Categorie principali
Altre categorie
Network Maggioli
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

NIS2 nel 2026: guida operativa ai prossimi passi per imprese e PA

Guida operativa alla Direttiva NIS2 e al D.Lgs. 138/2024: perimetro, portale ACN, misure minime, gestione rischio e notifica incidenti dal 2026.

Scarica PDF Stampa

La Direttiva NIS2 — recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138 — ha ridefinito il quadro giuridico della sicurezza delle reti e dei sistemi informativi, ampliando significativamente il campo di applicazione rispetto alla precedente normativa NIS, rafforzando gli obblighi di gestione del rischio, sicurezza e notifica degli incidenti, e introducendo una vigilanza strutturata affidata all’Agenzia per la Cybersicurezza Nazionale (ACN). La transizione dalla fase di recepimento alla piena attuazione normativa richiede oggi una progettazione operativa di compliance strutturata e calendarizzata da parte delle imprese e delle pubbliche amministrazioni interessate.
Questa guida operativa, pensata per professionisti del diritto, compliance officer, DPO, responsabili ICT e dirigenti aziendali, offre un percorso dettagliato e orientato agli adempimenti imprescindibili dei prossimi mesi, con un focus metodologico e pratico che supera la mera elencazione normativa per tradursi in un piano di lavoro concreto e replicabile. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

Indice

1. Identificare e inquadrare la propria organizzazione nel perimetro NIS2


La prima attività – preliminare e imprescindibile – consiste nel capire se la propria organizzazione è soggetta alla disciplina NIS2. Sulla base del D.Lgs. 138/2024 e delle FAQ ACN:

  • rientrano nel perimetro NIS2 soggetti pubblici e privati identificati come essenziali o importanti in funzione dei criteri settoriali e dimensionali delineati dal decreto;
  • tra i settori tipicamente coinvolti figurano energia, trasporti, sanità, servizi digitali e pubblica amministrazione, ma con criteri molto più ampi rispetto alla precedente direttiva. 

La valutazione deve essere formalizzata con un atto interno che documenta la presenza o l’assenza dei criteri di inquadramento NIS2, elemento che costituirà base per tutti gli altri adempimenti. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.

