02

Immagine creata con IAAI-generated image

NIS 2 alla prova dei fatti: notifiche, categorizzazione e misure di sicurezza nel 2026

Il 2026 segna il passaggio del recepimento italiano della Direttiva NIS 2 dalla fase dichiarativa a quella attuativa: obbligo di notifica degli incidenti significativi al CSIRT Italia, prima finestra di categorizzazione delle attività e dei servizi, termine per l’adozione delle misure di sicurezza di base. Come districarsi tra determinazioni ACN, allegati tecnici e scadenze che non sempre coincidono con quelle divulgate dalla stampa? Facciamo un po’ di chiarezza.

Nei nostri precedenti contributi ci siamo occupati del labirinto delle norme UE sulla cybersicurezza e delle criticità di messa a terra della Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, nota anche come “NIS 2”, relativa a «misure per un livello comune elevato di cybersicurezza nell’Unione». Riteniamo questa sia la sede opportuna per aggiornare quel quadro, tenuto conto del fatto che il D.Lgs. 4 settembre 2024, n. 138, c.d. decreto NIS, pubblicato in Gazzetta Ufficiale, Serie Generale n. 230 del 1° ottobre 2024 e in vigore dal 16 ottobre 2024, è ormai entrato nella sua fase più delicata: quella degli adempimenti.

Infatti, come dichiarato dalla stessa Agenzia per la Cybersicurezza Nazionale – ACN, con la definizione degli obblighi in materia di misure di sicurezza e di notifica “è stata avviata la seconda fase” dell’attuazione, che interessa una platea di oltre 20.000 organizzazioni, di cui oltre 5.000 soggetti essenziali.

Il quadro regolatorio: dalla Determinazione 164179/2025 alla Determinazione 379907/2025

Lo strumento operativo cardine è oggi la Determinazione del Direttore Generale ACN n. 379907 del 19 dicembre 2025, adottata ai sensi degli articoli 31, commi 1 e 2, 40, comma 5, lettera l), e 42, comma 1, lettera c), del decreto NIS, la quale, per espressa previsione dell’articolo 9, «aggiorna e sostituisce la determinazione ACN n. 164179 del 14 aprile 2025» e «si applica a decorrere dal 15 gennaio 2026».

La determinazione si articola in quattro allegati: l’Allegato 1 reca le misure di sicurezza di base per i soggetti importanti (37 misure e 87 requisiti), l’Allegato 2 quelle per i soggetti essenziali (43 misure e 116 requisiti), mentre gli Allegati 3 e 4 individuano le fattispecie di incidente significativo di base, rispettivamente per i soggetti importanti e per quelli essenziali.

L’obbligo di notifica degli incidenti significativi

Per ciò che attiene alle notifiche, l’articolo 3, comma 2, della Determinazione 379907/2025 dispone nei seguenti termini: «Il termine per l’adempimento dell’obbligo di notifica degli incidenti significativi di base descritti negli allegati 3 e 4 è fissato in nove mesi dalla ricezione, da parte del soggetto NIS, della comunicazione di inserimento nell’elenco dei soggetti NIS». Tenuto conto che le comunicazioni di inserimento sono state avviate dal 12 aprile 2025, per la prima coorte di soggetti l’obbligo è divenuto operativo a gennaio 2026.

Quanto alle modalità, le FAQ istituzionali dell’ACN chiariscono che «i soggetti NIS sono tenuti a segnalare allo CSIRT Italia gli incidenti significativi trasmettendo una pre-notifica senza ingiustificato ritardo e comunque non oltre 24 ore da quando ne sono venuti a conoscenza» e che, «a seguito della pre-notifica, senza ingiustificato ritardo e comunque non oltre 72 ore, i soggetti NIS sono tenuti a trasmettere allo CSIRT Italia la notifica completa dell’incidente significativo». Il canale è la piattaforma di segnalazione del CSIRT Italia.

Le fattispecie di incidente significativo sono quattro, di cui tre comuni a tutti i soggetti NIS e una ulteriore riservata ai soli soggetti essenziali, secondo la tassonomia degli Allegati 3 e 4.

La categorizzazione delle attività e dei servizi: la prima finestra annuale

La novità del 2026 è l’obbligo di elencazione e categorizzazione introdotto in attuazione dell’articolo 30 del decreto NIS. Come si legge sul portale istituzionale, «l’articolo 30, comma 1, del decreto dispone che dal 1° maggio al 30 giugno di ogni anno, i soggetti essenziali e i soggetti importanti comunichino e aggiornino […] un elenco delle proprie attività e dei propri servizi comprensivo di tutti gli elementi necessari alla loro caratterizzazione e della relativa attribuzione di una categoria di rilevanza».

