La Direttiva NIS2 — recepita in Italia con il decreto legislativo 4 settembre 2024, n. 138 — ha ridefinito il quadro giuridico della sicurezza delle reti e dei sistemi informativi, ampliando significativamente il campo di applicazione rispetto alla precedente normativa NIS, rafforzando gli obblighi di gestione del rischio, sicurezza e notifica degli incidenti, e introducendo una vigilanza strutturata affidata all’Agenzia per la Cybersicurezza Nazionale (ACN). La transizione dalla fase di recepimento alla piena attuazione normativa richiede oggi una progettazione operativa di compliance strutturata e calendarizzata da parte delle imprese e delle pubbliche amministrazioni interessate.
Questa guida operativa, pensata per professionisti del diritto, compliance officer, DPO, responsabili ICT e dirigenti aziendali, offre un percorso dettagliato e orientato agli adempimenti imprescindibili dei prossimi mesi, con un focus metodologico e pratico che supera la mera elencazione normativa per tradursi in un piano di lavoro concreto e replicabile. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
Indice
- 1. Identificare e inquadrare la propria organizzazione nel perimetro NIS2
- 2. Registrazione e designazione dei referenti nel Portale ACN
- 3. Processo di adeguamento: misure di sicurezza e gestione del rischio
- 4. Piani di sicurezza e misure tecniche minime
- 5. Notifica degli incidenti: processo, tempi e criteri
- 6. Aggiornamento annuale delle informazioni e reporting continuo
- 7. Sanzioni, vigilanza e responsabilità del management
- 8. Integrazione di compliance e strategia d’impresa
- 9. Conclusioni: governance integrata, processi documentati, responsabilità reali
1. Identificare e inquadrare la propria organizzazione nel perimetro NIS2
La prima attività – preliminare e imprescindibile – consiste nel capire se la propria organizzazione è soggetta alla disciplina NIS2. Sulla base del D.Lgs. 138/2024 e delle FAQ ACN:
- rientrano nel perimetro NIS2 soggetti pubblici e privati identificati come essenziali o importanti in funzione dei criteri settoriali e dimensionali delineati dal decreto;
- tra i settori tipicamente coinvolti figurano energia, trasporti, sanità, servizi digitali e pubblica amministrazione, ma con criteri molto più ampi rispetto alla precedente direttiva.
La valutazione deve essere formalizzata con un atto interno che documenta la presenza o l’assenza dei criteri di inquadramento NIS2, elemento che costituirà base per tutti gli altri adempimenti. Per approfondire il tema, abbiamo pubblicato il volume NIS 2 ed Evoluzione della Cybersicurezza Nazionale, disponibile su Shop Maggioli e su Amazon.
2. Registrazione e designazione dei referenti nel Portale ACN
2.1 Registrazione 2026
La piattaforma digitale dell’ACN per la gestione NIS2 costituisce il nucleo operativo delle attività di compliance. Secondo quanto comunicato dall’Agenzia:
- dal 1° gennaio al 28 febbraio 2026 si apre la registrazione 2026 sulla piattaforma per tutte le organizzazioni che nel 2025 hanno verificato i presupposti di appartenenza al perimetro NIS2;
- anche i soggetti già registrati nel 2025 devono presentare una nuova dichiarazione per il 2026, confermando o modificando i dati già forniti.
La registrazione richiede l’inserimento di informazioni anagrafiche di base, la designazione del Punto di Contatto NIS e l’aggiornamento dei dati relativi alla struttura e ai servizi dell’organizzazione.
2.2 Nomina del Referente CSIRT
Contestualmente, entro il 31 dicembre 2025, i punti di contatto NIS possono e devono designare il Referente CSIRT e i suoi eventuali sostituti, inserendo i relativi dati nella sezione dedicata del Portale ACN. Il Referente dovrà successivamente completare la propria registrazione e censimento individuale sul sistema.
Queste designazioni non sono formali: costituiscono il canale ufficiale di comunicazione e cooperazione con il CSIRT Italia, e rivestono un ruolo strutturale nella gestione degli incidenti e delle attività di vigilanza.
3. Processo di adeguamento: misure di sicurezza e gestione del rischio
Oltre agli adempimenti formali, la compliance NIS2 richiede l’adozione e l’integrazione di misure di sicurezza organizzative, tecniche e di governance del rischio. Queste attività non si esauriscono con un singolo adempimento, ma richiedono l’avvio di un ciclo di miglioramento continuo.
3.1 Analisi del rischio e governance
È necessario inquadrare la gestione della sicurezza informatica all’interno della governance aziendale o istituzionale:
- definire responsabilità chiare a livello di management e di funzione dedicata alla sicurezza;
- predisporre un modello di gestione dei rischi coerente con standard riconosciuti (ISO/IEC 27001, NIST CSF o similari);
- integrare la sicurezza informatica con le strategie di business continuity e disaster recovery.
