Direttiva NIS2, nuovi passaggi operativi in vista della scadenza definitiva di ottobre 2026

Direttiva NIS2, nuovi passaggi operativi in vista della scadenza definitiva di ottobre 2026

In questo articolo

NIS2, le nuove indicazioni di ACN (Agenzia per la Cybersicurezza Nazionale) pubblicate ad aprile 2026

Secondo le nuove indicazioni di ACN (Agenzia per la Cybersicurezza Nazionale) pubblicate ad aprile 2026, le aziende soggette alla NIS devono classificare le proprie attività in base al livello di impatto e comunicare i fornitori critici attraverso il portale dedicato.

Dopo la registrazione al portale ACN e l’avvio degli obblighi di notifica degli incidenti, il 2026 ha introdotto nuovi passaggi operativi e il punto che ha maggior impatto riguarda la categorizzazione di attività e servizi, insieme alla mappatura dei fornitori rilevanti.

Link utili
https://www.acn.gov.it/portale/nis/categorizzazione
https://www.acn.gov.it/portale/documents/d/guest/modello-di-categorizzazione-nis-guida-alla-lettura

Per le imprese, è d’obbligo passare da un approccio reattivo a una gestione più ordinata del rischio cyber. Oltre a dimostrare di avere strumenti di sicurezza, serve sapere quali servizi sono davvero essenziali, quali fornitori possono incidere sulla continuità operativa e quali misure devono essere prioritarie.

Area Cosa cambia per CISO e IT Manager
Attività e servizi Vanno classificati in base all’impatto sul business
Fornitori Devono essere identificati quelli rilevanti per la sicurezza
Incident response Serve una procedura chiara per notifiche e gestione eventi
Governance La sicurezza diventa un processo continuo, non un adempimento isolato

Cos’è la NIS2

Con la Direttiva NIS2, recepita in Italia dal decreto legislativo 138/2024, la cybersecurity è andata oltre il tema tecnico.  Per CISO e IT Manager è diventata infatti una responsabilità organizzativa, con scadenze, controlli e obblighi da gestire in modo strutturato.
La normativa è in vigore dal 16 ottobre 2024 e ACN è l’autorità competente in Italia.

Vuoi approfondire il tema NIS2? Leggi i nostri articoli precedenti:

NIS2: la scadenza di ottobre 2024, gli obblighi e le responsabilità
NIS2 e sicurezza misurabile: definizione di un incidente “significativo” secondo la misura DE.CM-01

Essersi preparati per tempo permette ora di scongiurare il rischio di sanzioni, ma soprattutto di migliorare controllo, resilienza e continuità del business. Per CISO e IT Manager, la NIS2 è un’occasione continua per rafforzare il ruolo della cybersecurity nelle decisioni aziendali.

Direttiva NIS2 e principio di proporzionalità degli obblighi

Ad aprile 2026 è entrato in gioco uno dei passaggi più rilevanti della NIS2, ovvero il modello di categorizzazione delle attività e dei servizi.

La Direttiva introduce il principio di proporzionalità degli obblighi. Ogni attività aziendale riceve un livello di attenzione diverso in base alla sua criticità, al ruolo che svolge per la continuità della sua funzione e agli effetti che un incidente cyber potrebbe generare sul sistema-Paese.

Per CISO e IT Manager vuol dire classificare con precisione servizi, processi e infrastrutture, così da applicare misure di sicurezza coerenti con il reale livello di rischio.

A cosa serve il modello di categorizzazione

Il modello di categorizzazione aiuta i soggetti NIS a individuare i diversi livelli di rischio presenti nei propri sistemi informativi e di rete.

In concreto, l’azienda classifica attività e servizi in base a tre elementi principali:

  • criticità del servizio;
  • settore di appartenenza;
  • impatto potenziale di un incidente informatico.

Questo approccio permette a CISO e IT Manager di assegnare priorità chiare e concentrare gli interventi sulle aree più esposte.

La NIS2 introduce anche una visione “multi-rischio” della sicurezza. La protezione dei sistemi comprende quindi minacce digitali, rischi fisici e fattori esterni che possono compromettere la business continuity.

