NIS2 nel 2026: le evidenze che una PMI deve avere pronte

Per anni abbiamo chiamato “cybersecurity” cose molto diverse: un firewall, un corso e-learning, un ticket chiuso in fretta.

Con la NIS2, invece, il lessico si fa operativo: registro, scadenze, responsabilità, notifica incidenti. E soprattutto una domanda che, nel 2026, sta iniziando a circolare in filiera con la stessa naturalezza di un DURC: “Che evidenze mi dai?”

La prossima chiusura della finestra annuale 1° gennaio – 28 febbraio per la registrazione/aggiornamento dei soggetti NIS sul portale ACN è un segnale molto concreto: la NIS2 non è più un progetto “da avviare”, ma un ciclo gestionale “da mantenere”.

Il contesto operativo: evidenze NIS2 tra D.Lgs. 138/2024 e ACN

Il contesto: D.Lgs. 138/2024 e ACN come motore attuativo
Il quadro italiano nasce dal Decreto Legislativo 4 settembre 2024, n. 138 (pubblicato in G.U. il 1° ottobre 2024 ed entrato in vigore il 16 ottobre 2024).

Da qui in avanti, la “storia” è fatta di attuazione: portale, fasi, determinazioni, modelli operativi. ACN ha accompagnato la transizione anche con comunicazioni mirate ai soggetti interessati (ad esempio la “seconda fase”, avviata nel 2025, con notifiche ai soggetti rispetto all’inclusione o meno nel perimetro).

Nel 2025, inoltre, ACN ha pubblicato determinazioni operative che hanno dato struttura a ruoli, obblighi, misure e tempi per soggetti essenziali e importanti: il messaggio è “meno interpretazioni, più istruzioni”.

A fine 2025 sono arrivate ulteriori determinazioni (tra cui quelle su “Portale ACN e Servizi NIS” e “obblighi di base”), applicabili dal 31 dicembre 2025 e pensate proprio per rendere ordinato e tracciabile il ciclo 2026.

La sfida 2026: reggere una richiesta di evidenze NIS2, non “fare sicurezza”

La NIS2 non premia la “cybersecurity in astratto”. Premia la capacità di dimostrare che l’organizzazione sa governare il rischio e reagire agli incidenti. Tradotto: ruoli, procedure, registri e prove minime, coerenti e aggiornate.

Qui si vede la differenza tra PMI che “compra tecnologia” e PMI che “costruisce controllo”. La prima ha strumenti. La seconda ha anche un modello di responsabilità: chi decide, chi approva, chi escalation, chi notifica, chi ricostruisce l’accaduto. È un tema manageriale prima che tecnico.

Incident reporting: scadenze e pressione organizzativa

Dal 2026, la gestione degli incidenti diventa la cartina tornasole della maturità. Le tempistiche sono stringenti (pre-notifica/early warning entro 24 ore e notifica entro 72 ore, con follow-up), e la pressione reale è organizzativa: avere informazioni affidabili subito, senza caos interno.

In parallelo, a livello UE, il Regolamento di esecuzione (UE) 2024/2690 ha alzato l’asticella per alcune categorie “digitali” (cloud, data center, managed services, DNS/TLD, marketplace, social platform, trust services), specificando requisiti tecnico-metodologici delle misure di risk management e casi in cui un incidente è “significativo”.

Questo pezzo europeo è interessante anche per chi non rientra direttamente in quelle categorie: perché stabilisce un linguaggio comune di controllo e, inevitabilmente, filtra nelle richieste contrattuali.

Il pacchetto evidenze NIS2 essenziale per PMI

L’errore più frequente, nel 2026, è tentare di “documentare tutto” e finire per non documentare niente di utilizzabile. Quello che serve è un set snello, ma difendibile. Un evidence pack che, in 48 ore, puoi consegnare a un committente, a un auditor di filiera o a un interlocutore pubblico senza aprire cantieri infiniti.

“Evidence pack in 48 ore” (versione minima per PMI)

1. Governance: nomina del responsabile (o funzione) cyber e canale di reporting al vertice; una matrice RACI su risk/incident/supply chain.
2. Risk assessment “firmabile”: asset/servizi critici, minacce plausibili, impatti, misure in essere, piano di trattamento con owner e scadenze.
3. Procedure chiave: accessi e privilegi (inclusa MFA dove serve), backup/restore, gestione vulnerabilità/patch, logging e conservazione log, gestione fornitori ICT.
4. Incident response: procedura, registro incidenti, template di comunicazione interna, e almeno una simulazione/table-top con verbale.
5. Formazione: piano annuale + evidenze (presenze, materiali, test).
6. Supply chain: elenco fornitori critici, clausole minime, verifiche periodiche (anche leggere, ma tracciate).

Questa impostazione è coerente con l’approccio “istruzioni operative” che, nel tempo, si è consolidato intorno alla piattaforma e ai servizi NIS.

Filiera, PA e reputazione: perché le evidenze NIS2 diventano un requisito competitivo

Nel 2026 la NIS2 sta diventando un requisito competitivo. Non solo per chi è soggetto NIS, ma per chi lavora con soggetti NIS o con la PA. La richiesta di evidenze non è più “nice to have”: è un filtro, spesso implicito, per qualificarsi e restare in gara.

E c’è un secondo effetto, sottovalutato: un evidence pack ben costruito riduce davvero il rischio operativo. Perché toglie ambiguità quando succede qualcosa. In un incidente, la differenza tra “contenuto” e “danno esteso” è spesso un tema di minuti e responsabilità, non di budget.

Roadmap operativa: 90 giorni per rendere difendibili le evidenze NIS2

Se dovessi trasformare la NIS2 2026 in un piano d’azione “senza romanticismi”, sarebbe questo:

1. Perimetro: chiarire formalmente la posizione (soggetto NIS o supply chain critica).
2. Registro: trattarlo come controllo ricorrente annuale (owner, calendario, evidenze).
3. Incident reporting: costruire la “macchina” (ruoli, classificazione, template, registro, prova di simulazione).
4. Evidence pack: repository unico, versioning, responsabilità di aggiornamento.
5. Reporting al vertice: un cruscotto trimestrale che metta insieme rischio, incidenti, fornitori critici e stato misure.

Chi guida una PMI non deve diventare un esperto di cybersecurity. Deve diventare un decisore che pretende metodo, tracciabilità e capacità di risposta.

La frase che vale per il 2026 è semplice: la sicurezza non è ciò che installi, è ciò che, quando serve, riesci a dimostrare.