Quest’ultima attività non è un adempimento “tecnico”, ma una esigenza operativa fondamentale: governance, gestione del rischio e continuità operativa sono aspetti inseparabili in un contesto in cui la sicurezza è componente strutturale del profilo di rischio.
4. Piani di sicurezza e misure tecniche minime
La Determinazione ACN n. 164179/2025 – uno degli atti attuativi principali – ha definito misure tecniche minime per i soggetti NIS2, su due livelli coerenti con il Framework Nazionale per la Cybersecurity e la Data Protection:
- i soggetti essenziali devono adottare il set di misure indicato nell’Allegato 2;
- i soggetti importanti devono attuare le misure dell’Allegato 1.
Le misure operative riguardano controlli di accesso, protezione perimetrale, gestione delle vulnerabilità, logging e monitoraggio, oltre a processi di incident response testati periodicamente.
5. Notifica degli incidenti: processo, tempi e criteri
Il tema della notifica degli incidenti di sicurezza è uno dei più impegnativi dal punto di vista operativo. A partire dal 1° gennaio 2026, entra in vigore l’obbligo di notifica tempestiva degli incidenti al CSIRT Italia tramite la piattaforma ACN, con criteri di significatività e soglie definite dagli atti attuativi.
La procedura di notifica richiede:
- un processo interno di classificazione degli incidenti;
- la definizione di soglie di impatto;
- l’adozione di un sistema di monitoraggio e rilevazione tempestivo;
- la predisposizione di reportistica strutturata.
La compliance in materia di notifica non può limitarsi alla trasmissione via PEC o portale: richiede modelli e procedure formalizzati e sottoposti a verifica continua.
6. Aggiornamento annuale delle informazioni e reporting continuo
Il percorso NIS2 non si esaurisce con la registrazione annuale; prevede un aggiornamento periodico e obbligatorio delle informazioni trasmesse:
- annualmente, le organizzazioni devono aggiornare i dati relativi a struttura, referenti, servizi offerti, topologia delle reti e altri elementi rilevanti;
- eventuali modifiche significative devono essere comunicate entro 14 giorni dalla variazione.
Questo implica un modello di compliance organico e coordinato, in cui gli obblighi formali si intrecciano con quelli gestionali e tecnici.
7. Sanzioni, vigilanza e responsabilità del management
Il D.Lgs. 138/2024 attribuisce all’ACN poteri di vigilanza e sanzione, comprese ispezioni e richieste di informazioni che dimostrino l’effettiva attuazione delle misure di sicurezza. La mancata adozione di misure adeguate o il ritardo negli adempimenti possono dar luogo a sanzioni amministrative significative.
Il quadro sanzionatorio – pur richiedendo sempre un’applicazione proporzionata – impone un’attenzione particolare alle responsabilità del management e degli organi di controllo aziendale, che devono garantire l’effettiva operatività dei processi di compliance.
8. Integrazione di compliance e strategia d’impresa
Il tema della NIS2 non può essere confinato a una checklist di adempimenti: per essere sostenibile e resilient, il percorso di adeguamento deve essere integrato nella strategia complessiva dell’organizzazione. Questo significa:
- considerare la sicurezza come un elemento di continuità operativa e non solo di compliance;
- allineare cybersecurity, protezione dei dati e agile governance del rischio;
- standardizzare processi, metriche e KPI di sicurezza;
- prevedere esercitazioni periodiche e audit interni ed esterni.
9. Conclusioni: governance integrata, processi documentati, responsabilità reali
La nuova disciplina NIS2, così come attuata in Italia attraverso gli strumenti messi a disposizione dall’ACN, rappresenta un cambio di paradigma: la sicurezza delle reti e dei sistemi informativi non è più un requisito tecnico opzionale, ma un obbligo di governance sistemico, strettamente connesso alla capacità di resilienza e continuità operativa delle organizzazioni.
Per le imprese e le pubbliche amministrazioni, i prossimi mesi richiedono un piano d’azione operativo, basato su scadenze chiare (registrazione 1° gennaio–28 febbraio 2026, designazione Referente CSIRT entro 31 dicembre 2025, notifica incidenti dal 1° gennaio 2026), ma soprattutto su processi documentati, competenze interne e integrazione tra sicurezza, rischio e compliance.
La sfida non è solo normativa: è culturale. La NIS2 richiede di ripensare il rapporto tra tecnologia, rischio e responsabilità, ponendo al centro non solo i sistemi, ma le persone che li governano e tutelano.
