EN Contattaci

NIS2 in pratica: le scadenze ACN 2026 e cosa devono fare davvero le PMI

NIS2 in pratica per PMI e MSP italiane: il calendario degli adempimenti ACN 2026, la finestra di categorizzazione che si chiude a fine giugno, notifica incidenti e misure di base. Cosa fare ora e dove CyberScan supporta la gap analysis.

CybersecurityComplianceGovernance
CybersecurityComplianceGovernance CybersecurityComplianceNIS2
Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Dove siamo arrivati

La Direttiva (UE) 2022/2555, nota come NIS2, è stata recepita in Italia con il D.Lgs. 138/2024, in vigore dall’autunno 2024. L’autorità competente è l’ACN — Agenzia per la Cybersicurezza Nazionale — che funge anche da punto di contatto unico e da CSIRT nazionale. Un punto spesso frainteso: gli obblighi non scattano alla pubblicazione della legge, ma dalla comunicazione individuale di inserimento nell’elenco dei soggetti NIS, che ogni organizzazione riceve da ACN.

Nel corso degli ultimi mesi del 2025 il quadro operativo si è consolidato con due determinazioni ACN: una sul funzionamento della Piattaforma NIS, l’altra sulle misure di sicurezza di base e sulla gestione degli incidenti significativi. È su questa base che poggia il calendario 2026, ed è quel calendario a rendere il tema operativo, non più teorico, per molte PMI e per gli MSP che le servono.

Il calendario ACN 2026, in ordine

Gli adempimenti del 2026 si dispongono in una sequenza precisa:

  • Registrazione e aggiornamento sul Portale ACN: la finestra annuale cade nei primi due mesi dell’anno. Chi era già in elenco conferma o aggiorna i propri dati.
  • Notifica degli incidenti significativi: l’obbligo è operativo. Lo schema è a tre tempi — pre-notifica entro 24 ore, notifica entro 72 ore, relazione finale entro un mese dall’evento.
  • Categorizzazione di attività e servizi: la relativa finestra si chiude a fine giugno. Superata questa scadenza, l’elenco categorizzato si considera acquisito.
  • Misure di sicurezza di base: per i soggetti già in elenco dal 2025, le evidenze documentali sono attese entro fine ottobre 2026.

I soggetti iscritti per la prima volta nel corso del 2026 lavorano su termini differiti: notifica operativa verso inizio 2027 (circa nove mesi dalla comunicazione) e misure da completare entro l’estate 2027.

Cosa cambia con il modello di categorizzazione

Il modello di categorizzazione introdotto dalla determinazione ACN di aprile 2026 struttura l’autovalutazione su 10 macro-aree e 4 livelli di rilevanza: impatto minimo, basso, medio, alto. La categorizzazione non è un esercizio formale: determina il profilo di rischio riconosciuto al soggetto e, a cascata, l’intensità delle misure attese. È anche la ragione per cui la finestra che si chiude a fine giugno va trattata con priorità — dopo, l’elenco è fissato e correggere diventa più oneroso.

Le sanzioni spiegano perché. Per i soggetti essenziali si arriva fino a 10 milioni di euro o, se superiore, al 2% del fatturato mondiale annuo; per gli importanti, fino a 7 milioni o 1,4%. La normativa copre 18 settori e cattura molte — non tutte — le PMI in base a dimensione, settore e ruolo nella supply chain: anche un fornitore tecnologico medio-piccolo può rientrare per via di un cliente essenziale a valle.

La checklist minima da chiudere ora

Per un soggetto già in elenco, l’ordine di lavoro in questi giorni è chiaro:

  1. Verificare la registrazione sul Portale ACN e che i dati di contatto siano correnti.
  2. Completare la categorizzazione prima della chiusura della finestra di fine giugno: mappare attività e servizi sulle macro-aree e assegnare il livello di rilevanza.
  3. Attivare il processo di notifica incidenti — ruoli, canali, runbook — perché i 24/72 ore e la relazione a un mese richiedono procedura, non improvvisazione.
  4. Costruire le evidenze documentali delle misure di base, con orizzonte fine ottobre 2026.

I punti 1 e 2 restano in capo al soggetto sulla piattaforma ACN: nessuno strumento li esegue al posto vostro. I punti 3 e 4, invece, sono il terreno tecnico dove la gap analysis pesa.

Dove CyberScan supporta (e dove no)

CyberScan è uno strumento di vulnerability assessment e gap analysis a supporto delle misure di sicurezza di base: scansione continua, mappatura delle vulnerabilità sui requisiti, report e checklist allineate ai framework, pronte per produrre evidenze documentali. È utile esattamente sul punto 4 della checklist, e fornisce il materiale tecnico per il punto 3. Approfondimenti sull’approccio sono nel lancio di CyberScan e nella nota su vulnerability assessment automatizzato per il CISO.

Resta però una distinzione netta, che ribadiamo: CyberScan non sostituisce la registrazione né la categorizzazione, che restano adempimenti del soggetto sulla piattaforma ACN. Nessun prodotto produce “compliance NIS2 automatica”. Lo strumento riduce il lavoro tecnico e rende ripetibili le evidenze; la responsabilità formale resta vostra.

Cosa significa in pratica

Per una PMI o un MSP italiano il segnale operativo è il calendario, non la teoria. La finestra di categorizzazione si chiude a fine giugno e dopo l’elenco è acquisito: è la scadenza da non mancare in questi giorni. La notifica incidenti è già viva, e le evidenze delle misure di base hanno l’orizzonte di fine ottobre 2026. Conviene partire dalla mappatura — sapere se si rientra e a quale livello — e poi costruire le evidenze tecniche. Su quest’ultimo tratto, CyberScan e l’area cybersecurity di noze sono il supporto; gli adempimenti sul portale, no.

Link: ACN — La normativa NIS · ICT Security Magazine — NIS2 adempimenti

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi