Avv. Vincenzo Gallotto
Studio legale Gallotto e SG Solution - Milano
Negli ultimi mesi, molte organizzazioni hanno completato il primo passo richiesto dalla Direttiva NIS2: verificare se rientrano nel perimetro normativo, registrarsi sul Portale ACN, ricevere la determinazione da parte di ACN circa la classificazione come essenziali, importanti o fuori ambito.
Ora la domanda più frequente è:
“Abbiamo completato la registrazione NIS2, rientriamo nel perimetro della normativa. Cosa dobbiamo fare adesso?”
La risposta è chiara: entrare nella fase operativa della NIS2, dove obblighi, misure di sicurezza, governance e gestione del rischio diventano attività concrete e continuative.
Cosa è successo finora: identificazione e registrazione NIS2
La prima fase della NIS2 ha permesso alle aziende di:
- capire se rientrano nel perimetro della Direttiva;
- definirsi come entità essenziale o importante;
- si ricorda che la registrazione va confermata ogni anno e ACN provvede con la medesima cadenza a determinare la classificazione del soggetto, a seconda dei dati dichiarati.
Date chiave:
- 27 dicembre 2022 – pubblicazione Direttiva NIS2 nella Gazzetta UE
- 16 Gennaio 2023 – entrata in vigore a livello europeo
- 1 Ottobre 2024 – pubblicazione in Gazzetta ufficiale con entrata in vigore il 16 Ottobre 2024
Questa fase ha rappresentato il punto di partenza. Ora inizia quella più impegnativa: gli obblighi operativi NIS2.
In sintesi: cosa devono fare ora le aziende NIS2
Dopo la registrazione, le aziende che sono risultate in ambito NIS2:
- hanno aggiornato, nella finestra aprile-maggio 2025, i dati sella coeità fornendo i dettagli sull’organizzazione, i servizi, i responsabili delle violazioni, il sostituto punto di contatto;
- devono provvedere ogni anno sia a confermare la dichiarazione di registrazione, adempimento che scade il 28 febbraio prossimo (indicazioni nel punto che segue “Cosa fare entro il 28 febbraio 2026?”) e che avrà stessa scadenza per gli anni successivi che ad aggiornare i dati di cui al punto precedente nella finestra aprile-maggio di ogni anno (“aggiornamento continuo delle informazioni”);
- hanno nominato nel dicembre 2025 un referente per la gestione degli incidenti (interfaccia verso CSIRT) e i sostituti – in caso di incidente, devono, infatti, esistere referenti chiaramente identificabili e canali di comunicazione funzionanti con le autorità. Tale informazione rientrerà tra quelle aggiornabili annualmente nella finestra aprile-maggio di ogni anno (“aggiornamento continuo delle informazioni”);
- dal punto di vista sostanziale, da gennaio 2026 devono aver predisposto predisposto le procedure operative per la notifica degli incidenti significativi (approfondita nel prossimo titolo):
- devono organizzare formazione e consapevolezza per personale e management.
La prossima scadenza (oltre a quelle periodiche) è:
- Ottobre 2026 (entro 18 mesi dalla comunicazione di inserimento nell’elenco nazionale NIS2): termine per implementare le misure di sicurezza di base e gestione dei rischi.
Come funziona la notifica degli incidenti NIS2 dal 15 Gennaio 2026?
Da Gennaio 2026 sono applicabili le nuove specifiche ACN per la notifica degli incidenti significativi.
Un incidente è considerato significativo se:
- ha causato o può causare una grave interruzione operativa del servizio, oppure
- ha provocato o può provocare perdite finanziarie rilevanti, oppure
- ha compromesso o può compromettere la riservatezza, integrità o disponibilità di dati o sistemi, oppure
- ha un impatto su altri soggetti o sulla continuità di servizi essenziali o importanti.
Cosa fare entro il 28 Febbraio 2026?
È necessario procedere alla verifica, eventuale aggiornamento e sottomissione delle informazioni presenti sul portale NIS2.
La dichiarazione disponibile sul portale corrisponde a quella trasmessa in fase di prima registrazione, se già fatta, ed è pertanto già precompilata.
Dal punto di vista operativo, per procedere è necessario:
- accedere al portale NIS2 utilizzando SPID o CIE del Punto di Contatto, portale.acn.gov.it/login;
- selezionare la sezione “Dichiarazione”;
- selezionare quindi “Verifica e invia dichiarazione precompilata”;
- validare ciascun passaggio fino all’ultimo step per procedere alla sottomissione della dichiarazione.
Quali misure di sicurezza devono implementare le aziende secondo le determinazioni ACN?
Le determinazioni richiedono un approccio strutturato alla sicurezza, che include:
- gestione del rischio cyber;
- continuità operativa e capacità di ripristino;
- backup e verifiche periodiche;
- attenzione alla sicurezza della supply chain e dei fornitori ICT critici.
Le aziende devono confrontare le misure già in essere con i requisiti ACN e pianificare gli adeguamenti entro il 2026 e, comunque, entro 18 mesi dalla comunicazione di inserimento nell’elenco nazionale NIS.
La formazione del personale è obbligatoria con la NIS2?
Sì. La formazione e la consapevolezza sono considerate misure organizzative di gestione del rischio.
Le organizzazioni devono:
- garantire che il personale con ruoli rilevanti conosca i rischi cyber;
- coinvolgere dirigenti e figure decisionali, non solo il personale tecnico.
La formazione non è un’attività formale, ma parte integrante degli obblighi NIS2.
In pratica: il 2026 è una fase di azione e consolidamento
Questa fase è di consolidamento.
In termini pratici, significa:
- rivedere quanto fatto nel 2025;
- correggere e completare le informazioni fornite sul Portale ACN – Servizi NIS
- prepararsi agli obblighi operativi del 2026.
La NIS2 non si esaurisce con la registrazione, ma richiede un percorso continuo di organizzazione, governance e maturazione della sicurezza.
Avvocato Vincenzo Gallotto – Contributor
SG Solution è una società di consulenza specializzata in protezione dei dati personali, compliance normativa e sistemi di gestione che supporta aziende ed enti nell’adeguamento al GDPR, nell’implementazione di modelli organizzativi e di controllo, nella sicurezza delle informazioni e nella qualificazione dei servizi ICT, inclusi i percorsi di conformità e qualificazione richiesti dall’ACN, offrendo soluzioni personalizzate e assistenza professionale continuativa.
