Il quadro normativo e il momento critico
Il decreto legislativo 4 settembre 2024, n. 138, di recepimento della Direttiva (UE) 2022/2555 (NIS 2), è entrato in vigore il 16 ottobre 2024, abrogando il previgente D.lgs. 65/2018 e ridisegnando radicalmente la disciplina italiana della sicurezza informatica. Il semestre aprile–ottobre 2026 costituisce la fase più esigente dell’intero ciclo di prima applicazione: le scadenze che si concentrano in questo arco temporale non sono mere formalità amministrative, ma l’approdo di un percorso regolatorio che il legislatore ha costruito su due anni di progressiva messa a regime.
Il decreto divide i destinatari in soggetti essenziali (grandi imprese dei settori dell’Allegato I, PA centrali, prestatori fiduciari qualificati) e soggetti importanti (tutti gli altri rientranti nell’ambito applicativo), con regimi di vigilanza differenziati: ex ante ed ex post per i primi, solo ex post per i secondi. L’Agenzia per la Cybersicurezza Nazionale (ACN) è l’autorità regolatoria unica, con funzioni normative, di vigilanza e di risposta agli incidenti (CSIRT Italia).
Le Determinazioni ACN del 13 aprile 2026 e la milestone di aprile
Il 13 aprile 2026 il Direttore Generale dell’ACN ha firmato due determinazioni destinate a ridefinire il calendario degli adempimenti per l’intero ciclo 2026. La prima — adottata ai sensi dell’art. 7, comma 6, del D.lgs. 138/2024, operativa dal 15 aprile 2026 — aggiorna la disciplina della piattaforma digitale NIS, formalizza le finestre annuali di aggiornamento e introduce il Servizio NIS/Categorizzazione, attivo dal 1° maggio al 30 giugno di ogni anno. La seconda — adottata ai sensi dell’art. 31, commi 1 e 2, operativa dal 30 aprile 2026 — stabilisce un doppio regime temporale: per i soggetti già iscritti nel 2025 rimangono ferme le scadenze dell’ottobre 2026; per i soggetti inseriti per la prima volta nell’elenco nel corso del 2026, il termine per le misure di sicurezza è differito al 31 luglio 2027 e l’obbligo di notifica degli incidenti decorre dal 1° gennaio 2027.
Nell’immediato (15 aprile – 31 maggio 2026) i soggetti essenziali e importanti devono aggiornare sulla piattaforma ACN le informazioni tecniche previste dall’art. 7, commi 4 e 5, del decreto: spazio di indirizzamento IP pubblico, nomi di dominio, composizione degli organi direttivi, dati del sostituto del punto di contatto, del referente CSIRT e dei fornitori rilevanti NIS. L’omissione o l’aggiornamento carente espone alle sanzioni di cui all’art. 38, comma 10, lett. c).
Le misure di gestione del rischio e la scadenza di ottobre 2026
Per i soggetti iscritti nel 2025, ottobre 2026 è il termine per la piena implementazione delle misure di sicurezza previste dall’art. 24. Il catalogo obbligatorio comprende dieci elementi: politiche di analisi dei rischi, gestione degli incidenti, continuità operativa (backup, disaster recovery), sicurezza della catena di approvvigionamento, gestione sicura del ciclo di sviluppo dei sistemi, valutazione dell’efficacia delle misure adottate, igiene informatica e formazione del personale, crittografia, sicurezza del personale e controllo degli accessi, autenticazione a più fattori. Il principio di proporzionalità (art. 24, comma 1, lett. b) impone che questi elementi siano calibrati sul profilo di rischio specifico del soggetto: non esiste un catalogo uniforme applicabile indipendentemente dalle dimensioni e dall’esposizione al rischio.
Sul versante della supply chain, la Determinazione ACN del 13 aprile 2026 introduce la definizione vincolante di “fornitori rilevanti NIS”: sono tali i soggetti la cui fornitura è riconducibile ai settori ICT (Allegato I, punti 8 e 9 del decreto) o la cui interruzione avrebbe un impatto significativo sulla capacità del soggetto NIS di erogare i propri servizi. L’elenco di tali fornitori, con i relativi dati identificativi e codici CPV, deve essere trasmesso annualmente tramite il Servizio NIS/Aggiornamento entro il 31 maggio. Ciò impone ai soggetti NIS una mappatura strutturata della propria catena di fornitura digitale, la revisione dei contratti con i fornitori critici e l’implementazione di processi di monitoraggio continuativo.