VOLUME

NIS 2 ed Evoluzione della Cybersicurezza Nazionale

Il volume offre una ricostruzione completa e aggiornata della Direttiva NIS 2 e del suo recepimento nel D.Lgs. 4 settembre 2024, n. 138, mettendoli in relazione con l’architettura della cybersicurezza nazionale, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) e le più recenti riforme europee in materia.Curato da Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri, con contributi di dirigenti ACN e prefazione del Direttore Generale Bruno Frattasi, il testo unisce in un’unica guida quadro teorico, prassi applicativa e impatti operativi per soggetti essenziali e importanti. – Quadro normativo europeo “all-in-one”Dalla NIS 1 alla NIS 2, passando per Cybersecurity Act, DORA, Direttiva CER, Cyber Resilience Act e Cyber Solidarity Act, il volume ricostruisce in modo sistematico la strategia UE sulla cybersicurezza e la colloca nel contesto del mercato digitale e delle infrastrutture critiche.- Focus sull’ambito di applicazione e sull’autovalutazione NIS 2Una sezione dedicata aiuta a capire se e come si rientra tra i soggetti essenziali o importanti, illustrando le eccezioni, i poteri di ACN e proponendo un vero e proprio strumento di autovalutazione (giurisdizione, dimensione, tipologia di soggetto).- Requisiti minimi e misure di sicurezza spiegati punto per puntoAmpio commento alle misure di gestione del rischio informatico per soggetti essenziali e importanti, con analisi della determinazione ACN 14 aprile 2025 n. 164179 e delle misure di sicurezza di base (governance, asset, gap analysis, rafforzamento dell’assetto di cybersicurezza, gestione incidenti).- Protezione dei dati personali, domini e obblighi di notificaIntegrazione tra NIS 2, disciplina privacy e gestione dei data breach: procedure di notifica, ruolo dei nomi a dominio, sinergie e possibili sovrapposizioni tra i diversi regimi di segnalazione.- Governance aziendale e responsabilità degli organi di gestioneCapitoli dedicati ai doveri dell’organo di gestione in materia di cybersicurezza, alle responsabilità degli amministratori e degli organi direttivi e alla necessità di strutture interne dedicate (referente per la cybersicurezza, ruoli chiari, accountability).- Condivisione delle informazioni e notifiche degli incidenti al CSIRT ItaliaAnalisi degli obblighi di divulgazione coordinata delle vulnerabilità, degli accordi di condivisione delle informazioni, della rete CSIRT nazionale e delle nuove regole sulla notifica degli incidenti (soggetti obbligati, eventi da notificare, termini, tassonomia cyber, sanzioni ed esenzioni).- Crittografia e transizione post-quantumApprofondimento sul rafforzamento delle misure di sicurezza dei dati tramite crittografia, sul Centro Nazionale di Crittografia, sulle linee guida ACN e Garante Privacy e sui rischi della futura “rottura crittografica” nell’era quantistica, con indicazioni operative per la transizione post-quantum.- Vigilanza ACN, ispezioni e sanzioniCommento ai poteri di monitoraggio e valutazione della conformità dell’ACN, alle verifiche e ispezioni, agli esiti delle attività di controllo e alle misure di esecuzione. Il volume illustra inoltre la funzione delle sanzioni nel quadro della cybersicurezza europea, i criteri di proporzionalità e gli strumenti deflativi del contenzioso.- Cooperazione nazionale, CSIRT e gestione delle crisiTrattazione del ruolo dei CSIRT, del sistema delle autorità di settore NIS, del Tavolo NIS, del Quadro nazionale di gestione delle crisi informatiche e dei meccanismi di coordinamento tra ACN, Procura nazionale antimafia e antiterrorismo, polizia giudiziaria, servizi di informazione e autorità UE (gruppo di cooperazione NIS, EU-CyCLONe).- Riforma dei reati informatici e del D.Lgs. 231/2001Una parte finale è dedicata alle modifiche al codice penale e al codice di procedura penale (accesso abusivo, danneggiamento informatico, estorsione tramite reati informatici, truffa, intercettazioni, testimoni e collaboratori di giustizia) e all’aggiornamento del catalogo dei reati presupposto ex D.Lgs. 231/2001. Perché non puoi farne a meno oraCon l’entrata in vigore del D.Lgs. 138/2024 e delle più recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale, oltre 20.000 entità pubbliche e private sono già coinvolte dagli obblighi NIS 2, con impatti diretti su governance, misure di sicurezza, notifiche di incidente e sanzioni.Questo volume fornisce il quadro completo e operativo per impostare o rivedere il proprio modello di compliance, ridurre il rischio di non conformità e presentarsi preparati a verifiche, ispezioni e richieste informative. Acquista ora “NIS 2 ed evoluzione della cybersicurezza nazionale” e utilizza la guida per mappare correttamente i tuoi obblighi, adeguare processi e controlli interni e trasformare la conformità NIS 2 da adempimento formale a leva strategica di sicurezza e affidabilità per la tua organizzazione.

 

Gian Luca Berruti, Giuseppe Corasaniti e Pierluigi Perri | Maggioli Editore 2025

34.20 €

Scopri di più

2. Registrazione e designazione dei referenti nel Portale ACN


2.1 Registrazione 2026
La piattaforma digitale dell’ACN per la gestione NIS2 costituisce il nucleo operativo delle attività di compliance. Secondo quanto comunicato dall’Agenzia:

  • dal 1° gennaio al 28 febbraio 2026 si apre la registrazione 2026 sulla piattaforma per tutte le organizzazioni che nel 2025 hanno verificato i presupposti di appartenenza al perimetro NIS2;
  • anche i soggetti già registrati nel 2025 devono presentare una nuova dichiarazione per il 2026, confermando o modificando i dati già forniti. 

