura della vigilanza esercitata dall’Agenzia per la Cybersicurezza Nazionale (ACN). La classificazione non dipende esclusivamente dal settore di appartenenza: si determina dalla combinazione tra settore, dimensione dell’organizzazione e criticità del servizio erogato. Il primo passo per un’azienda è verificare se ha ricevuto da ACN la comunicazione di inserimento nell’elenco nazionale NIS: da quella data decorrono i termini di adeguamento.

Ai sensi dell’art. 23 del decreto, la cybersicurezza diventa un obbligo non delegabile del Board, che deve approvare le misure di gestione dei rischi, sovrintendere alla loro attuazione e rispondere personalmente delle violazioni. La delega operativa è ammessa, ma la responsabilità rimane in capo agli organi apicali. I componenti degli organi di amministrazione e direzione sono tenuti a seguire un’apposita formazione in materia di gestione dei rischi e cybersicurezza (art. 23, comma 4, D.Lgs. 138/2024): non è un adempimento accessorio, è uno dei primi elementi che l’ACN potrà verificare in fase ispettiva. Nei casi più gravi, ai responsabili dei Soggetti Essenziali può essere applicata la sospensione temporanea dalle funzioni dirigenziali.

Il 2026 è l’anno decisivo per la conformità NIS2.

• 1° gennaio – 28 febbraio 2026: finestra annuale di registrazione/aggiornamento sul Portale ACN ai sensi dell’art. 7 D.Lgs. 138/2024, con conferma o aggiornamento di dati, punti di contatto e Referente CSIRT.
• 15 gennaio 2026: piena operatività dell’obbligo di notifica degli incidenti significativi al CSIRT Italia (pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese ex art. 25 D.Lgs. 138/2024).
• 1° maggio – 30 giugno 2026: comunicazione e categorizzazione di attività e servizi sulla piattaforma ACN per tutti i soggetti già in elenco dal 2025 (Determinazione ACN n. 155238/2026).
• Entro il 31 maggio 2026: prima elencazione dei fornitori rilevanti NIS sulla piattaforma ACN (Determinazione ACN n. 127437/2026).
• 31 ottobre 2026: termine ultimo per l’implementazione e la piena operatività delle misure di sicurezza di base.

La data del 31 ottobre 2026 rappresenta il termine ultimo per l’implementazione e la piena operatività delle misure di sicurezza di base per i soggetti già inseriti nell’elenco NIS nel corso del 2025. Come ribadito dai vertici dell’Agenzia, questa scadenza non deve essere vista come un punto di inizio, ma come la chiusura di un percorso di adeguamento. Per i soggetti inseriti per la prima volta nel 2026, invece, il termine per l’adozione delle misure di sicurezza di base è fissato al 31 luglio 2027 (Determinazione ACN n. 127434/2026).

Fino a ottobre 2026 l’approccio dell’ACN è improntato al supporto e all’orientamento delle organizzazioni verso la compliance (fase di “accompagnamento”). Dopo il 31 ottobre la postura dell’Autorità cambierà radicalmente: inizieranno le attività ispettive formali e la fase di verifica della reale efficacia delle misure implementate.

L’ACN adotterà un modello di vigilanza differenziato: vigilanza ex-ante (proattiva) per i Soggetti Essenziali, con ispezioni regolari e sistematiche; vigilanza ex-post (reattiva) per i Soggetti Importanti, attivata principalmente a seguito di incidenti o segnalazioni.

La parola chiave per le aziende dopo ottobre 2026 sarà “dimostrabilità”. Non sarà sufficiente aver adottato le misure sulla carta: sarà necessario fornire evidenze documentali, log di sistema, report di audit interni e verbali di formazione che attestino l’integrazione effettiva della sicurezza nei processi aziendali quotidiani.

Allegato 1: Misure per i Soggetti Importanti

Per i soggetti classificati come Importanti — tra cui rientrano molte realtà operanti nei settori critici come alimentare, manifattura e servizi postali — l’Allegato 1 alla Determinazione ACN n. 379907/2025 prevede un totale di 37 misure articolate in 87 requisiti. Le misure coprono politiche di analisi dei rischi e sicurezza dei sistemi, gestione degli incidenti, continuità operativa (Business Continuity), sicurezza della catena di approvvigionamento, igiene informatica e formazione, crittografia.

Allegato 2: Misure per i Soggetti Essenziali

Per i soggetti classificati come Essenziali — tipicamente operatori dei settori altamente critici come energia, sanità, trasporti e infrastrutture digitali — i requisiti sono più stringenti: 43 misure e 116 requisiti. Oltre alle misure previste per i Soggetti Importanti, i soggetti Essenziali devono garantire monitoraggio continuo e proattivo, vulnerability assessment e penetration testing, sicurezza delle risorse umane e resilienza infrastrutturale. Le misure sono sviluppate in coerenza con il Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025) e si articolano per funzioni, categorie, sottocategorie e requisiti.

La tentazione di attendere la scadenza di ottobre 2026 è un rischio che il Board non può permettersi. L’adeguamento alla NIS2 non è un’attività “una tantum”, ma un processo evolutivo che richiede tempo per essere digerito dall’organizzazione.

Per una media azienda, il percorso di compliance può essere strutturato in una roadmap operativa di circa 18 settimane:

• Mappatura e Assessment (Settimane 1-4): identificazione degli asset critici, dei servizi essenziali e dei fornitori rilevanti.
• Gap Analysis (Settimane 5-8): confronto tra le misure attuali e i requisiti della Determinazione ACN n. 379907/2025.
• Remediation Plan (Settimane 9-14): implementazione delle misure tecniche (MFA, backup, segmentazione) e procedurali.
• Test e Formazione (Settimane 15-18): simulazione di incidenti, verifiche di ripristino, programmi di sensibilizzazione e formazione obbligatoria del Board ex art. 23, comma 4 D.Lgs. 138/2024.

La NIS2 impone di estendere la responsabilità alla catena di approvvigionamento. Entro il 31 maggio 2026 le organizzazioni devono comunicare ad ACN l’elenco dei fornitori rilevanti NIS (Determinazione ACN n. 127437/2026), aggiornando i contratti con clausole specifiche su standard di sicurezza, obblighi di notifica e diritti di audit.

Il criterio centrale introdotto dalla Determinazione è quello della non fungibilità: un fornitore è rilevante quando, nel momento in cui la fornitura si interrompe, non esiste un’alternativa reale e attivabile in tempi compatibili con la continuità del servizio. Il perimetro non si esaurisce nel mondo ICT: rientrano anche dipendenze non digitali che non possano essere sostituite senza un impatto significativo sui servizi NIS (energia, connettività, logistica critica). La veridicità del criterio di rilevanza dichiarato è il vero perno dell’adempimento: in caso di ispezione, ciò che è stato comunicato ad ACN deve reggere il confronto con la realtà operativa e con la Business Impact Analysis interna.

Investire nella cybersicurezza prima della scadenza permette di trasformare un obbligo normativo in un vantaggio competitivo, riducendo il rischio di interruzioni operative e migliorando la posizione negoziale con clienti e partner.