Per i soggetti che rientrano nel perimetro NIS2, il 2026 non è più l'anno degli adempimenti formali: è l'anno in cui gli obblighi diventano operativi, con date precise e sanzioni concrete. La direttiva (UE) 2022/2555, recepita in Italia con il D.Lgs. 138/2024, ha smesso da tempo di essere un tema da convegno. Ora è un calendario, e l'Agenzia per la Cybersicurezza Nazionale (ACN) lo sta scandendo determinazione dopo determinazione.

Con il 30 giugno appena alle spalle e il 31 ottobre all'orizzonte, vale la pena fermarsi a mettere in fila cosa è già successo, cosa manca, e cosa dovrebbe fare adesso chi in azienda risponde della sicurezza e della conformità.

Il 30 giugno: categorizzare attività e servizi

La prima scadenza dell'estate è già maturata. Entro il 30 giugno 2026 i soggetti inseriti nell'elenco nazionale NIS dovevano comunicare all'ACN, tramite la piattaforma online, l'elenco delle proprie attività e dei propri servizi con la relativa classificazione nelle macro-aree definite dall'Autorità. Il riferimento è al modello di categorizzazione della Determinazione ACN n. 155238/2026, che organizza il perimetro in dieci macro-aree e quattro categorie di rilevanza (da impatto minimo a impatto alto). La finestra ordinaria per la trasmissione va dal 1° maggio al 30 giugno di ogni anno.

Non è un adempimento burocratico da liquidare in fretta. La categoria di rilevanza attribuita a ciascuna area è la base su cui l'ACN calibrerà le misure di sicurezza che chiederà nel tempo. In altre parole: come ci si classifica oggi condiziona cosa verrà preteso domani. E l'omessa o errata compilazione configura di per sé una violazione degli obblighi NIS2.

Per chi non avesse completato l'adempimento, il primo passo è verificarne lo stato sulla piattaforma e sanare eventuali lacune prima che diventino oggetto di contestazione.

Il 31 ottobre: le misure di sicurezza di base

La scadenza che pesa di più arriva in autunno. Entro 18 mesi dalla comunicazione di inserimento nell'elenco — termine che per i soggetti già in elenco dal 2025 cade il 31 ottobre 2026 — occorre rendere operative le misure di sicurezza di base indicate dall'ACN nella Determinazione n. 379907/2025 (in vigore dal 15 gennaio 2026, che ha abrogato e sostituito la precedente n. 164179 del 14 aprile 2025), sviluppate secondo il Framework nazionale per la Cybersecurity e la Data Protection (edizione 2025) e organizzate in funzioni, categorie, sottocategorie e requisiti.

Qui il salto è concettuale: dalla dichiarazione (chi sono, cosa faccio) all'implementazione (cosa ho messo in campo, e come lo dimostro). Le misure toccano governance del rischio, gestione degli accessi, continuità operativa, gestione della supply chain ICT. Il tema non è "avere un documento", ma poter provare — a fronte di un controllo — che il controllo esiste, funziona e lascia traccia.

Il costo del non farlo è esplicito: per i soggetti essenziali le sanzioni possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale, se superiore; per i soggetti importanti il massimale scende a 7 milioni di euro o all'1,4% del fatturato. A queste si aggiungono possibili sanzioni accessorie a carico delle persone fisiche al vertice, fino alla temporanea sospensione da funzioni dirigenziali. Non sono cifre teoriche: sono la misura del rischio che un consiglio di amministrazione dovrebbe avere davanti.

Gli incidenti: il cronometro dei 24 e 72 ore

Sullo sfondo, dal gennaio 2026 è pienamente operativo l'obbligo forse più impegnativo sul piano operativo: la notifica degli incidenti significativi al CSIRT Italia (art. 25 del decreto di recepimento), le cui modalità di gestione sono rese vincolanti dalla stessa Determinazione ACN n. 379907/2025. L'iter è graduale e a tempo:

  • pre-notifica entro 24 ore dalla consapevolezza dell'incidente;
  • notifica completa entro 72 ore, con valutazione di gravità e impatto;
  • relazione finale entro un mese, oltre agli aggiornamenti fino alla risoluzione.

Un incidente è "significativo" quando provoca, o può provocare, una grave perturbazione operativa dei servizi, perdite finanziarie rilevanti, o ripercussioni su terzi. La difficoltà, in queste finestre così strette, non è tanto compilare un modulo: è ricostruire in fretta e con affidabilità cosa è successo. Chi non dispone di log integri e di una tracciabilità solida degli eventi si trova a improvvisare esattamente quando non può permetterselo.

Cosa dovrebbe fare un CISO/DPO adesso

Il calendario NIS2 non lascia molto spazio all'attesa. Riordinando l'agenda:

  1. Chiudere il pregresso. Verificare che la categorizzazione del 30 giugno sia stata trasmessa correttamente e che la classificazione rifletta davvero le attività svolte.
  2. Fare il gap assessment sulle misure di base rispetto al Framework nazionale ed. 2025, con una road-map che arrivi operativa — non solo documentata — entro il 31 ottobre.
  3. Provare la macchina della notifica incidenti. Un'esercitazione sui tempi 24h/72h dice più di qualsiasi procedura scritta: se il flusso non regge in prova, non reggerà in emergenza.
  4. Guardare alla supply chain ICT. NIS2 chiede di governare il rischio di terze parti; è il punto in cui gli obblighi si estendono oltre il perimetro aziendale, ai fornitori e — con DORA per il settore finanziario — fino ai subfornitori.

Il filo che tiene insieme tutto: la prova

C'è un elemento comune a queste tre scadenze, ed è la dimostrabilità. La categorizzazione va tracciata, le misure vanno documentate, l'incidente va ricostruito. In tutti e tre i casi non basta "essere conformi": bisogna poterlo provare, con evidenze integre e non contestabili.

È qui che una piattaforma di AI Governance on-premise come Attrahere trova il suo posto nel disegno NIS2. Il trattamento locale a egress zero riduce la superficie di esposizione e la dipendenza da terze parti — un fattore che la gestione del rischio ICT valorizza. La detection dei dati sensibili e la Supply Chain Compliance (in chiave GDPR Art. 28) forniscono materiale utile alla governance dei fornitori. E l'audit blockchain con hash SHA-256 produce esattamente ciò che le finestre dei 24 e 72 ore richiedono: una traccia degli eventi che regge come prova.

NIS2 non chiede strumenti specifici. Chiede risultati misurabili e dimostrabili. L'autunno del 2026 è il momento in cui quei risultati vanno messi a terra.

Per approfondire il punto cieco della sicurezza — i flussi verso i chatbot che il perimetro non vede — vedi NIS2 e Shadow AI: l'anello debole che il perimetro di sicurezza non vede.