Il consolidato quadro normativo tracciato dal D. Lgs. 138/2024 (il “Decreto”), in attuazione della direttiva NIS 2 (la “Direttiva”), ha affermato un nuovo paradigma per le organizzazioni: il rischio informatico diventa a tutti gli effetti un rischio primario di business. La normativa prevede che gli organi di amministrazione e quelli direttivi non possano più limitarsi a delegare la sicurezza informatica ai dipartimenti tecnici, ma devono approvare e verificare attivamente l’efficacia strutturale dei sistemi attuati.
Questi nuovi obblighi non delegabili impongono azioni immediate, collocandosi esattamente a metà strada tra la governance strategica e la responsabilità operativa.
L’omessa supervisione o la mancata formazione, infatti, espongono direttamente i vertici aziendali a sanzioni interdittive e a gravi responsabilità personali. Per tutelare il patrimonio aziendale, risulta inoltre imperativa l’integrazione delle policy di cybersicurezza nei modelli organizzativi ex D. Lgs. 231/2001 (il “Decreto 231”). Il presente articolo illustra i principali passaggi operativi che le imprese devono completare entro le scadenze previste dalla normativa.
Indice degli argomenti
Le verifiche interne e la categorizzazione dei servizi
Il primo passo per un’organizzazione è accertarsi della propria qualificazione e della solidità delle proprie fondamenta amministrative. Le recenti determinazioni dell’Agenzia per la Cybersicurezza Nazionale (l’“ACN”) hanno introdotto scadenze stringenti per la registrazione e l’aggiornamento dei dati sulla piattaforma digitale. In particolare, il management deve assicurarsi che sia stato completato il processo di elencazione e categorizzazione delle attività e dei servizi svolti. Attraverso il nuovo servizio NIS/categorizzazione, i soggetti qualificati come essenziali e importanti sono chiamati ad attribuire ai propri processi aziendali una specifica categoria di rilevanza (impatto alto, medio, basso o minimo).
La corretta mappatura dei processi, da completare tra il 1° maggio e il 30 giugno 2026, è il punto di partenza ineludibile per dimensionare in modo proporzionato le successive misure di protezione. Il mancato rispetto di tali obblighi informativi costituisce una violazione diretta; pertanto, è consigliabile disporre audit interni immediati per sanare tempestivamente eventuali ritardi o incongruenze documentali.
Azioni operative da eseguire
- Mappare tutti i servizi erogati e classificarli secondo le macro-aree definite dalla determinazione ACN n. 155238/2026.
- Attribuire a ciascun processo aziendale una specifica categoria di rilevanza (impatto alto, medio, basso o minimo) tramite il servizio NIS/categorizzazione.
- Disporre audit interni immediati per accertare l’effettivo invio delle dichiarazioni e sanare tempestivamente eventuali incongruenze documentali o ritardi.
- Verificare la corretta designazione formale del punto di contatto principale e del suo sostituto.
Il cruscotto direzionale e la formazione obbligatoria del board
Il dettato normativo richiede che gli organi di amministrazione e direttivi approvino le modalità di implementazione delle misure di gestione dei rischi e sovrintendano alla loro applicazione quotidiana. Sul piano operativo, la soluzione per garantire un reale controllo non risiede nel trasformare i dirigenti in tecnici informatici, bensì nel tradurre il rischio tecnologico in chiare metriche di business. Occorre dotare il board degli strumenti visivi e delle nozioni per comprendere l’impatto economico e reputazionale delle minacce.
Azioni operative da eseguire
- Istituire un cruscotto direzionale (dashboard) che monitori costantemente indicatori chiave di prestazione (KPI), quali il tempo medio di rilevamento di una minaccia e i tempi stimati di inattività.
- Strutturare e calendarizzare sessioni di formazione periodica e certificata per l’intero board direttivo.
- Conservare rigorosamente la documentazione dell’avvenuta formazione e dei verbali che tracciano i flussi informativi verso il vertice, costituendo la prova dell’effettiva accountability del management in caso di ispezioni.
- Nominare formalmente il referente CSIRT, figura deputata alle comunicazioni ufficiali con l’autorità.
