Perché le scadenze NIS2 non sono solo un tema normativo
Per chi guida sistemi, operations e continuità digitale, le scadenze NIS2 non riguardano solo la conformità formale. Riguardano la capacità di capire se l’azienda rientra nel perimetro, organizzare responsabilità interne, tenere aggiornate le informazioni verso ACN e mettere a terra misure che reggano anche nella gestione quotidiana. In Italia la direttiva è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024, con ACN come Autorità nazionale competente NIS.
La nuova disciplina ha ampliato il perimetro a soggetti essenziali e soggetti importanti distribuiti in più settori e tipologie organizzative. È un passaggio che ha allargato il raggio d’azione della norma ben oltre i grandi operatori infrastrutturali e che oggi coinvolge anche molte imprese che fino a poco tempo fa non si consideravano dentro un quadro NIS.
Le scadenze NIS2 in Italia da tenere sotto controllo
La prima finestra di registrazione italiana si è svolta dal 1° dicembre 2024 al 28 febbraio 2025. ACN ha poi previsto una finestra aggiuntiva fino al 10 marzo 2025 per i soggetti censiti che non avevano completato il percorso. Entro metà aprile 2025, l’Agenzia ha comunicato ai soggetti registrati l’eventuale inserimento nell’elenco dei soggetti NIS.
Per i soggetti inseriti nell’elenco 2025, dal 15 aprile al 31 maggio 2025 è partita la fase di aggiornamento delle informazioni verso ACN: verifica dei dati anagrafici e di contatto, designazione del sostituto del punto di contatto e comunicazione di ulteriori elementi richiesti, come componenti degli organi di amministrazione e direttivi, indirizzi IP pubblici statici e nomi di dominio.
Il passaggio che oggi pesa di più è quello del 2026. Le determinazioni ACN pubblicate il 13 aprile 2026 hanno reso più chiaro il calendario attuativo e hanno spostato il focus dalla sola registrazione alla capacità di tenere insieme aggiornamento dati, supply chain e classificazione dei servizi. Per i soggetti entrati nel perimetro NIS per la prima volta nel 2026, l’obbligo di notifica degli incidenti decorre dal 1° gennaio 2027, il Referente CSIRT va designato entro il 31 dicembre 2026 e le misure di sicurezza di base vanno adottate entro il 31 luglio 2027.
Per i soggetti già dentro il sistema, il 2026 introduce due adempimenti nuovi che cambiano il taglio operativo della norma. Il primo è il censimento dei fornitori rilevanti NIS, da effettuare durante la finestra di aggiornamento annuale dal 15 aprile al 31 maggio. Il secondo è l’avvio della categorizzazione di attività e servizi, da compilare sulla piattaforma ACN dal 1° maggio al 30 giugno. Questa classificazione serve a individuare le attività e i servizi su cui l’impatto del rischio pesa di più, così da collegare le misure di sicurezza al livello reale di esposizione.
Maggio 2026 diventa quindi il mese più denso sul piano operativo. Tra il 15 aprile e il 31 maggio ogni soggetto NIS deve aggiornare le informazioni sulla piattaforma ACN; nella stessa finestra deve comunicare anche l’elenco dei fornitori rilevanti; dal 1° maggio al 30 giugno deve poi completare la categorizzazione delle attività e dei servizi. Per i soggetti entrati nel perimetro nel 2026, entro il 31 maggio va designato anche il sostituto del punto di contatto.
La scadenza che chiude questa prima fase resta il 31 ottobre 2026: entro quella data i soggetti già ricompresi nel perimetro devono avere operative e dimostrabili le misure di sicurezza di base. Dopo ottobre, ACN può avviare le attività ispettive. La categorizzazione aperta nel 2026 non chiude il percorso: prepara una fase successiva di obblighi più puntuali e proporzionati, costruiti sul peso reale di attività e servizi.
Cosa cambia per aziende, CIO e IT manager
La NIS2 chiede un lavoro che tocca governance, processo e presidio operativo. Il punto non è solo registrarsi entro la finestra corretta. Il punto è dimostrare che l’organizzazione sa mantenere informazioni aggiornate, assegnare ruoli chiari, gestire incidenti e adottare misure di sicurezza coerenti con il rischio. Le novità del 2026 rendono questo aspetto ancora più visibile: la conformità non si misura più solo dentro il perimetro interno, ma anche nella capacità di leggere fornitori, dipendenze operative e peso dei servizi erogati.
Per un CIO o un IT manager questo significa uscire dalla logica dell’adempimento una tantum. Le scadenze NIS2 in Italia chiedono un presidio ricorrente: aggiornamento annuale, raccolta delle evidenze, gestione dei referenti, lettura della catena di fornitura, classificazione delle attività e raccordo costante tra funzione IT, direzione e referenti operativi. Per la direzione generale il tema è ancora più ampio: capire se il modello organizzativo riesce a tenere insieme rischio cyber, continuità operativa e responsabilità documentabile.
Dove le aziende rischiano di arrivare tardi
Molte organizzazioni non si bloccano sulla norma in sé. Si bloccano quando devono trasformarla in attività ripetibili. La prima difficoltà è capire con certezza se rientrano nel perimetro. La seconda è raccogliere dati e responsabilità che spesso stanno in aree diverse. La terza è leggere la supply chain con il livello di dettaglio richiesto dal nuovo censimento dei fornitori rilevanti. La quarta è affrontare la categorizzazione non come un modulo da compilare, ma come un esercizio che chiede di capire quali servizi hanno un impatto più alto sul funzionamento dell’azienda.
Qui si vede la differenza tra compliance dichiarata e compliance gestita. Quando registrazione, aggiornamenti, documenti, controlli e workflow restano distribuiti tra persone e strumenti non coordinati, ogni nuova scadenza riapre lo stesso problema. Quando invece il percorso è tracciato, ruoli e attività diventano più leggibili e il carico operativo si abbassa anche per chi deve rendere conto verso l’esterno.
Come leggere le scadenze NIS2 con un approccio più sostenibile
Per un’azienda che rientra nella NIS2, la scelta corretta non è inseguire ogni data in modo isolato. Conviene impostare un percorso ordinato: verificare il perimetro, assegnare i referenti, aggiornare con continuità le informazioni richieste da ACN, censire i fornitori rilevanti e classificare attività e servizi con un criterio che regga anche dopo la prima compilazione in piattaforma. Le date del 2026 servono proprio a questo: spingere le organizzazioni a passare da una lettura formale della norma a una capacità più stabile di gestione.
Quando la norma entra nella vita reale dell’azienda, il tema non è solo essere conformi. Il tema è avere un punto unico da cui seguire scadenze, ruoli, evidenze e controlli, così da non ricominciare da capo a ogni finestra annuale. La NIS2 sta andando in una direzione precisa: più responsabilità documentata, più attenzione alla supply chain, più proporzionalità tra rischio e misure da mettere in campo. Chi arriva preparato a maggio 2026 non gestisce solo una scadenza: costruisce un metodo che servirà anche dopo ottobre.
Le risposte che cerchi: FAQ su scadenze NIS2
Devono registrarsi i soggetti pubblici e privati che rientrano nell’ambito di applicazione del decreto NIS. Il perimetro italiano copre 18 settori e oltre 80 tipologie di soggetti, con distinzione tra essenziali e importanti. Il primo passo resta l’autovalutazione del proprio inquadramento rispetto ai criteri previsti dalla normativa e dalle indicazioni ACN.
Le scadenze NIS2 finiscono con la registrazione?
No. La registrazione è il primo passaggio, ma non esaurisce gli obblighi. ACN prevede aggiornamenti informativi, notifica degli incidenti di base dal 2026 e completamento delle misure di sicurezza di base entro ottobre 2026, oltre alla finestra annuale di registrazione o aggiornamento dal 1° gennaio al 28 febbraio.
La NIS2 riguarda solo grandi aziende o infrastrutture critiche?