Rischio Esempi
Digitale Attacchi cyber, compromissione dei sistemi, furto di dati
Fisico Furti, incendi, allagamenti, accessi non autorizzati
Operativo Interruzioni di corrente, problemi alle telecomunicazioni, blocchi dei servizi

È un’impostazione che rende la sicurezza più concreta perchè protegge infrastrutture, dati e processi considerando l’intero contesto in cui l’azienda opera.

Come funziona la classificazione delle attività

Il modello di categorizzazione serve ad organizzare attività e servizi in tre livelli: altamente critici, critici e ordinari. Ogni livello richiede misure di sicurezza proporzionate al rischio reale. Per CISO e IT Manager, la categorizzazione diventa quindi uno strumento che permette di capire dove concentrare budget, controlli e risorse tecniche.

Le attività più esposte ricevono protezioni più forti, mentre quelle con impatto ridotto seguono requisiti più leggeri. In questo modo l’azienda costruisce un piano di sicurezza più sostenibile, mirato e coerente con il proprio profilo di rischio.

Un esempio concreto di categorizzazione NIS2

L’esempio riportato rappresenta una simulazione pratica basata sui criteri di categorizzazione e gestione del rischio descritti da ACN nelle linee guida NIS2. Immaginiamo una media azienda del settore manifatturiero che utilizza:

  • un sistema ERP per gestire produzione e ordini
  • una piattaforma cloud per la collaborazione interna
  • sistemi OT collegati alle linee produttive
  • un portale web corporate

Con il modello di categorizzazione, il CISO deve valutare quali sistemi hanno il maggiore impatto sul business e sulla business continuity.

Sistema Livello di criticità Motivo
ERP produzione Alto Blocca ordini, logistica e attività operative
Sistemi OT industriali Alto Interrompe la produzione e la supply chain
Microsoft 365 Medio Impatta su collaborazione e produttività
Sito web istituzionale Basso Effetto limitato sui processi core

L’azienda concentrerà quindi le misure più avanzate sui sistemi ERP e OT:

  • monitoraggio continuo;
  • segmentazione della rete;
  • backup isolati;
  • controllo accessi privilegiati;
  • procedure di incident response dedicate.

La NIS2 introduce però anche una logica multi-rischio, dove un CISO dovrà considerare sia gli attacchi cyber sia gli eventi fisici o operativi che possono interrompere il servizio.

Ad esempio:

  • un ransomware può fermare l’ERP;
  • un blackout energetico può bloccare gli impianti OT
  • un incendio nel data center può rendere non disponibili i servizi critici
  • un problema del provider di telecomunicazioni può interrompere la produzione e l’accesso da remoto

Per questo ACN richiede una valutazione più ampia della resilienza, che integri cybersecurity, business continuity e gestione dei fornitori.

Tutte le indicazioni ufficiali sono riportate nella documentazione NIS pubblicata dall’Agenzia “Guida ACN – Specifiche di base NIS”

Leggi le FAQ di ACN sulla categorizzazione

Gli obblighi a lungo termine attesi dall’ACN

Il modello di categorizzazione si collega a un altro passaggio importante, la definizione degli obblighi a lungo termine da parte dell’ACN.

Gli obblighi rappresentano l’evoluzione naturale delle misure di base pubblicate ad aprile 2025, che le imprese stanno già adottando. Nella fase iniziale, le aziende applicano requisiti minimi e trasversali, validi per gran parte dell’infrastruttura IT e pensati per un primo livello di adeguamento.

La fase successiva introdurrà misure più specifiche, calibrate sul settore, sulla criticità dei servizi e sul livello di rischio emerso dalla categorizzazione. Per CISO e IT Manager, questo significa prepararsi a un percorso più mirato, in cui priorità, controlli e investimenti dipenderanno dal ruolo effettivo dei sistemi e dei servizi aziendali, oggi non ancora ben delineato.