3. L’integrazione tattica con il modello organizzativo ex Decreto 231
L’approccio alla compliance richiede una visione integrata. Il sistema delineato dalla Direttiva si interseca profondamente con la disciplina in materia di responsabilità amministrativa degli enti. Un’azienda vittima di un attacco informatico, che non abbia preventivamente aggiornato il proprio modello organizzativo 231, rischia di perdere l’efficacia esimente dello stesso, con conseguente esposizione a sanzioni pecuniarie e interdittive nell’ambito di due distinti fronti normativi concorrenti.
Azioni operative da eseguire
- Incaricare l’organismo di vigilanza e i consulenti legali di aggiornare il documento di valutazione dei rischi (risk assessment) del modello 231.
- Mappare accuratamente i nuovi reati informatici declinati secondo i parametri della nuova normativa europea.
- Aggiornare il sistema disciplinare aziendale, stabilendo sanzioni formali per la reiterata negligenza del personale (es. elusione dell’autenticazione a più fattori, condivisione di password, mancato rispetto delle policy di igiene informatica).
Blindare la catena di approvvigionamento e i fornitori rilevanti
Uno degli elementi di maggiore vulnerabilità per gli ecosistemi digitali contemporanei è rappresentato dalla catena di fornitura. La normativa impone l’adozione di misure basate su un approccio multi-rischio, volto a tutelare in modo specifico i rapporti con le terze parti. Le disposizioni attuative dell’ACN richiedono, in particolare, l’esplicita elencazione dei fornitori rilevanti NIS, ossia quei partner tecnologici la cui compromissione comporterebbe un impatto significativo sulla capacità del soggetto principale di erogare i propri servizi essenziali, anche in ragione dell’assenza di fornitori alternativi.
Azioni operative da eseguire
- Censire tutti i “fornitori rilevanti NIS”, valutando il rischio associato a partner tecnologici privi di alternative sul mercato.
- Avviare una revisione sistematica dei contratti (SLA) in essere con i fornitori di servizi IT e cloud.
- Rinegoziare e inserire clausole contrattuali stringenti che garantiscano il diritto di ispezione (right to audit) sui sistemi del fornitore.
- Imporre ai fornitori tempi di notifica di eventuali anomalie o violazioni nettamente inferiori alle 24 ore legali, prevedendo clausole di risoluzione immediata del contratto in caso di inadempimento.
Il comitato di crisi e la gestione operativa degli incidenti
La capacità di reazione ad un incidente di sicurezza informatica è attualmente oggetto di una rigorosa codificazione normativa. In caso di evento classificabile come “significativo”, il soggetto interessato è tenuto a trasmettere allo CSIRT Italia una pre-notifica, senza ingiustificato ritardo e, in ogni caso, entro 24 ore, seguita da una notifica dettagliata entro le successive 72 ore e da una relazione finale entro un mese dalla verificazione dell’evento. La perentorietà di tali termini impone un presidio organizzativo rigoroso: sul piano operativo, diviene imprescindibile l’adozione di un piano per la gestione degli incidenti formalizzato e preventivamente collaudato attraverso specifiche esercitazioni.
Azioni operative da eseguire
• Definire e collaudare preventivamente un piano di risposta agli incidenti (incident response plan) attraverso esercitazioni pratiche e simulazioni.
• Istituire un comitato di crisi interdisciplinare (war room) che riunisca i referenti dell’area IT, legale, compliance e comunicazione, stabilendo a priori le catene di delega e i poteri di intervento.
• Predisporre template comunicativi pre-approvati dalla direzione per informare tempestivamente i destinatari dei servizi qualora un incidente rischi di compromettere l’erogazione della fornitura, al fine di mitigare danni reputazionali e richieste risarcitorie.
