Con l’entrata in vigore della Direttiva europea NIS2, recepita in Italia attraverso il decreto legislativo 138 del 2024, migliaia di aziende pubbliche e private si sono trovate a dover ripensare profondamente il proprio approccio alla sicurezza informatica e a dover svolgere determinati adempimenti entro tempi prestabiliti.
Infatti, mentre alcune scadenze sono state già superate – come, ad esempio, la registrazione obbligatoria sulla piattaforma dell’Agenzia per la Cybersicurezza Nazionale (ACN) entro febbraio 2025 e l’obbligo di notifica degli incidenti in vigore da gennaio 2026 – nuovi appuntamenti cruciali attendono le imprese nei prossimi mesi.
Il panorama regolamentare sta, infatti, evolvendo rapidamente.
Entro aprile 2026, l’ACN dovrà definire gli elementi fondamentali che completeranno l’architettura della NIS 2, tra cui il modello di categorizzazione delle attività e dei servizi e gli obblighi di sicurezza a lungo termine. Comprendere cosa significano questi adempimenti e prepararsi adeguatamente è oggi essenziale per evitare sanzioni ma, soprattutto, per trasformare la conformità normativa in un vantaggio competitivo.
Indice degli argomenti
Cosa cambia con la Direttiva NIS2 ad aprile 2026
Uno degli elementi più attesi dell’impianto regolatorio NIS 2 è il cosiddetto modello di categorizzazione delle attività e dei servizi. Nello specifico, la Direttiva NIS 2 introduce un principio fondamentale: la proporzionalità degli obblighi. Infatti, non tutte le attività svolte da un’azienda presentano lo stesso livello di criticità dal punto di vista della sicurezza informatica e degli impatti di eventuali malfunzionamenti sul sistema-Paese e, di conseguenza, necessitano di diversi gradi di protezione.
In tale ottica, il modello di categorizzazione servirà proprio a consentire ai soggetti NIS di distinguere, all’interno della propria organizzazione, i diversi livelli di esposizione al rischio dei propri sistemi informativi e di rete. In pratica, si tratterà di un sistema di classificazione che permetterà di suddividere attività e servizi in base alla loro criticità, tenendo conto di fattori come il settore merceologico di appartenenza, la tipologia di rischio a cui sono esposti e il potenziale impatto di un eventuale incidente informatico.
La logica sottostante è quella dell’approccio “multi-rischio”, che consiste nel proteggere i sistemi informativi tenendo conto non solo delle minacce digitali, ma anche del contesto fisico in cui operano, considerando rischi derivanti da altre fonti, come furti, incendi, inondazioni, interruzioni delle telecomunicazioni e della corrente elettrica, nonché accessi fisici non autorizzati. Questa visione ampia e realistica della sicurezza rappresenta uno dei pilastri della nuova normativa.
La struttura del modello potrebbe prevedere una distinzione tra attività “altamente critiche”, “critiche” e “ordinarie”, ciascuna con obblighi di sicurezza proporzionati. L’attività di categorizzazione, che i soggetti NIS dovranno condurre, consentirà di applicare a ciascun sistema misure coerenti con la sua effettiva esposizione al rischio. Si tratta di un meccanismo basato su un criterio di proporzionalità che, da un lato, eviterà di gravare le imprese con oneri sproporzionati per attività a basso rischio e, dall’altro, farà in modo che le funzioni davvero critiche ricevano la protezione adeguata.
Gli obblighi a lungo termine attesi dall’ACN 2025-2026
Strettamente connesso all’elaborazione del modello di categorizzazione vi è un ulteriore intervento dell’ACN atteso entro fine aprile, ossia la definizione dei cosiddetti “obblighi a lungo termine”. Questi rappresenteranno un’evoluzione rispetto agli obblighi di base già pubblicati nell’aprile 2025 e attualmente in fase di implementazione da parte delle imprese.
Più nello specifico, in una prima fase, definita “di base”, le aziende sono chiamate ad adottare misure minime di sicurezza orizzontali, valide per tutta l’infrastruttura o quasi e con un orizzonte temporale a breve termine. Nella fase successiva – ossia quella “a lungo termine” – entreranno in gioco obblighi potenzialmente più ambiziosi, anche settorializzati, proporzionati in base alla categorizzazione delle attività e dei servizi e con tempistiche più ampie ma, ad oggi, non ancora note.
Il nodo del rapporto tra misure di base e rischio
Questa struttura a due livelli solleva tuttavia alcune questioni che necessiterebbero di un chiarimento da parte dell’Autorità. Il tema è particolarmente delicato perché coinvolge direttamente le strategie di adeguamento che le imprese stanno già attuando. Infatti, i soggetti destinatari della NIS 2, nell’ambito dell’adozione delle misure di base che dovrà essere completata entro ottobre 2026, devono già condurre un’analisi del rischio e definire un piano di trattamento, come richiesto dalla misura ID.RA-05 del framework normativo. Questa valutazione serve a identificare minacce, vulnerabilità, probabilità di accadimento e impatti potenziali sui sistemi informativi e di rete dell’organizzazione.