DA SAPERE

Secondo i dati diffusi dall'ACN nel 2025, il perimetro NIS2 in Italia coinvolge oltre 20.000 organizzazioni tra soggetti essenziali e importanti, con un impatto esteso anche alla supply chain. 
Fonte: https://www.ictsecuritymagazine.com/notizie/nis2-audit-acn/ 

Fornitori, contratti e verifiche: cosa cambia

La NIS2 spinge le aziende anche a rivedere il rapporto con la propria supply chain. La scelta di un fornitore deve considerare competenze tecniche, qualità del servizio e livello di sicurezza cyber.

Per CISO e IT Manager, la valutazione deve includere anche la capacità del fornitore di proteggere i propri sistemi, gestire i subfornitori e dare priorità alla sicurezza lungo tutta la filiera.

I contratti assumono un ruolo centrale e dovranno indicare con chiarezza:

  • requisiti minimi di sicurezza;
  • obblighi in caso di incidente;
  • modalità di audit e verifica;
  • responsabilità operative;
  • conseguenze in caso di mancato rispetto degli accordi.

La NIS2 crea quindi un effetto a cascata, dove le aziende soggette alla normativa chiederanno standard più alti ai propri fornitori, che a loro volta dovranno adeguarsi per continuare a lavorare con clienti strutturati.

Questo processo alzerà il livello medio di sicurezza dell’intero ecosistema. Per molti fornitori, la postura cyber diventerà un requisito commerciale decisivo, oltre che tecnico e normativo.

Direttiva NIS2 scadenze 2026

Le nuove scadenze NIS2 entro maggio 2026

Nuovi obblighi ACN su fornitori rilevanti e condivisione delle informazioni

Le ultime indicazioni ACN introducono anche obblighi operativi specifici sulla gestione dei fornitori rilevanti NIS e degli accordi di condivisione delle informazioni cyber. Entro il 31 maggio 2026, i soggetti NIS devono aggiornare sul Portale ACN l’elenco dei fornitori ICT considerati critici per continuità operativa, sicurezza o assenza di alternative equivalenti sul mercato. Rientrano in questa categoria servizi come cloud provider, data center, DNS, SOC, MDR, MSSP e servizi di threat intelligence.

Le aziende devono inoltre comunicare eventuali accordi dedicati allo scambio di informazioni di sicurezza informatica, inclusi indicatori di compromissione, vulnerabilità, alert e informazioni sugli incidenti. Per CISO e IT Manager, viene ribadita la necessità di avere una governance chiara della supply chain, una classificazione aggiornata dei fornitori e una gestione documentata delle relazioni cyber più critiche.

Gli obblighi di notifica degli incidenti già attivi nel 2026 per i soggetti NIS

Dal gennaio 2026 i soggetti NIS devono rispettare gli obblighi di notifica degli incidenti verso lo CSIRT Italia. Le aziende entrate nell’elenco NIS ad aprile 2025 devono quindi gestire procedure, responsabilità e tempi di comunicazione in modo strutturato.

La normativa prevede un percorso di notifica articolato in tre fasi.

Fase Tempistica Contenuto
Pre-notifica Entro 24 ore Prime informazioni sull’incidente e possibile origine malevola
Notifica completa Entro 72 ore Valutazione iniziale dell’impatto, gravità e indicatori di compromissione
Relazione finale Entro 1 mese Cause dell’incidente, misure adottate e azioni correttive

La velocità diventa quindi un elemento centrale. Le aziende devono identificare rapidamente gli incidenti significativi, raccogliere informazioni affidabili e attivare procedure interne già definite.
È l’occasione per una revisione dei processi con monitoraggio continuo, escalation interne, raccolta dei log e coordinamento con fornitori e partner esterni assumono un ruolo sempre più strategico.

Il cambio delle responsabilità, da un tema IT all’impatto sull’intero business

Uno degli errori più rischiosi per le aziende è affrontare la cybersecurity come un adempimento formale, limitato all’area legale o al reparto IT. La NIS2 richiede invece una visione più ampia, che parte da un inventario accurato di sistemi, processi, fornitori e responsabilità.

Per CISO e IT Manager diventa importante classificare correttamente il ruolo dell’organizzazione, il livello di esposizione al rischio e gli obblighi collegati. Una distinzione poco chiara tra provider e deployer può infatti generare responsabilità diverse e portare a scelte errate.