Processo, modalità e criteri sono stati definiti dalla Determinazione ACN n. 155238 del 20 aprile 2026, che articola le attività e i servizi in dieci macro-aree, mentre «il modello di categorizzazione definisce in tutto 4 categorie di rilevanza con livello di impatto crescente: minimo, basso, medio e alto». La comunicazione avviene tramite la piattaforma digitale dell’Agenzia, secondo le modalità della Determinazione ACN 127437/2026. La prima finestra si è chiusa, dunque, il 30 giugno 2026: chi non vi avesse provveduto dovrebbe attivarsi senza indugio, stante la rilevanza dell’adempimento ai fini della vigilanza.

Non mancano raccordi sistematici: l’articolo 4 della Determinazione 155238/2026 coordina la categorizzazione con il Regolamento Cloud ACN per le pubbliche amministrazioni, mentre l’articolo 5 esclude dall’elencazione i servizi già ricompresi nel Perimetro di sicurezza nazionale cibernetica, «essendo già etichettati con la categoria di rilevanza ‘impatto alto’».

Le misure di sicurezza di base: il traguardo di ottobre 2026

Il termine più impegnativo è quello dell’articolo 3, comma 1, della Determinazione 379907/2025: «Il termine per l’adozione delle misure di sicurezza di base di cui agli allegati 1 e 2 è fissato in diciotto mesi dalla ricezione, da parte del soggetto NIS della comunicazione di inserimento nell’elenco dei soggetti NIS».

La precisazione non è di dettaglio: il termine è individuale, decorrendo dalla ricezione della singola comunicazione di inserimento, e non coincide con una data unica valevole erga omnes. L’ACN, in via ufficiale, indica l’adozione delle misure come «prevista entro ottobre 2026»; la data secca del “31 ottobre 2026”, ricorrente nella stampa specializzata quale termine ultimo della prima ondata, costituisce una semplificazione divulgativa e non un dato normativo. Il rischio di affidamento su una data non normativa non è, a nostro avviso, di poco conto: ciascun soggetto dovrebbe computare il proprio termine a partire dalla propria comunicazione di inserimento.

Per i soggetti inseriti nell’elenco per la prima volta nel corso del 2026, l’ACN ha delineato un percorso graduale: per le misure di sicurezza “il termine scade il 31 luglio 2027”, mentre per la notifica degli incidenti «il termine decorre dal 1° gennaio 2027». Entro fine 2026 sono inoltre attese le determinazioni sulle misure di sicurezza a lungo termine.

Profili critici

In primo luogo, l’onere documentale e organizzativo è tutt’altro che trascurabile, specie per i soggetti importanti di minori dimensioni: le stesse FAQ istituzionali presuppongono il possesso e l’aggiornamento di inventari, politiche, procedure, registri e piani (gestione del rischio, continuità operativa e disaster recovery, trattamento del rischio, gestione delle vulnerabilità, formazione, risposta agli incidenti). Un impianto che richiede una governance strutturata, non la sola produzione di adempimenti documentali.

In secondo luogo, permangono ipotesi di sovrapposizione e doppia notifica nei rapporti tra cliente e fornitore nei servizi gestiti e cloud, oltre alla necessità di coordinare gli obblighi NIS con gli ulteriori regimi europei in materia digitale, dal Regolamento DORA al Cyber Resilience Act – CRA.

Infine, la frammentazione informativa: tra decreto, determinazioni, allegati tecnici e FAQ, la disciplina si ricompone soltanto all’esito di una lettura integrata di fonti eterogenee, con non poche difficoltà per gli operatori meno strutturati.

Conclusioni

Il 2026 è l’anno in cui la NIS 2 italiana smette di essere un perimetro di carta e diventa un insieme di adempimenti organizzativi verificabili: notifiche in 24 e 72 ore, categorizzazione annuale, misure di sicurezza da adottare entro il diciottesimo mese dalla comunicazione di inserimento. Gli Stati membri, e con essi le migliaia di organizzazioni coinvolte, reduci da un quadro normativo frammentato, si trovano oggi ad affrontare un adempimento di notevole complessità in materia di cybersicurezza.

Alla luce di quanto esposto, ci si domanda se i termini stabiliti per l’implementazione del nuovo assetto riusciranno ad essere rispettati dalla generalità dei soggetti NIS, e se gli adempimenti richiesti si tradurranno in un innalzamento effettivo del livello di sicurezza, e non nella sola compilazione di inventari, politiche e registri privi di un presidio operativo reale.

Autore: Avv. Valentina Grazia Sapuppo