Ma cosa accadrebbe se, all’esito di tale analisi, i rischi risultassero già adeguatamente mitigati dalle sole misure di base? È questa la domanda che molte imprese si pongono e alla quale, al momento, non esiste una risposta certa. Le misure a lungo termine si applicheranno comunque, a prescindere dagli esiti della valutazione del rischio condotta sui sistemi esistenti? E se sì, con quale giustificazione normativa o tecnica?
L’auspicio delle imprese è che l’ACN, nella definizione degli obblighi a lungo termine, fornisca indicazioni chiare sul rapporto tra questi ultimi e gli obblighi di base, specificando se e in che misura gli esiti delle valutazioni del rischio già condotte potranno essere valorizzati, e quali criteri guideranno l’eventuale applicazione di requisiti aggiuntivi. Un chiarimento tempestivo su questi aspetti consentirebbe alle organizzazioni di proseguire con maggiore sicurezza nel percorso di adeguamento, evitando duplicazioni di sforzi e inefficienze.
La Direttiva NIS 2 e l’effetto a cascata sulla supply chain
Uno degli aspetti cruciali della Direttiva NIS 2 riguarda la sicurezza della catena di approvvigionamento. Infatti, essa declina in maniera molto puntuale il principio per cui la sicurezza informatica di un’organizzazione non dipende solo dai propri sistemi interni, ma anche da quelli dei fornitori e dei partner con cui opera.
L’articolo 24 del decreto legislativo 138/2024 include espressamente la “sicurezza della catena di approvvigionamento” tra gli elementi che le misure di gestione del rischio devono comprendere, con particolare attenzione ai rapporti tra ciascun soggetto NIS e i suoi diretti fornitori o fornitori di servizi. Questa previsione riflette una consapevolezza sempre più diffusa nel mondo della cybersicurezza per cui, di frequente, gli attaccanti, anziché colpire direttamente organizzazioni ben protette, preferiscono spesso sfruttare le vulnerabilità dei loro fornitori meno strutturati per raggiungere l’obiettivo finale.
Come sottolineato dall’ACN, la scelta di fornitori con livelli di sicurezza inadeguati espone non solo l’organizzazione al rischio di incidenti informatici, ma può coinvolgere l’intera filiera. Infatti, un fornitore compromesso potrebbe diventare l’anello debole attraverso cui un attaccante accede ai sistemi di tutti i suoi clienti.
I riflessi su fornitori, contratti e verifiche
Tenendo presente questa problematica, la Direttiva NIS 2 e la progressiva entrata in vigore delle misure di sicurezza comportano l’obbligo per le aziende di riconsiderare integralmente il rapporto con la propria catena di fornitura. Infatti, già oggi le misure di sicurezza di base richiedono alle aziende di adottare pratiche specifiche nella gestione dei fornitori. Ad esempio, la valutazione dell’affidabilità tecnica dei fornitori deve tenere conto della qualità dei prodotti e delle pratiche di sicurezza cibernetica, considerando anche il controllo che i fornitori stessi esercitano sulla propria catena di approvvigionamento e la priorità che attribuiscono agli aspetti di sicurezza.
Inoltre, i contratti devono contenere clausole specifiche relative alla sicurezza informatica, tra cui gli obblighi in materia di gestione degli incidenti, le misure di sicurezza minime richieste, le modalità di verifica e di audit, e le conseguenze in caso di mancato rispetto dei requisiti. Non basta più limitarsi a verificare la qualità tecnica di un prodotto o servizio: occorre valutare anche la “postura cyber” complessiva del fornitore. Pertanto, è subito evidente come i profili legali e contrattuali siano cruciali e debbano essere attentamente gestiti.
Ad ogni modo, l’effetto più significativo di queste disposizioni sarà quello di innescare un meccanismo a cascata lungo l’intera filiera produttiva. Infatti, i soggetti NIS, per rispettare i propri obblighi normativi, saranno costretti a richiedere ai propri fornitori standard di sicurezza più elevati. Questi ultimi, a loro volta, dovranno adeguarsi o rischiare di perdere commesse importanti.
Il risultato sarà un progressivo innalzamento del livello medio di sicurezza informatica dell’intero sistema economico, ben oltre la platea dei soggetti direttamente destinatari della normativa. La NIS 2 finirà così per diventare, indirettamente, uno spartiacque per definire chi potrà continuare a operare all’interno di supply chain strutturate e chi, invece, rischierà una progressiva esclusione dal mercato.
Gli obblighi di notifica degli incidenti già operativi, nel 2026
Mentre le imprese si preparano alle scadenze di aprile 2026, è fondamentale ricordare che alcuni obblighi cruciali sono già operativi. Dal gennaio 2026, infatti, i soggetti NIS sono tenuti a rispettare gli obblighi di notifica degli incidenti significativi allo CSIRT Italia. Il termine per l’adempimento di questo obbligo è fissato in nove mesi dalla ricezione della comunicazione di inserimento nell’elenco dei soggetti NIS, avvenuta nell’aprile 2025.