La registrazione richiede l’inserimento di informazioni anagrafiche di base, la designazione del Punto di Contatto NIS e l’aggiornamento dei dati relativi alla struttura e ai servizi dell’organizzazione.

2.2 Nomina del Referente CSIRT
Contestualmente, entro il 31 dicembre 2025, i punti di contatto NIS possono e devono designare il Referente CSIRT e i suoi eventuali sostituti, inserendo i relativi dati nella sezione dedicata del Portale ACN. Il Referente dovrà successivamente completare la propria registrazione e censimento individuale sul sistema. 
Queste designazioni non sono formali: costituiscono il canale ufficiale di comunicazione e cooperazione con il CSIRT Italia, e rivestono un ruolo strutturale nella gestione degli incidenti e delle attività di vigilanza.

3. Processo di adeguamento: misure di sicurezza e gestione del rischio


Oltre agli adempimenti formali, la compliance NIS2 richiede l’adozione e l’integrazione di misure di sicurezza organizzative, tecniche e di governance del rischio. Queste attività non si esauriscono con un singolo adempimento, ma richiedono l’avvio di un ciclo di miglioramento continuo.

3.1 Analisi del rischio e governance
È necessario inquadrare la gestione della sicurezza informatica all’interno della governance aziendale o istituzionale:

  • definire responsabilità chiare a livello di management e di funzione dedicata alla sicurezza;
  • predisporre un modello di gestione dei rischi coerente con standard riconosciuti (ISO/IEC 27001, NIST CSF o similari);
  • integrare la sicurezza informatica con le strategie di business continuity e disaster recovery. 

Quest’ultima attività non è un adempimento “tecnico”, ma una esigenza operativa fondamentale: governance, gestione del rischio e continuità operativa sono aspetti inseparabili in un contesto in cui la sicurezza è componente strutturale del profilo di rischio.

Potrebbero interessarti anche:

4. Piani di sicurezza e misure tecniche minime


La Determinazione ACN n. 164179/2025 – uno degli atti attuativi principali – ha definito misure tecniche minime per i soggetti NIS2, su due livelli coerenti con il Framework Nazionale per la Cybersecurity e la Data Protection:

  • i soggetti essenziali devono adottare il set di misure indicato nell’Allegato 2;
  • i soggetti importanti devono attuare le misure dell’Allegato 1. 

Le misure operative riguardano controlli di accesso, protezione perimetrale, gestione delle vulnerabilità, logging e monitoraggio, oltre a processi di incident response testati periodicamente.

5. Notifica degli incidenti: processo, tempi e criteri


Il tema della notifica degli incidenti di sicurezza è uno dei più impegnativi dal punto di vista operativo. A partire dal 1° gennaio 2026, entra in vigore l’obbligo di notifica tempestiva degli incidenti al CSIRT Italia tramite la piattaforma ACN, con criteri di significatività e soglie definite dagli atti attuativi. 
La procedura di notifica richiede:

  • un processo interno di classificazione degli incidenti;
  • la definizione di soglie di impatto;
  • l’adozione di un sistema di monitoraggio e rilevazione tempestivo;
  • la predisposizione di reportistica strutturata.

La compliance in materia di notifica non può limitarsi alla trasmissione via PEC o portale: richiede modelli e procedure formalizzati e sottoposti a verifica continua.

6. Aggiornamento annuale delle informazioni e reporting continuo


Il percorso NIS2 non si esaurisce con la registrazione annuale; prevede un aggiornamento periodico e obbligatorio delle informazioni trasmesse:

  • annualmente, le organizzazioni devono aggiornare i dati relativi a struttura, referenti, servizi offerti, topologia delle reti e altri elementi rilevanti;
  • eventuali modifiche significative devono essere comunicate entro 14 giorni dalla variazione. 