Provider e deployer: perché distinguere i ruoli

Un esempio semplice riguarda i servizi cloud. Il provider mette a disposizione l’infrastruttura, garantisce la sicurezza della piattaforma e gestisce aggiornamenti, disponibilità e continuità del servizio. Il deployer, cioè l’azienda che usa quel servizio, deve invece configurare correttamente accessi, permessi, dati, backup e procedure interne di risposta agli incidenti.

Confondere questi ruoli può creare aree scoperte nella gestione della sicurezza. Per questo CISO e IT Manager devono chiarire fin dall’inizio chi fa cosa, sia a livello tecnico sia nei contratti con i fornitori. Serve quindi preparare per tempo evidenze, controlli, documentazione, tracciabilità e procedure di monitoraggio degli incidenti. Solo così l’azienda può dimostrare una gestione cyber coerente e verificabile.

Le attività per la NIS2 fino a settembre 2026

Fino a settembre 2026, ACN pubblicherà le linee guida settoriali sulle misure di sicurezza. Le aziende dovranno seguire il calendario delle uscite e aggiornare la pianificazione interna in base alle indicazioni applicabili al proprio settore.

Dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e importanti devono comunicare o aggiornare, tramite piattaforma digitale, l’elenco delle proprie attività e dei propri servizi. Il modello di categorizzazione definito da ACN prevede dieci macro-aree e quattro livelli di rilevanza: impatto minimo, basso, medio e alto.

Il parere dell’esperto sulle responsabilità in azienda per la NIS2

Come riportato da Adnkronos in questo articolo, Riccardo Petricca, ingegnere e certificatore accreditato Mimit (Ministero delle Imprese e del Made in Italy), spiega i cambiamenti in atto:

“Con l’introduzione della NIS2 – spiega – la cybersecurity diventa governance: gli organi apicali devono approvare, sovraintendere e rispondere delle violazioni, non possono più semplicemente delegare come accadeva fino a qualche anno fa. Oggi un incidente cyber rappresenta un rischio operativo, economico e legale con impatti sui cittadini, sulla continuità operativa, e la finestra di notifica di 24-72 ore impone decisioni immediate con responsabilità e risorse che fanno capo direttamente a sindaci, giunte e amministratori delegati”.

Collegati al sito ufficiale di ACN per saperne di più sulla categorizzazione
https://www.acn.gov.it/portale/nis/categorizzazione

Questa classificazione guiderà le future misure di sicurezza a lungo termine. ACN le definirà secondo criteri di proporzionalità e gradualità, collegando gli obblighi alla rilevanza assegnata alle diverse attività.

In questa fase le organizzazioni possono completare anche la gap analysis, cioè il confronto tra lo stato attuale della sicurezza e la baseline minima richiesta. Standard come ISO/IEC 27001:2022 e NIST Cybersecurity Framework 2.0 possono supportare il lavoro, purché ogni collegamento con i requisiti NIS2 risulti chiaro, documentato e verificabile.

Checklist operativa consigliata

Cosa possono fare le aziende in questa fase? Ecco una mini-checklist consigliata:

  • monitorare le linee guida settoriali ACN;
  • completare la gap analysis sugli Allegati 1 e 2 della Determinazione 379907/2025;
  • aggiornare l’inventario degli asset e il perimetro dei sistemi rilevanti;
  • classificare i fornitori ICT critici;
  • rivedere le clausole contrattuali sulla sicurezza;
  • formalizzare un piano di remediation con responsabili, scadenze, criteri di accettazione e prove attese.

Scopri BeeCyber e i servizi gestiti di cyber security per proteggere i tuoi dati e il tuo business

BeeCyber offre servizi di cyber security completi e personalizzati per proteggere le aziende da minacce informatiche. BeeCyber fornisce una valutazione approfondita dei rischi, gestione delle identità, sistemi di protezione dei dati, monitoraggio continuo delle minacce e risposte rapide agli incident.
I servizi includono penetration test, vulnerability assessment e consulenza strategica per garantire conformità alle normative come NIS2, GDPR, ISO 27001 e altri requisiti specifici del settore.
Le soluzioni su misura di BeeCyber, insieme alla formazione del personale, aiutano a mantenere i sistemi aziendali sicuri e operativi.