Ma cosa significa, concretamente, notificare un incidente? E quali sono le tempistiche da rispettare? La normativa prevede un processo strutturato in più fasi, ciascuna con scadenze precise.
Le tre fasi della notifica
In caso di incidente significativo, il soggetto NIS deve trasmettere una pre-notifica allo CSIRT Italia senza ingiustificato ritardo e comunque entro 24 ore dal momento in cui è venuto a conoscenza dell’incidente. Questa prima comunicazione deve indicare, ove possibile, se l’incidente possa ritenersi il risultato di atti illegittimi o malevoli, oppure se possa avere un impatto transfrontaliero.
Successivamente, entro 72 ore dalla conoscenza dell’incidente, deve essere trasmessa una notifica completa che aggiorni le informazioni della pre-notifica e indichi una valutazione iniziale della gravità e dell’impatto dell’incidente, nonché gli eventuali indicatori di compromissione disponibili. Per i prestatori di servizi fiduciari, però, il termine per questa seconda notifica è ancora più stringente: 24 ore.
Infine, entro un mese dalla trasmissione della notifica completa, deve essere inviata una relazione finale che descriva in modo dettagliato l’incidente, le sue cause, le misure di mitigazione adottate e le lezioni apprese.
Le quattro fattispecie di incidente significativo
Tuttavia, occorre precisare che non tutti gli incidenti informatici richiedono la notifica allo CSIRT Italia, ma solo quelli considerati “significativi” secondo i criteri definiti dall’ACN. Per semplificare la valutazione e fornire parametri oggettivi, l’Autorità ha definito quattro fattispecie specifiche:
la prima fattispecie (IS-1) riguarda le violazioni della riservatezza e si configura quando il soggetto NIS ha evidenza della perdita di riservatezza, verso l’esterno, di dati digitali di sua proprietà o sui quali esercita il controllo. In pratica, qualsiasi fuga di dati verso soggetti non autorizzati rientra in questa categoria;
la seconda fattispecie (IS-2) concerne le violazioni dell’integrità e si concretizza quando il soggetto ha evidenza della perdita di integrità, con impatto verso l’esterno, di dati digitali di sua proprietà o controllo. Questo include casi di alterazione non autorizzata di dati che abbia conseguenze esterne all’organizzazione;
la terza fattispecie (IS-3) è prevalentemente relativa alle violazioni della disponibilità dei servizi e si configura in presenza di violazione dei livelli di servizio attesi. Rientrano in questa categoria le interruzioni di servizio che superano le soglie di tolleranza definite;
infine, la quarta fattispecie (IS-4), applicabile solo ai soggetti essenziali, riguarda l’accesso non autorizzato o con abuso dei privilegi concessi.
È importante sottolineare che la causa dell’incidente non è rilevante per determinare se esso debba essere notificato. Rientrano, quindi, nell’obbligo di notifica anche gli incidenti significativi dovuti a eventi naturali come alluvioni, a malfunzionamenti accidentali, o a errori umani, coerentemente con l’approccio “multi-rischio” sopra menzionato.
La Direttiva NIS 2 come leva per competere domani
Il quadro che emerge dalla Direttiva NIS 2 e dalla sua attuazione italiana è quello di una trasformazione profonda del modo in cui le organizzazioni pubbliche e private devono approcciarsi alla cybersicurezza. Non si tratta più di un tema tecnico relegato ai reparti IT, ma di una questione strategica che coinvolge i vertici aziendali, le catene di fornitura e, in ultima analisi, la capacità stessa di operare sul mercato.
Le scadenze si susseguono con ritmo abbastanza incalzante. Infatti, dopo (i) la registrazione del 2025, (ii) gli obblighi di notifica operativi da gennaio 2026, (iii) le misure di sicurezza di base da completare entro ottobre 2026, verranno introdotti anche (iv) la categorizzazione e (v) gli obblighi a lungo termine in arrivo ad aprile 2026. Ogni passaggio richiede preparazione, investimenti e un cambio culturale rispetto alla cybersecurity e alla protezione dei propri asset digitali.
Le sfide principali sono due. La prima è estendere la sicurezza alla supply chain, trasformando i propri fornitori da potenziali punti deboli a partner affidabili in un ecosistema di sicurezza condivisa. La seconda è costruire capacità operative reali, non solo documenti e policy, ma processi effettivi di rilevamento, risposta e notifica degli incidenti che coinvolgano tutte le funzioni aziendali. Infatti, la cybersecurity non può più essere concepita esclusivamente come un tema appannaggio del settore IT, ma deve essere un aspetto trasversale che include diversi ambiti, ivi incluso quello legale.
L’invito alle imprese è di non attendere passivamente le prossime scadenze, ma di agire quanto prima. Chi saprà trasformare gli obblighi della NIS 2 in un’occasione di miglioramento organizzativo ne trarrà vantaggi competitivi duraturi, come maggiore resilienza operativa, fiducia di clienti e partner, accesso a supply chain strutturate. Chi, invece, procrastinerà l’adeguamento rischierà non solo sanzioni, ma una progressiva marginalizzazione in un mercato dove la cybersicurezza diventa sempre più un requisito essenziale per fare business.