I termini di adeguamento tecnico e la piena operatività
Guardando alle scadenze di medio e lungo termine, i vertici aziendali devono pianificare l’adeguamento dei propri sistemi informatici, inserendo nei futuri bilanci una chiara allocazione dei costi e delle risorse necessarie. Per le aziende inserite per la prima volta nell’elenco dei soggetti NIS durante l’anno solare 2026, le recenti indicazioni dell’ACN hanno tracciato un percorso preciso. In dettaglio, l’obbligo legale di notificare gli incidenti informatici gravi scatterà dal 1° gennaio 2027. Un’altra data fondamentale e inderogabile è il 31 luglio 2027: entro detto termine l’impresa dovrà aver applicato tutte le misure di sicurezza tecniche, operative e organizzative richieste dalla normativa, compresi gli adempimenti relativi alla stabilità dei sistemi di nomi di dominio. Occorre precisare l’ambito di applicazione di quest’ultimo termine: la scadenza del 31 luglio 2027 è rivolta unicamente alle organizzazioni identificate quali nuovi soggetti NIS nel corso del 2026. Diversamente, per le aziende già inserite nell’elenco durante l’anno solare 2025 e che hanno mantenuto tale qualifica anche nel 2026, non è prevista alcuna estensione o proroga: queste ultime devono rispettare rigorosamente i termini dettati originariamente dall’autorità.
Azioni operative da eseguire per i nuovi soggetti 2026, ai sensi della determinazione ACN n. 127434/2026
• Pianificare il rispetto della scadenza del 1° gennaio 2027, data in cui scatterà l’obbligo formale e legale di notificare gli incidenti informatici significativi.
• Stanziare risorse immediate per rispettare la scadenza del 31 luglio 2027, termine ultimo e perentorio per completare l’implementazione pratica di tutte le misure minime di sicurezza operative e organizzative.
• Adottare fin da subito presìdi di sicurezza moderni: implementare sistemi di protezione dei punti terminali (endpoint) per bloccare codici malevoli, procedere alla segmentazione logica delle reti industriali da quelle d’ufficio e garantire la conservazione sicura dei dati tramite copie di backup offline e immutabili.
Il quadro sanzionatorio e la tutela dell’agibilità professionale
Sottovalutare questi nuovi obblighi espone l’impresa a rischi non più sostenibili. Il legislatore ha infatti introdotto un apparato sanzionatorio con una forte finalità dissuasiva: in caso di violazione, i soggetti qualificati come essenziali rischiano sanzioni amministrative pecuniarie fino a 10 milioni di euro ovvero pari al 2% del fatturato annuo mondiale, qualora tale importo risulti superiore. Per i soggetti qualificati come importanti, il tetto massimo delle sanzioni è di 7 milioni di euro ovvero l’1,4% del fatturato. Tuttavia, la misura più incisiva colpisce direttamente i vertici aziendali. In caso di perdurante inosservanza delle prescrizioni normative o di mancanza di adozione delle misure necessarie per adeguarsi al Decreto, l’ACN ha il potere di disporre la sospensione temporanea dalle funzioni dirigenziali a carico degli amministratori delegati o dei legali rappresentanti. Assumere il pieno controllo della governance tecnologica, integrando le regole di sicurezza informatica all’interno dei preesistenti modelli organizzativi ex Decreto 231, non rappresenta quindi soltanto un dovere giuridico a tutela della continuità aziendale, ma si configura anche come condizione essenziale per salvaguardare l’agibilità e l’integrità professionale dello stesso management.
Riferimenti normativi
Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 (NIS 2).
D. Lgs. 4 settembre 2024, n. 138, recepimento della direttiva (UE) 2022/2555.
Determinazione ACN n. 379907/2025 (Misure di sicurezza di base e incidenti significativi), applicabile dal 15 gennaio 2026.
Determinazione ACN n. 127437/2026 (Piattaforma, Punto di contatto e sostituto, aggiornamento delle informazioni e rappresentante NIS di cui all’articolo 7 del decreto NIS), applicabile dal 15 aprile 2026, fatte salve le disposizioni di cui al capo V la cui applicazione è differita al 1° maggio 2026.
Determinazione ACN n. 155238/2026 (Macro-aree per organizzare le attività e servizi dell’organizzazione, a cui dovrà essere attribuita una delle quattro categorie di rilevanza), applicabile dal 1° maggio 2026.
Determinazione ACN n. 127434/2026 (Adozione Misure di Sicurezza), applicabile dal 30 aprile 2026.
ACN, La Tassonomia Cyber dell’ACN, versione 2.0, novembre 2025.
ACN, Linee Guida NIS – Definizione del processo di gestione degli incidenti di sicurezza informatica, 31 dicembre 2025, versione 1.1, aprile 2026.










Partecipa alla community