Per gran parte del 2025 la Direttiva NIS2 è stata, nella pratica di molte aziende italiane, un impegno dichiarativo: registrazione sul portale dell'Agenzia per la Cybersicurezza Nazionale, individuazione del punto di contatto, categorizzazione delle attività. Nel 2026 cambia la natura dell'obbligo. Il 31 ottobre 2026 è il termine per la piena operatività delle misure di sicurezza di base per i soggetti già inseriti nell'elenco NIS nel corso del 2025. Superata quella data, l'ACN può avviare l'attività ispettiva. Da adempimento sulla carta, la NIS2 diventa un sistema verificabile.
Restano poco più di cento giorni. E l'estate, storicamente il periodo in cui i progetti rallentano, è invece la finestra utile per arrivare pronti. Della mappa completa delle scadenze — dalla categorizzazione dei servizi alle misure di base — abbiamo parlato in NIS2, l'autunno delle scadenze; qui il fuoco è su cosa deve essere pronto e dimostrabile a ottobre, e su un fronte che molti stanno sottovalutando: la catena di fornitura.
Cosa significa "misure di base"
Le misure di sicurezza di base non sono un concetto astratto: sono un elenco puntuale di requisiti, differenziati per tipologia di soggetto. I soggetti importanti devono adottare le misure dell'Allegato 1 alla Determinazione ACN 379907/2025 — 37 misure articolate in 87 requisiti — mentre i soggetti essenziali devono conformarsi all'Allegato 2, più esteso: 43 misure e 116 requisiti. La sostanza è chiara: si parla di autenticazione multifattore, controllo degli accessi, gestione delle vulnerabilità, backup, continuità operativa e procedure di risposta agli incidenti.
Nessuno di questi è un requisito esotico. Sono i fondamentali dell'igiene di sicurezza. La difficoltà, per molte organizzazioni, non è capire cosa fare ma dimostrare che è stato fatto: che le misure sono operative, documentate e verificabili. È su questo terreno — la compliance dimostrabile — che si gioca la differenza tra un'ispezione superata e una contestazione.
I tempi di notifica: 24 ore non sono 72 ore
C'è un punto che merita attenzione particolare da chi arriva alla NIS2 con la mentalità del GDPR. Le linee guida ACN sul processo di gestione degli incidenti, pubblicate il 31 dicembre 2025, descrivono un modello in quattro fasi — preparazione, rilevamento, risposta e ripristino — ma il vincolo più stringente è a monte: la timeline di notifica al CSIRT Italia prevede una pre-notifica entro 24 ore dalla conoscenza di un incidente significativo, seguita da una notifica entro 72 ore.
Ventiquattro ore sono poche. Sono poche soprattutto se, nel momento in cui l'incidente emerge, l'organizzazione non sa ancora cosa è stato esposto. La differenza tra una pre-notifica solida e una difensiva sta nella capacità di sapere, rapidamente, quali dati e quali sistemi sono coinvolti. Un registro forense degli eventi e una detection dei dati sensibili in tempo reale non sono un lusso: sono ciò che rende possibile rispettare la finestra delle 24 ore senza improvvisare.
La catena di fornitura: un registro, tre normative
Il fronte più interessante — e più sottovalutato — è quello dei fornitori. Con le Determinazioni ACN del 13 aprile 2026 (nn. 127434 e 127437), è stato introdotto l'obbligo di elencare i "fornitori rilevanti NIS", indicando denominazione, codice fiscale, Paese della sede legale, codici CPV delle forniture e criterio di rilevanza. La finestra di adempimento coincide con l'aggiornamento annuale delle informazioni, dal 15 aprile al 31 maggio di ogni anno.
Qui vale la pena alzare lo sguardo. Lo stesso tipo di mappatura è richiesto, in forma parallela, da altre due normative che gravano sulle stesse organizzazioni:
- DORA, per il perimetro finanziario, impone il registro delle informazioni sui fornitori di servizi ICT, da trasmettere a Banca d'Italia con cadenza annuale entro il 15 marzo, con data di riferimento al 31 dicembre precedente, base per l'identificazione dei fornitori critici.
- Il GDPR, con gli articoli 28 e 30, richiede il registro dei responsabili del trattamento e la due diligence sui fornitori che trattano dati personali per conto del titolare.
Sono tre registri con tre finalità formali diverse, ma con un nucleo informativo largamente sovrapposto: chi sono i fornitori, dove hanno sede, quanto sono critici, quali dati toccano. Tenerli separati significa moltiplicare il lavoro e, soprattutto, moltiplicare le occasioni di disallineamento. Consolidarli in un unico sistema di verità — un registro fornitori che alimenti al contempo l'adempimento NIS, quello DORA e quello GDPR — è la mossa che trasforma un onere in un presidio di governance.
Cosa dovrebbe fare un'organizzazione adesso
La scadenza non introduce obblighi nuovi rispetto a quelli già noti. Ma il calendario impone una priorità:
- Verificare la propria classificazione (soggetto essenziale o importante) e il relativo allegato di misure applicabile.
- Fare la gap analysis sulle misure di base e assegnare owner e tempi per le lacune, con l'obiettivo di arrivare al 31 ottobre con misure operative e documentate.
- Provare il processo di notifica end-to-end, con particolare attenzione alla finestra delle 24 ore: chi decide, con quali informazioni, con quale traccia.
- Consolidare il registro dei fornitori, riconciliando l'elenco NIS con i registri DORA (dove applicabile) e GDPR.
- Predisporre le evidenze: log immutabili, documentazione delle misure, verbali. L'ispezione non verifica le intenzioni, verifica le prove.
Il filo conduttore, come sempre in questa stagione regolatoria, è la dimostrabilità. Non basta essere conformi: bisogna poterlo provare, in tempi rapidi e con dati che non escono dal confine aziendale. Per le organizzazioni che trattano dati sensibili — sanità, studi professionali, pubblica amministrazione, banche — la scelta di un'architettura che mantiene il trattamento locale e traccia ogni evento non è una preferenza tecnica: è la precondizione per superare senza sorprese la fase che si apre il 1° novembre.
Per approfondire il fenomeno dell'AI non governata in azienda — uno dei punti ciechi che un'ispezione NIS2 può far emergere — vedi la nostra guida Shadow AI: cos'è, rischi e come governarla.
