Avvocato Vincenzo Gallotto - Contributor
Studio SG Solution - Milano
Negli ultimi mesi, molte organizzazioni hanno completato il primo passo richiesto dalla Direttiva NIS2: verificare se rientrano nel perimetro normativo, classificarsi come entità essenziale o importante e registrarsi sul Portale ACN.
Ora la domanda più frequente è:
“Abbiamo completato la registrazione NIS2. Cosa dobbiamo fare adesso?”
La risposta è chiara: entrare nella fase operativa della NIS2, dove obblighi, misure di sicurezza, governance e gestione del rischio diventano attività concrete e continuative.
In sintesi: cosa devono fare ora le aziende NIS2
Dopo la registrazione NIS2, le aziende devono:
- verificare e consolidare i dati inseriti nel portale ACN entro il 28 Febbraio 2026 secondo le nuove regole del Portale
- formalizzare il Punto di Contatto NIS e referenti per la gestione degli incidenti;
- organizzare formazione e consapevolezza per personale e management;
- predisporre procedure operative per la notifica degli incidenti entro gennaio 2026;
- adeguare misure di sicurezza e gestione del rischio entro ottobre 2026 secondo le determinazioni ACN.
Cosa è successo finora: identificazione e registrazione NIS2
La prima fase della NIS2 ha permesso alle aziende di:
- capire se rientrano nel perimetro della Direttiva;
- definirsi come entità essenziale o importante;
- completare la registrazione ufficiale sul Portale ACN NIS.
Date chiave:
- 27 dicembre 2022 – pubblicazione Direttiva NIS2 nella Gazzetta UE
- 16 Gennaio 2023 – entrata in vigore a livello europeo
- 1 Ottobre 2024 – pubblicazione in Gazzetta ufficiale con entrata in vigore il 16 Ottobre 2024
Questa fase ha rappresentato il punto di partenza. Ora inizia quella più impegnativa: gli obblighi operativi NIS2.
Cosa devono ora le aziende dopo il censimento NIS2
Dopo il censimento, la NIS2 entra nella fase concreta: processi continuativi di sicurezza e governance che coinvolgono tutta l’organizzazione, non solo l’IT.
Dal 15 gennaio 2026 sono applicabili le nuove determinazioni operatice ACN, che definiscono criteri pratici per gestire sicurezza, rischi e adempimenti.
Le principali scadenze NIS2 sono:
- Gennaio 2026 (entro 9 mesi dalla comunicazione di inserimento nell’elenco nazionale NIS2): obbligo di avere procedure operative per gestione e notifica degli incidenti
- Febbraio 2026: aggiornamento dati nella piattaforma
- Ottobre 2026 (entro 18 mesi dalla comunicazione di inserimento nell’elenco nazionale NIS2): termine per implementare tutte le misure di sicurezza e gestione dei rischi.
Cosa succede alle informazioni inserite nel Portale ACN dopo il dicembre 2025?
Dal 31 Dicembre 2025, con le nuove regole del Portale ACN – Servizi NIS, è possibile inserire o verificare i dati dichiarati entro il 28 febbraio 2026. Dopo l’invio della dichiarazione è prevista una finestra di 10 giorni per eventuali correzioni: trascorso questo termine, le informazioni diventano definitive.
Le organizzazioni devono quindi verificare con attenzione che ruoli, contatti e perimetro dichiarato siano corretti e aggiornati.
Quali ruoli NIS2 devono essere formalizzati sul Portale ACN – Servizi NIS2
Le determinazioni ACN rafforzano gli obblighi relativi ai tuoli organizzativi NIS2
Le aziende devono:
- indicare un Punto di Contatto NIS2
- designare un referente per la gestione degli incidenti (interfaccia verso CSIRT) e i sostituti;
- mantenere aggiornate queste informazioni sul portale.
In caso di incidente, devono esistere referenti chiaramente identificabili e canali di comunicazione funzionanti con le autorità.
La formazione del personale è obbligatoria con la NIS2?
Sì. La formazione e la consapevolezza sono considerate misure organizzative di gestione del rischio.
Le organizzazioni devono:
- garantire che il personale con ruoli rilevanti conosca i rischi cyber;
- coinvolgere dirigenti e figure decisionali, non solo il personale tecnico.
La formazione non è un’attività formale, ma parte integrante degli obblighi NIS2.
Come funziona la notifica degli incidenti NIS2 dal 15 Gennaio 2026?
Dal 15 Gennaio 2026 sono applicabili le nuove specifiche ACN per la notifica degli incidenti.
Le novità riguardano:
- allineamento degli obblighi tra entità essenziali e importanti;
- indicazioni più precise su tempistiche, contenuti minimi e modalità di comunicazione.
Le aziende devono dotarsi di procedure interne in grado di rilevare, valutaree notificare un incidente nei tempi previsti.
Quali misure di sicurezza devono impplementare le aziende secondo le determinazioni ACN?
Le determinazioni richiedono un approccio strutturato alal sicurezza, che include:
- gestione del rischio cyber;
- continuità operativa e capacità di ripristino;
- backup e verifiche periodiche;
- attenzione alla sicurezza della supply chain e dei fornitori ICT critici.
Le aziende devono confrontare le misure già in essere con i requisiti ACN e pianificare gli adeguamenti entro il 2026 e,comunque, entro 18 mesi dalla comunicazione di inserimento nell’elenco nazionale NIS.
In pratica: cosa devono fare adesso le aziende NIS nel 2026?
Questa fase è di consolidamento.
In termini pratici, significa:
- rivedere quanto fatto nel 2025;
- correggere e completare le informazioni fornite sul Portale ACN – Servizi NIS
- prepararsi agli obblighi operativi del 2026.
La NIS2 non si esaurisce con la registrazione, ma richiede un percorso continuo di organizzazione, governance e maturazione della sicurezza.
SG Solution è una società di consulenza specializzata in protezione dei dati personali, compliance normativa e sistemi di gestione che supporta aziende ed enti nell’adeguamento al GDPR, nell’implementazione di modelli organizzativi e di controllo, nella sicurezza delle informazioni e nella qualificazione dei servizi ICT, inclusi i percorsi di conformità e qualificazione richiesti dall’ACN, offrendo soluzioni personalizzate e assistenza professionale continuativa.
