CyberTotem
Tutti gli articoli
NIS2complianceACNscadenze

NIS2 nel 2026 e 2027: scadenze, aggiornamenti e cosa aspettarsi

Il D.Lgs. 138/2024 è in vigore. Il 2026 sarà l'anno delle prime ispezioni ACN. Cosa cambia, quali scadenze restano aperte e come prepararsi per tempo.

Team CyberTotem

Il D.Lgs. 138/2024 ha recepito la NIS2 in Italia ed è in vigore dal 18 ottobre 2024. Mentre le organizzazioni completano la registrazione ACN e avviano i percorsi di adeguamento, è utile guardare a cosa succederà nel 2026 e nel 2027 — per non farsi trovare impreparati.

Stato attuale (fine 2025)

Registrazione ACN: le organizzazioni soggette NIS2 stanno completando la registrazione sulla piattaforma ACN. Le scadenze variano per categoria di soggetto e settore — verifica lo stato aggiornato sul sito ufficiale ACN (acn.gov.it).

Prima fase di vigilanza: l'ACN sta avviando le prime attività di vigilanza, inizialmente concentrate sui soggetti essenziali e sulle infrastrutture più critiche. Nel 2026 è atteso un allargamento verso i soggetti importanti, incluse molte PMI nei settori digitali e manifatturieri.

Standard tecnici: l'ENISA (Agenzia dell'Unione Europea per la Cybersicurezza) sta pubblicando linee guida tecniche su specifici requisiti NIS2. Alcuni standard di settore (in particolare per energia e sanità) si stanno consolidando.

Cosa aspettarsi nel 2026 e 2027

Applicazione più sistematica

I primi anni di vigore di una nuova normativa sono tipicamente caratterizzati da un'applicazione graduale e orientata alla collaborazione. Nel 2026–2027 è ragionevole attendersi:

  • Ispezioni più strutturate e basate su evidenze documentali
  • Maggiore attenzione ai soggetti che non hanno ancora completato la registrazione
  • Primo ciclo di sanzioni per le non conformità più gravi o reiterate

Questo non significa che le PMI ben avviate debbano preoccuparsi. Significa che chi ha rimandato non può continuare a farlo.

Aggiornamenti normativi possibili

La NIS2 è una direttiva che prevede atti di esecuzione europei su specifici aspetti tecnici. Nel 2027 potrebbero entrare in vigore:

  • Specifiche tecniche sulle misure minime di sicurezza per categoria di soggetto
  • Regolamenti delegati su requisiti di notifica degli incidenti
  • Aggiornamenti alla lista dei settori e dei sottosettori inclusi

Monitora il sito ACN e il Registro ufficiale EU per gli aggiornamenti normativi che possono impattare la tua organizzazione.

Integrazione con GDPR e altre normative

NIS2 e GDPR si sovrappongono su diversi aspetti (in particolare sulla gestione degli incidenti e sulla sicurezza del trattamento dei dati). Nel 2027 si consoliderà la prassi su come le organizzazioni gestiscono questa sovrapposizione — in particolare riguardo alle notifiche (24 ore per NIS2 all'ACN, 72 ore per GDPR al Garante Privacy).

La checklist per il 2026

Se entri nel nuovo anno con qualche gap aperto, queste sono le priorità:

Priorità immediata (Q1 2026):

  1. Completare la registrazione ACN se non ancora fatto
  2. Assicurarsi che tutta la documentazione di policy sia formalmente approvata
  3. Avere il registro dei completamenti della formazione aggiornato e gli attestati rilasciati

Priorità nel corso dell'anno: 4. Condurre (o aggiornare) il risk assessment 5. Verificare lo stato dei backup con un test di ripristino reale 6. Estendere la MFA agli accessi che ancora ne sono privi 7. Formalizzare il registro dei fornitori critici con evidenza delle valutazioni

La formazione non si ferma

Gli obblighi formativi della NIS2 sono ricorrenti — non si esauriscono con un percorso completato. I dipendenti del 2026 vanno formati nel 2026. Il management va aggiornato ogni anno.

Il percorso CyberTotem è strutturato per garantire continuità: ogni anno si rinnova il ciclo di 12 moduli per i dipendenti e il percorso aggiornato per il management, con nuovi attestati che dimostrano la formazione dell'anno in corso.

Una nota sulla proporzionalità

La NIS2 prevede un principio di proporzionalità: le misure adottate devono essere adeguate al rischio, tenendo conto delle dimensioni e della capacità dell'organizzazione. Una PMI di 60 dipendenti non è tenuta agli stessi controlli tecnici di un operatore di infrastrutture critiche.

Questo significa che non tutte le organizzazioni devono fare tutto. Ma significa anche che ogni organizzazione deve essere in grado di dimostrare di aver valutato il proprio rischio e adottato misure proporzionate — non che non ha fatto nulla perché "siamo piccoli".

Stai pianificando la compliance NIS2 per il 2026? Contattaci per strutturare il percorso giusto per la tua organizzazione.

CyberTotem

Porta la formazione cybersecurity in azienda.

10 minuti al mese per dipendente. 12 moduli l'anno. Attestati automatici.

Richiedi una demo