Questo implica un modello di compliance organico e coordinato, in cui gli obblighi formali si intrecciano con quelli gestionali e tecnici.

7. Sanzioni, vigilanza e responsabilità del management


Il D.Lgs. 138/2024 attribuisce all’ACN poteri di vigilanza e sanzione, comprese ispezioni e richieste di informazioni che dimostrino l’effettiva attuazione delle misure di sicurezza. La mancata adozione di misure adeguate o il ritardo negli adempimenti possono dar luogo a sanzioni amministrative significative
Il quadro sanzionatorio – pur richiedendo sempre un’applicazione proporzionata – impone un’attenzione particolare alle responsabilità del management e degli organi di controllo aziendale, che devono garantire l’effettiva operatività dei processi di compliance.

8. Integrazione di compliance e strategia d’impresa


Il tema della NIS2 non può essere confinato a una checklist di adempimenti: per essere sostenibile e resilient, il percorso di adeguamento deve essere integrato nella strategia complessiva dell’organizzazione. Questo significa:

  • considerare la sicurezza come un elemento di continuità operativa e non solo di compliance;
  • allineare cybersecurity, protezione dei dati e agile governance del rischio;
  • standardizzare processi, metriche e KPI di sicurezza;
  • prevedere esercitazioni periodiche e audit interni ed esterni.

9. Conclusioni: governance integrata, processi documentati, responsabilità reali


La nuova disciplina NIS2, così come attuata in Italia attraverso gli strumenti messi a disposizione dall’ACN, rappresenta un cambio di paradigma: la sicurezza delle reti e dei sistemi informativi non è più un requisito tecnico opzionale, ma un obbligo di governance sistemico, strettamente connesso alla capacità di resilienza e continuità operativa delle organizzazioni.
Per le imprese e le pubbliche amministrazioni, i prossimi mesi richiedono un piano d’azione operativo, basato su scadenze chiare (registrazione 1° gennaio–28 febbraio 2026, designazione Referente CSIRT entro 31 dicembre 2025, notifica incidenti dal 1° gennaio 2026), ma soprattutto su processi documentati, competenze interne e integrazione tra sicurezza, rischio e compliance.
La sfida non è solo normativa: è culturale. La NIS2 richiede di ripensare il rapporto tra tecnologia, rischio e responsabilità, ponendo al centro non solo i sistemi, ma le persone che li governano e tutelano.

Ti interessano questi contenuti?


Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!

Iscriviti alla newsletter
Iscrizione completata

Grazie per esserti iscritto alla newsletter.

Seguici sui social


Avv. Luisa Di Giacomo

Laureata in giurisprudenza a pieni voti nel 2001, avvocato dal 2005, ho studiato e lavorato nel Principato di Monaco e a New York.
Dal 2012 mi occupo di compliance e protezione dati, nel 2016 ho conseguito il Master come Consulente Privacy e nel 2020 ho conseguito il titolo…Continua a leggere

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Diritto amministrativo
Privacy e Cybersecurity
Farmacie, ricetta dematerializzata e responsabilità professionale: il 2026 è l’anno della maturità digitale

Ecco cosa cambia davvero nel 2026 per le farmacie e per i farmacisti, tra obblighi, flussi, assicura…

laura biarella 01/01/26
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Legge di bilancio 2026: cosa cambia per telemedicina, dati sanitari e privacy

La telemedicina non è più un terreno sperimentale, né un’appendice di emergenza del Servizio sanitar…

Luisa Di Giacomo 29/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Vacanze di Natale, panettoni e data breach: come non regalare i propri dati (e quelli altrui) durante le feste

Dal punto di vista della privacy e della protezione dei dati personali, il periodo delle festività è…

Luisa Di Giacomo 24/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Privacy e Cybersecurity
Misure di sicurezza inadeguate e consensi “automatici”: il Garante privacy sanziona AIMAG

Quando si parla di protezione dei dati personali, la sicurezza non è un’opzione tecnica né un dettag…

Luisa Di Giacomo 22/12/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;