No. L’estensione del perimetro operata dalla nuova disciplina porta dentro molte organizzazioni che non rientravano nella precedente NIS. Per questo, anche aziende private non percepite come “infrastruttura critica” possono trovarsi coinvolte se operano in uno dei settori e delle tipologie previste dal decreto.
Se abbiamo già processi di sicurezza interni, siamo già a posto?
Avere processi interni aiuta, ma non basta da solo. La NIS2 richiede anche adempimenti verso ACN, aggiornamento dei dati, gestione delle notifiche e misure che siano coerenti con il quadro regolatorio italiano. Il lavoro utile è collegare ciò che già esiste con un percorso documentato e mantenibile.
Se stai cercando un modo più ordinato per gestire le scadenze NIS2 e trasformare la compliance in un processo seguito nel tempo, noi di Innovio abbiamo sviluppato Adereo, la soluzione pensata per centralizzare requisiti, documenti e controlli della NIS2. Può essere un buon punto di partenza per capire come rendere questo percorso più governabile e più semplice da seguire.
Quali sono le scadenze NIS2 più importanti in Italia?
Le aziende coinvolte devono guardare a più tappe, non a una sola data. Dopo la fase di registrazione iniziale prevista tra dicembre 2024 e febbraio 2025, il percorso continua con gli aggiornamenti informativi verso ACN, con l’obbligo di notifica degli incidenti significativi di base da gennaio 2026 e con il completamento delle misure di sicurezza informatica di base entro ottobre 2026. Da qui in poi, la registrazione o l’aggiornamento della registrazione diventano un appuntamento annuale.
Chi deve preoccuparsi delle scadenze NIS2?
Non solo grandi gruppi o operatori storicamente legati alle infrastrutture critiche. La NIS2 riguarda anche molte aziende private che operano in settori compresi nel perimetro italiano e che possono essere classificate come soggetti essenziali o importanti. Per questo il primo passo non è correre dietro alla scadenza, ma capire con precisione se l’azienda rientra nel campo di applicazione della norma.
La registrazione basta per essere conformi alla NIS2?
No. La registrazione è solo l’inizio. La conformità richiede anche aggiornamento dei dati, organizzazione dei ruoli interni, gestione delle notifiche verso ACN e adozione di misure di sicurezza coerenti con il livello di esposizione dell’azienda. Il rischio più comune è trattare la NIS2 come un adempimento una tantum, quando in realtà richiede continuità.
Cosa succede se l’azienda arriva tardi sulle scadenze NIS2?
Arrivare tardi non significa solo esporsi a un problema formale. Significa anche trovarsi a gestire in fretta raccolta documentale, responsabilità, dati tecnici e workflow interni, con più possibilità di errori e meno controllo sul processo. Quando il lavoro viene fatto all’ultimo, la compliance pesa di più su IT, direzione e funzioni operative.
Perché le scadenze NIS2 coinvolgono anche CIO, IT manager e direzione generale?
Perché la norma non riguarda solo la sicurezza tecnica. Tocca governance, responsabilità, continuità operativa e capacità di dimostrare che certe attività sono state organizzate e mantenute nel tempo. Il CIO e l’IT manager devono presidiare il lato operativo e documentale. La direzione generale deve assicurarsi che il modello organizzativo regga e che il rischio non venga gestito in modo frammentato.
Da dove conviene partire per gestire bene la NIS2?
Conviene partire da quattro punti: capire se l’azienda rientra nel perimetro, identificare i referenti interni, raccogliere le informazioni richieste da ACN e strutturare un flusso che renda più semplice seguire aggiornamenti, scadenze e controlli. Quando questi elementi restano dispersi tra mail, file e passaggi manuali, ogni nuova scadenza riapre lo stesso problema.
Ha senso usare una piattaforma per gestire la compliance NIS2?
Ha senso quando l’azienda vuole evitare una gestione frammentata. Una piattaforma dedicata aiuta a tenere insieme requisiti, documenti, attività, responsabilità e controlli in un unico punto. Non sostituisce il lavoro organizzativo, ma lo rende più leggibile e più semplice da mantenere nel tempo, soprattutto quando le scadenze diventano ricorrenti.
