Con l’entrata in vigore progressiva della Direttiva Europea NIS2, adottata con il decreto legislativo 4 settembre 2024, n. 138, le aziende che operano nei settori ritenuti essenziali o importanti per il funzionamento dello Stato e dei servizi critici sono ora soggette a obblighi più stringenti in materia di cybersecurity, in particolare per quanto riguarda la segnalazione tempestiva degli incidenti informatici.

Le aziende classificate come NIS devono adottare un approccio responsabile e proattivo nella gestione degli incidenti.

Tra gli obblighi principali:

• Notifica preliminare entro 24 ore dall’identificazione di un incidente significativo.
• Notifica completa entro 72 ore, con tutti i dettagli utili alla valutazione dell’impatto.
• Report finale entro un mese, contenente analisi approfondita, misure correttive ed eventuali azioni di mitigazione adottate.

La mancata segnalazione degli incidenti può comportare pesanti sanzioni amministrative, che per alcune categorie possono raggiungere milioni di euro, oltre a responsabilità specifiche per i vertici aziendali.

• Sanzioni economicheSoggetto essenziale, la sanzione può arrivare fino a 10 milioni di euro oppure al 2% del fatturato mondiale annuo, a seconda di quale cifra risulti maggiore.
  Soggetto importante, la sanzione può raggiungere 7 milioni di euro oppure 1,4% del fatturato globale annuo.
• Altre conseguenze amministrative o operativePossibilità di ricevere ordini vincolanti per porre rimedio alla situazione - ad esempio obblighi di adeguamento di misure di sicurezza, audit, restrizioni operative.
  In casi gravi o ripetuti, possono essere adottate misure pubbliche: notifiche pubbliche dell’infrazione, comunicazioni ai clienti/utenti, perdita di fiducia, danni reputazionali.
  Per i soggetti essenziali, in casi di inadempienze gravi, si può arrivare anche alla sospensione di autorizzazioni o certificazioni o al divieto temporaneo per dirigenti di ricoprire ruoli manageriali.
• Responsabilità personale dei vertici aziendaliLa normativa attribuisce la responsabilità anche a livello di direzione: in caso di negligenza grave, i dirigenti possono essere personalmente ritenuti responsabili.

Obbligo di notifica: ACN suggerisce un modello per il processo di gestione degli incidenti

La gestione degli incidenti di sicurezza informatica costituisce uno dei pilastri del nuovo impianto normativo, al fine di garantire la continuità delle attività e dei servizi, la protezione delle informazioni e la resilienza delle organizzazioni.

Al fine di supportare i soggetti NIS nel loro percorso di adeguamento agli obblighi previsti dal decreto NIS, ACN ha elaborato le “Linee guida NIS – Specifiche di base – per la definizione del processo di gestione degli incidenti di sicurezza informatica”.

Fermo restando l’obbligatorietà di conformarsi nei termini previsti alle specifiche di base di cui alla determinazione ACN 379907/2025, viene suggerito un modello per il processo di gestione degli incidenti e descritta la relazione tra le fasi del processo e le misure di sicurezza di base.

Le Linee Guida comprendono, tra l’altro, due appendici che riportano, rispettivamente, un’introduzione alle specifiche di base per una migliore comprensione del documento e un elenco delle misure di sicurezza della disciplina NIS rilevanti per la gestione degli incidenti.

Riapertura del portale ACN e notifica incidenti

Dal 1 gennaio 2026 la piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha riaperto le registrazioni. Questo significa che le nuove organizzazioni che diventano soggette alla normativa devono effettuare la prima registrazione ufficiale, mentre quelle già incluse nel perimetro NIS nel 2025 sono tenute a rinnovare l’iscrizione effettuata lo scorso anno

La registrazione comporta la dichiarazione della propria appartenenza al perimetro NIS2, l’individuazione dei servizi essenziali o importanti e l’assunzione esplicita di responsabilità verso ACN e CSIRT Italia. Dal punto di vista normativo, è il passaggio che rende l’azienda pienamente tracciabile e verificabile.

Lo stesso rinnovo non è solo un adempimento formale, perché richiede di verificare e aggiornare i dati trasmessi, confermare o modificare la classificazione come soggetto essenziale o importante e aggiornare eventuali variazioni organizzative, tecnologiche o di governance intervenute nel corso dell’anno precedente. Si tratta di uno step di primaria importanza, perché eventuali informazioni non aggiornate possono compromettere la corretta gestione delle notifiche.

Tra febbraio e settembre 2026

Tra febbraio e settembre 2026, l’Agenzia per la Cybersicurezza Nazionale (ACN) pubblicherà le linee guida NIS2 specifiche per settore, uno strumento fondamentale per trasformare la compliance da obbligo normativo a processo operativo efficace.

Le linee guida non saranno documenti generici: saranno pratiche, concrete e settoriali, pensate per adattare i requisiti della Direttiva alle reali esigenze operative di ogni tipologia di organizzazione. Le aziende sapranno quindi esattamente quali misure prioritarie adottare, evitando implementazioni eccessive o insufficienti.

Tutto questo è fondamentale e propedeutico alla scadenza del 31 ottobre, da segnare in rosso sul calendario. Entro questa data tutte le misure di base previste dalla NIS2 devono essere implementate e operative. Che cosa significa “misure di base” nella NIS2?

Secondo la determinazione ACN 164179/2025, queste misure si articolano in cinque ambiti chiave: governance e risk management, protezione tecnica dei sistemi, incident response e continuità operativa, gestione della supply chain, formazione e monitoraggio.

Oltre ottobre 2026: misure a lungo termine

Il 31 ottobre 2026 definisce la fine della prima fase delle misure di sicurezza di base. Da ottobre 2026 in avanti, inizierà la definizione delle misure a lungo termine, più avanzate e con maggiore perimetro e potrebbero essere inclusi nuovi obblighi.

Questo significa che l’adeguamento alla NIS2 è un processo evolutivo: anticipare le attività non solo aiuta a rispettare le scadenze, ma crea un vantaggio competitivo sul fronte della fiducia di clienti e partner.