Notifica degli incidenti e regime sanzionatorio
L’obbligo di notifica al CSIRT Italia degli incidenti significativi è già operativo per i soggetti iscritti nel 2025. Il regime si articola in tre fasi inderogabili: pre-notifica entro 24 ore dalla conoscenza dell’incidente, notifica completa entro 72 ore (24 ore per i prestatori di servizi fiduciari), relazione finale entro un mese. Un elemento normativo rilevante è che la causa dell’incidente è irrilevante ai fini dell’obbligo: sono soggetti a notifica anche incidenti originati da errori umani o cause naturali, purché producano i presupposti di significatività dell’art. 25, comma 4, come specificati dal Regolamento di esecuzione (UE) 2024/2490.
Il regime sanzionatorio dell’art. 38 differenzia tra violazioni gravi e violazioni minori e tra soggetti privati e pubblici. Per le violazioni gravi (mancata gestione del rischio, omessa notifica, inadempimenti di governance), i soggetti essenziali privati rischiano fino a 10 milioni di euro o il 2% del fatturato mondiale annuo; i soggetti importanti privati fino a 7 milioni di euro o l’1,4%. Per le PA, le sanzioni sono fissate in fasce assolute (da 25.000 a 125.000 euro per i soggetti essenziali). Accanto alle sanzioni pecuniarie, il decreto prevede la sospensione temporanea di certificazioni o autorizzazioni e, per i dirigenti responsabili, l’incapacità temporanea a svolgere funzioni direttive fino all’adozione delle misure correttive.
La tabella seguente riassume le principali tappe degli adempimenti dal mese corrente ad ottobre 2026
| Scadenza | Adempimento | Attore | Riferimento normativo |
|---|---|---|---|
| 15 aprile – 31 maggio 2026 | Aggiornamento informazioni tecniche su piattaforma ACN (IP, domini, responsabili) | Soggetti essenziali e importanti | Art. 7, comma 4 |
| 13 aprile 2026 (AVVENUTO) | Emanazione Determinazioni ACN su piattaforma digitale NIS (Servizio NIS/Categorizzazione, finestre annuali, fornitori rilevanti NIS, sostituto punto di contatto, referente CSIRT) e su termini proporzionati per soggetti 2026 (misure di sicurezza al 31/07/2027; notifica incidenti dal 01/01/2027) | ACN | Art. 40, comma 9 |
| 1° maggio – 30 giugno 2026 | Comunicazione elenco attività/servizi con categoria di rilevanza su piattaforma ACN | Soggetti essenziali e importanti | Art. 30, comma 1 |
| Entro ottobre 2026 (solo soggetti iscritti nel 2025) | Piena implementazione misure di gestione del rischio (art. 24) per soggetti iscritti nel 2025 (art. 7, comma 3, lett. b), D.lgs. 138/2024). Per i soggetti iscritti nel 2026, il termine è il 31 luglio 2027. | Soggetti essenziali e importanti (coorte 2025) | Art. 42, comma 1, lett. c); art. 1, comma 3, Det. ACN 13/04/2026 |
| 1° gennaio 2027 (soggetti iscritti nel 2026) | Decorrenza obbligo di notifica degli incidenti significativi al CSIRT Italia per soggetti iscritti per la prima volta nell’elenco NIS nell’anno solare 2026 | Soggetti essenziali e importanti (coorte 2026) | Art. 1, comma 2, Det. ACN 13/04/2026 |
| 31 luglio 2027 (soggetti iscritti nel 2026) | Termine per l’adozione delle misure di sicurezza (allegati 1 e 2, Det. ACN n. 379907/2025) e per gli obblighi di sicurezza, stabilità e resilienza dei sistemi DNS per soggetti iscritti per la prima volta nell’anno solare 2026 | Soggetti essenziali e importanti (coorte 2026) | Artt. 1-2, Det. ACN 13/04/2026 |
| Continuo | Gestione delle notifiche di incidenti significativi al CSIRT Italia (24h/72h/1 mese) | Soggetti essenziali e importanti | Art. 25 |
La cybersicurezza come obbligo strutturale e leva competitiva
La scadenza di ottobre 2026 non chiude un percorso, ma sancisce l’entrata a regime di un sistema di governance della sicurezza informatica destinato ad aggiornarsi con cadenza biennale (art. 40, comma 11 del D.lgs. 138/2024). Gli obblighi di categorizzazione, le categorie di rilevanza e i livelli di maturità richiesti evolveranno nel tempo; l’ACN ha strumenti ispettivi progressivi — dal monitoraggio documentale alle verifiche in loco — e un sistema di enforcement ormai pienamente operativo. Le organizzazioni che hanno affrontato il ciclo 2024-2026 costruendo capacità strutturali — e non producendo documentazione di facciata — si troveranno nella posizione più solida quando i poteri ispettivi verranno dispiegati in misura piena. La NIS 2 trasforma la cybersicurezza da voce di costo discrezionale a fattore di selezione nei rapporti di fornitura, nei mercati regolati e nelle procedure di evidenza pubblica.
