La Direttiva NIS2 nel 2026

Road Map per la Compliance di Aziende e Pubbliche Amministrazioni

Il 2026 rappresenta l’anno decisivo per l’attuazione della Direttiva (UE) 2022/2555 (NIS2) in Italia. Dopo la fase di censimento e registrazione del 2025, le organizzazioni qualificate come soggetti essenziali e importanti sono chiamate ad adempiere agli obblighi tecnici e organizzativi previsti dal D.Lgs. 138/2024. Il presente contributo analizza la road map delle scadenze critiche, con particolare attenzione alla responsabilità diretta degli organi di amministrazione e direttivi, al regime sanzionatorio e alle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale.

1. Premessa: dal censimento all’adempimento

Il 2025 è stato dunque l’anno della presa di consapevolezza e del censimento: oltre 30.000 organizzazioni si sono registrate sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN), di cui oltre 5.000 sono state inserite nell’elenco dei soggetti essenziali. Il 2026 segna invece il passaggio dalla compliance formale a quella sostanziale. Non si tratta più di dichiarare di appartenere al perimetro NIS, ma di dimostrare l’effettiva implementazione delle misure di sicurezza e la capacità di gestione degli incidenti informatici.

La pubblicazione, a fine dicembre 2025, della Determinazione ACN n. 379907/2025 e delle relative Linee Guida ha definitivamente consolidato il quadro degli obblighi, rendendo questo momento particolarmente significativo per un’analisi aggiornata della materia.

2. Il quadro normativo di riferimento

La Direttiva (UE) 2022/2555 del 14 dicembre 2022, comunemente nota come NIS2, è stata recepita nell’ordinamento italiano con il decreto legislativo 4 settembre 2024, n. 138, pubblicato nella Gazzetta Ufficiale del 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024.

Il decreto abroga il precedente decreto legislativo 65/2018 (che recepiva la Direttiva NIS 2016/1148) e introduce un significativo ampliamento del perimetro soggettivo, estendendo gli obblighi a 18 settori (11 altamente critici e 7 critici) e oltre 80 tipologie di soggetti pubblici e privati.

L’architettura istituzionale conferma l’ACN quale Autorità nazionale competente NIS e Punto di contatto unico, con il supporto di nove Ministeri quali Autorità di settore, operanti nel contesto del Tavolo per l’attuazione della disciplina NIS.

Sul piano attuativo, assume rilievo centrale la Determinazione del Direttore Generale ACN n. 379907 del 18 dicembre 2025 (pubblicata il 24 dicembre 2025 e applicabile dal 15 gennaio 2026), che ha sostituito la precedente Determinazione n. 164179/2025, stabilendo le specifiche di base per l’adempimento degli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La determinazione è corredata da quattro allegati tecnici: l’Allegato 1 contiene le misure di sicurezza di base per i soggetti importanti (37 misure, 87 requisiti); l’Allegato 2 le misure per i soggetti essenziali (43 misure, 116 requisiti); gli Allegati 3 e 4 definiscono rispettivamente gli incidenti significativi di base per soggetti importanti ed essenziali.

3. La road map 2026: scadenze critiche

Il percorso di adeguamento si articola in fasi progressive, ciascuna caratterizzata da adempimenti specifici e termini perentori.

3.1. Gennaio-febbraio 2026: registrazione e aggiornamento

Dal 1° gennaio al 28 febbraio 2026 si riapre la finestra per la registrazione sulla piattaforma ACN. A differenza del 2025, il flusso è duplice:

1. i soggetti già registrati nel 2025 devono procedere al rinnovo della registrazione, confermando o aggiornando i dati precedentemente comunicati;
2. i nuovi soggetti che nel frattempo sono entrati nel perimetro NIS2 devono effettuare la prima registrazione.