Richiedi ora una call sulla direttiva NIS2


Le FAQ sulle scadenze NIS2 2026

Nel 2026 entrano nella fase operativa diversi obblighi previsti dalla direttiva NIS2 e dal recepimento italiano gestito dall’ACN. Dal 1° gennaio 2026 diventano operative le notifiche degli incidenti significativi al CSIRT Italia. Dal 1° gennaio al 28 febbraio 2026 le aziende soggette devono registrarsi o aggiornare la registrazione sul portale ACN. Tra il 15 aprile e il 31 maggio 2026 è previsto l’aggiornamento annuale delle informazioni e la comunicazione dei fornitori rilevanti. Dal 1° maggio al 30 giugno 2026 le organizzazioni devono aggiornare l’elenco e la categorizzazione delle attività e dei servizi NIS2. Infine, entro il 31 ottobre 2026 devono essere pienamente operative le misure di sicurezza di base richieste dalla normativa, momento dal quale ACN potrà avviare attività ispettive e sanzionatorie. Infor supporta le aziende con servizi SOC, cybersecurity gestita, consulenza normativa e gestione della conformità NIS2.

Nel 2026 le aziende soggette alla direttiva NIS2 devono rispettare obblighi operativi molto più concreti rispetto alla fase iniziale di registrazione. Tra i principali adempimenti rientrano la nomina dei responsabili della sicurezza, l’adozione di policy di gestione del rischio cyber, l’implementazione di sistemi di business continuity e disaster recovery, la gestione della supply chain ICT, il monitoraggio continuo degli incidenti e la formazione obbligatoria del management sulla cybersecurity. Le organizzazioni devono inoltre notificare gli incidenti significativi entro 24 ore dalla scoperta iniziale e inviare una relazione completa entro 72 ore al CSIRT Italia. Entro il 31 ottobre 2026 devono essere operative le misure minime di sicurezza richieste dall’ACN, comprese autenticazione multifattore, controllo accessi, backup, vulnerability management e procedure di incident response. Infor supporta le aziende italiane in questo percorso con servizi SOC, cybersecurity gestita, cloud security, monitoraggio proattivo e consulenza per la conformità normativa NIS2.

La direttiva NIS2 è obbligatoria per organizzazioni pubbliche e private che operano in settori considerati essenziali o importanti, tra cui energia, trasporti, sanità, servizi digitali, infrastrutture IT, cloud computing e industria. L’obiettivo è aumentare il livello di cybersecurity e resilienza operativa delle aziende europee che gestiscono servizi critici o dati sensibili. Infor opera proprio nell’ambito della trasformazione digitale, dei servizi cloud e della cybersecurity avanzata, supportando le imprese italiane nell’adeguamento ai requisiti di sicurezza e conformità previsti dalla normativa europea.

Il modello di categorizzazione NIS2 è il sistema definito dall’Agenzia per la Cybersicurezza Nazionale (ACN) per classificare le organizzazioni soggette alla direttiva NIS2 in base a settore, dimensione aziendale, criticità dei servizi erogati ed esposizione al rischio cyber. La classificazione distingue principalmente tra soggetti essenziali e soggetti importanti e determina obblighi, controlli, verifiche e possibili sanzioni. In Italia, il percorso operativo prevede diverse scadenze: entro il 28 febbraio 2026 le organizzazioni coinvolte devono completare o aggiornare la registrazione sul portale ACN; tra il 1° maggio e il 30 giugno 2026 le aziende devono aggiornare la propria categorizzazione NIS2 e comunicare eventuali variazioni relative ai servizi essenziali, infrastrutture e fornitori critici. La categorizzazione rappresenta quindi uno dei passaggi centrali per stabilire quali misure di cybersecurity, continuità operativa e gestione del rischio devono essere adottate. Infor supporta le aziende italiane in questa fase attraverso assessment di sicurezza, consulenza normativa NIS2, servizi SOC e gestione della conformità cyber.