Come già approfondito in una precedente news il 2026 rappresenta l'anno cruciale per la piena operatività della normativa NIS2 in Italia.

Innanzitutto ripercorriamo il cronoprogramma delle scadenze NIS2 per il biennio 2025 - 2026:

• 28 Febbraio 2025 (Annuale): Termine per la registrazione obbligatoria o l'aggiornamento dei dati sulla piattaforma digitale dell'Agenzia per la Cybersicurezza Nazionale (ACN). 
• 31 Luglio 2025: Scadenza per il censimento dei componenti degli organi amministrativi e direttivi sul portale ACN. 
• 1 Gennaio 2026: Entrata in vigore dell'obbligo di notifica degli incidenti significativi al CSIRT Italia (pre-allarme entro 24 ore, notifica completa entro 72 ore). 
• Aprile 2026: Pubblicazione da parte di ACN dei modelli definitivi di categorizzazione delle attività e degli obblighi di sicurezza a lungo termine. 
• 30 Giugno 2026: Termine per la comunicazione dell'elenco delle attività e dei servizi, inclusa la loro categorizzazione di rilevanza (ordinaria, critica, altamente critica). 
• 31 Ottobre 2026 (Data Chiave): Termine per l'implementazione completa delle misure di sicurezza di base, che include obbligatoriamente il completamento dei percorsi di formazione 

Obblighi di Formazione (Art. 23 D.Lgs. 138/2024) 

La normativa NIS2 trasforma la formazione da semplice "buona pratica" a pilastro della governance aziendale. Gli obblighi sono differenziati per ruolo: 

1. Organi di Amministrazione e Direttivi (CdA e Dirigenti)

• Partecipazione Personale: I membri dei vertici aziendali devono seguire personalmente percorsi formativi per acquisire le conoscenze necessarie a valutare i rischi cyber e l'impatto delle minacce sul business. 
• Responsabilità di Supervisione: Hanno il dovere di approvare le misure di gestione del rischio e sovrintendere alla loro attuazione. 
• Sanzioni Interdittive: In caso di inadempimento, l'ACN può disporre la sospensione temporanea dalle funzioni dirigenziali fino al ripristino della conformità. 

2. Tutto il Personale

Le aziende devono promuovere l'offerta periodica di formazione per favorire una cultura della sicurezza diffusa (Cyber Hygiene). I programmi devono includere:  

• Riconoscimento delle minacce: Phishing, social engineering e software dannoso. 
• Igiene Digitale: Gestione sicura di password, uso dell'autenticazione a più fattori (MFA) e sicurezza nel cloud. 
• Procedure Operative: Istruzioni su come segnalare tempestivamente incidenti o attività sospette ai punti di contatto
  interni. 

3. Evidenze documentali per gli Audit

Per dimostrare la conformità durante le ispezioni ACN (che inizieranno da ottobre 2026), l'azienda deve produrre:  

• Programmi formativi completi (obiettivi, contenuti, calendari). 
• Registri di partecipazione e attestati di frequenza. 
• Test di valutazione dell'efficacia dell'apprendimento (quiz o esami finali).  

Le aziende associate possono contattare Confindustria Benevento per ricevere assistenza e valutare strumenti a supporto del proprio percorso di adeguamento alla normativa Nis2.