L’ACN ha predisposto un sistema di dichiarazioni precompilate per i soggetti già qualificati, che il legale rappresentante dovrà validare digitalmente. È fortemente raccomandato non attendere la scadenza del termine, per evitare sovraccarichi della piattaforma analoghi a quelli verificatisi nel 2025.

3.2. Dal 15 gennaio 2026: obbligo di notifica degli incidenti

A partire dal 15 gennaio 2026, in applicazione della Determinazione ACN 379907/2025, diviene pienamente operativo il regime di notifica degli incidenti significativi al CSIRT Italia. Termina così la fase transitoria di tolleranza.

La procedura, disciplinata dall’art. 25 del D.Lgs. 138/2024, si articola in tre fasi inderogabili:

1. Pre-notifica (Early Warning): entro 24 ore dall’acquisizione dell’evidenza dell’incidente. Serve a segnalare tempestivamente il sospetto di un evento malevolo o con potenziale impatto transfrontaliero;
2. Notifica dell’incidente: entro 72 ore. Deve includere una valutazione iniziale della gravità, dell’impatto e gli indicatori di compromissione (IoC);
3. Relazione finale: entro 1 mese dalla notifica. Un’analisi tecnica approfondita sulle cause dell’incidente (root cause analysis) e sulle misure correttive adottate.

Gli incidenti significativi di base sono classificati secondo una tassonomia specifica:

• IS-1: perdita di riservatezza verso l’esterno di dati digitali;
• IS-2: perdita di integrità con impatto verso l’esterno di dati digitali;
• IS-3: violazione dei livelli di servizio attesi;
• IS-4 (solo per soggetti essenziali): accesso non autorizzato o con abuso dei privilegi concessi a dati digitali.

3.3. Primavera 2026: aggiornamento annuale e categorizzazione

Dal 15 aprile al 31 maggio 2026, i soggetti NIS sono tenuti ad effettuare l’aggiornamento annuale delle informazioni sul portale ACN, ai sensi dell’art. 7, comma 6, del decreto.

In questo periodo devono essere comunicati o confermati:

• l’elenco aggiornato dei componenti degli organi di amministrazione e direttivi;
• i dati dei Referenti CSIRT (titolari e sostituti);
• la mappatura degli asset: indirizzi IP pubblici e statici, nomi a dominio;
• gli accordi di condivisione delle informazioni sulla sicurezza informatica eventualmente sottoscritti.

Nello stesso periodo, l’ACN procederà alla pubblicazione delle linee guida settoriali, che forniranno indicazioni operative specifiche per le diverse tipologie di soggetti, consentendo un’applicazione calibrata e proporzionata degli obblighi.

3.4. Ottobre 2026: full compliance

Entro il 31 ottobre 2026 (termine calcolato in 18 mesi dalla comunicazione di inserimento nell’elenco NIS, avvenuta per la maggior parte dei soggetti tra aprile e maggio 2025), tutte le misure di sicurezza di base devono essere implementate e operative.

Come precisato dalla Determinazione ACN 379907/2025:

• Soggetti importanti: devono aver adottato le 37 misure e 87 requisiti di cui all’Allegato 1;
• Soggetti essenziali: devono aver adottato le 43 misure e 116 requisiti di cui all’Allegato 2.

Le misure sono sviluppate in accordo al Framework Nazionale per la Cybersecurity e la Data Protection (edizione 2025) e si articolano su cinque ambiti fondamentali:

• Governance e gestione del rischio;
• Protezione tecnica dei sistemi;
• Risposta agli incidenti e continuità operativa;
• Sicurezza della catena di approvvigionamento (Supply Chain Security);
• Formazione e monitoraggio continuo.

A partire da ottobre 2026, l’ACN potrà avviare le attività ispettive, transitando dalla “fase di accompagnamento” alla fase di verifica.

4. La responsabilità degli organi di amministrazione e direttivi

L’art. 23 del d. lgs. 138/2024 (corrispondente all’art. 20 della Direttiva NIS2) introduce un cambio di paradigma nella governance della cybersicurezza, che non è più confinata alle funzioni tecniche, ma diviene elemento strutturale della direzione aziendale.

La norma stabilisce che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e importanti sono tenuti a:

• approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica di cui all’art. 24;
• sovraintendere all’implementazione degli obblighi di cui al Capo IV e all’art. 7;
• seguire una formazione specifica in materia di sicurezza informatica e promuovere l’offerta periodica di una formazione analoga ai dipendenti.

Come chiarito dalla Determinazione ACN n. 283727/2025 e dalle FAQ pubblicate dall’Agenzia, per “organi di amministrazione” si intendono il Consiglio di Amministrazione o organi ad esso assimilabili, dotati di potere di direzione e gestione. Gli “organi direttivi” sono invece le strutture interne che partecipano, in base alla natura giuridica dell’ente, al governo dell’organizzazione e alla determinazione delle sue politiche.

È fondamentale sottolineare che, ai sensi delle FAQ ACN, tali attribuzioni non sono delegabili. La delega può riguardare esclusivamente lo svolgimento delle attività finalizzate all’attuazione degli obblighi (aspetti operativi e tecnici), senza che ciò comporti un trasferimento della responsabilità in capo al delegato.

Il comma 5 dell’art. 23 introduce inoltre una forma di responsabilità personale: “Le persone fisiche che svolgono funzioni dirigenziali a livello di amministratore delegato o rappresentante legale per i soggetti essenziali e importanti, o che fanno parte degli organi di amministrazione e degli organi direttivi di tali soggetti, possono essere ritenute responsabili dell’inadempimento in caso di violazione del presente decreto da parte del soggetto di cui hanno rappresentanza”.

Le Linee Guida ACN di settembre 2025 hanno individuato undici documenti strategici che devono essere formalmente approvati dagli organi apicali, tra cui: il piano di gestione del rischio, i piani di business continuity e disaster recovery, il piano di trattamento del rischio, il piano di gestione delle vulnerabilità, il piano di risposta agli incidenti e il piano di formazione in materia di sicurezza informatica.

5. L’apparato sanzionatorio

L’art. 38 del D.Lgs. 138/2024 definisce un apparato sanzionatorio severo, armonizzato a livello europeo secondo il modello già sperimentato con il GDPR.

Per la violazione degli obblighi relativi alla gestione del rischio per la sicurezza informatica e alla notifica di incidente (artt. 23, 24 e 25), sono previste:

• per i soggetti essenziali (escluse le pubbliche amministrazioni): sanzioni amministrative pecuniarie fino a 10.000.000 di euro o, se superiore, fino al 2% del fatturato annuo mondiale dell’esercizio precedente, con un minimo pari a un ventesimo del massimo edittale;
• per i soggetti importanti (escluse le pubbliche amministrazioni): sanzioni fino a 7.000.000 di euro o, se superiore, fino all’1,4% del fatturato annuo mondiale dell’esercizio precedente, con un minimo pari a un trentesimo del massimo edittale;
• per le pubbliche amministrazioni: le sanzioni variano da circa 25.000 a 125.000 euro per i soggetti essenziali e da circa 8.300 a 41.600 euro per i soggetti importanti.

L’art. 38 introduce inoltre una sanzione accessoria di particolare severità: la sospensione temporanea dalla capacità di svolgere funzioni dirigenziali. Tale misura può essere applicata alle persone fisiche che non ottemperino alle diffide dell’ACN ai sensi dell’art. 37, commi 6 e 7. La sospensione permane finché il soggetto interessato non adotta le misure necessarie a porre rimedio alle carenze riscontrate.

Le sanzioni sono determinate tenendo conto di diversi criteri: gravità e durata della violazione, eventuali precedenti violazioni, danni causati, intenzionalità o negligenza, misure adottate per prevenire o mitigare il danno, adesione a codici di condotta o meccanismi di certificazione, e livello di collaborazione con l’Autorità.