La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, impone obblighi di cybersecurity a migliaia di aziende italiane. Ma quali sono le scadenze concrete? Cosa dovevi già aver fatto e cosa devi fare nei prossimi mesi? In questo articolo trovi il calendario completo, aggiornato a marzo 2026, con tutte le deadline e le azioni da intraprendere subito per evitare sanzioni.
Indice dei Contenuti
Il Contesto Normativo: D.Lgs. 138/2024
La Direttiva (UE) 2022/2555, nota come NIS2, è stata recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, pubblicato in Gazzetta Ufficiale il 1° ottobre 2024. Il decreto ha stabilito un percorso di adeguamento graduale, con scadenze distribuite tra il 2025 e il 2026.
L'autorità competente è l'ACN (Agenzia per la Cybersicurezza Nazionale), che ha il potere di: identificare i soggetti obbligati, definire le misure tecniche specifiche, condurre ispezioni e audit, irrogare sanzioni. Per un quadro completo della normativa, consulta la nostra guida completa NIS2.
Attenzione: alcune scadenze sono già passate
Se la tua azienda non ha ancora completato la registrazione presso l'ACN (scadenza 28 febbraio 2025), sei già in ritardo. Non è troppo tardi per agire, ma è fondamentale muoversi immediatamente. L'ACN ha adottato un approccio graduale nelle prime fasi, ma le sanzioni sono già applicabili.
Timeline Completa NIS2: Tutte le Scadenze
Ecco il calendario completo di tutte le scadenze NIS2 rilevanti per le aziende italiane, dalla registrazione iniziale all'adeguamento tecnico completo:
17 Gennaio 2025
CompletatoApertura piattaforma ACN
La piattaforma digitale dell'ACN per la registrazione dei soggetti NIS2 è diventata operativa. I soggetti rientranti nei criteri devono avviare l'auto-identificazione.
28 Febbraio 2025
CompletatoScadenza registrazione iniziale ACN
Termine per la registrazione sulla piattaforma ACN per i soggetti identificati nella prima fase (Allegati I e II del D.Lgs. 138/2024). Chi non si è registrato è già in ritardo.
31 Marzo 2025
CompletatoLista definitiva soggetti NIS2
L'ACN ha pubblicato la lista definitiva dei soggetti essenziali e importanti sulla base delle registrazioni ricevute e delle verifiche d'ufficio.
15 Aprile 2025
CompletatoNotifica ai soggetti inclusi
L'ACN ha notificato formalmente ai soggetti la loro inclusione come 'essenziali' o 'importanti', con indicazione degli obblighi specifici applicabili.
1 Gennaio 2026
In vigoreObbligo notifica incidenti
Entra in vigore l'obbligo di notifica degli incidenti significativi all'ACN: pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro 1 mese.
31 Marzo 2026
ImminenteAdeguamento governance e policy
Termine per l'adozione delle misure di governance: nomina del responsabile sicurezza, approvazione delle policy di cybersecurity da parte degli organi direttivi, definizione del piano di gestione del rischio.
30 Settembre 2026
ProssimoAdeguamento misure tecniche
Termine per l'implementazione completa delle misure tecniche di sicurezza: gestione degli accessi, crittografia, monitoraggio, backup, incident response, supply chain security, vulnerability management.
31 Dicembre 2026
ProssimoAudit di conformità
Termine consigliato per completare il primo audit interno di conformità NIS2 e preparare la documentazione per eventuali ispezioni ACN. Non è una scadenza normativa ma una best practice fortemente raccomandata.
Sanzioni per Ritardo e Non Conformità
Il D.Lgs. 138/2024 prevede un regime sanzionatorio severo, differenziato tra soggetti essenziali e soggetti importanti:
| Tipo di violazione | Soggetti essenziali | Soggetti importanti |
|---|---|---|
| Mancata registrazione ACN | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Mancata notifica incidenti | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Misure di sicurezza inadeguate | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Mancata cooperazione con ACN | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Ostruzione ispezioni | Sanzioni aggravate + misure restrittive | Sanzioni aggravate + misure restrittive |
Responsabilità personale dei dirigenti
La NIS2 introduce una novità importante: la responsabilità personale dei membri degli organi di gestione (CDA, amministratori delegati). In caso di gravi inadempienze, l'ACN può disporre la sospensione temporanea delle funzioni dirigenziali. Questo significa che il CDA non può ignorare la cybersecurity: deve approvare le misure, supervisionare l'implementazione e partecipare alla formazione.
Le 5 Azioni da Fare Subito (Marzo 2026)
Siamo a marzo 2026. L'obbligo di notifica incidenti è già attivo, la scadenza per governance e policy è a fine mese, e l'adeguamento tecnico scade a settembre. Ecco le 5 azioni prioritarie da intraprendere adesso:
1. Verifica la tua registrazione ACN
Se non l'hai ancora fatto, registrati immediatamente sulla piattaforma ACN (https://www.acn.gov.it). Anche se sei in ritardo, la registrazione è il primo passo obbligatorio. Prepara: codice fiscale azienda, PEC, dati del rappresentante legale, descrizione dei servizi erogati.
2. Approva le policy di cybersecurity (scadenza 31 marzo)
Il CDA o l'organo direttivo deve formalmente approvare: policy di sicurezza informatica, piano di gestione del rischio cyber, procedura di gestione degli incidenti, policy di sicurezza della supply chain, piano di business continuity. Queste policy devono essere documentate e aggiornabili.
3. Attiva la procedura di notifica incidenti
L'obbligo è già in vigore dal 1 gennaio 2026. Devi avere: un processo definito per identificare e classificare gli incidenti significativi, la capacità di inviare la pre-notifica all'ACN entro 24 ore, il personale formato sulla procedura. Affidati a un MSP con servizio SOC/MDR per il monitoraggio continuo.
4. Esegui una gap analysis
Confronta la tua postura di sicurezza attuale con i requisiti NIS2 (art. 21 della Direttiva, artt. 23-29 del D.Lgs. 138/2024). Identifica le lacune in: gestione degli accessi, crittografia, monitoraggio, backup, vulnerability management, formazione. Questa analisi è la base per il piano di remediation.
5. Pianifica l'adeguamento tecnico (scadenza 30 settembre)
Hai 6 mesi per implementare tutte le misure tecniche. Definisci il piano: priorità degli interventi, budget, risorse interne e esterne (MSP), tempistiche. Non sottovalutare i tempi: l'implementazione di un SIEM, la configurazione Zero Trust o la revisione della supply chain richiedono settimane.
Roadmap di Adeguamento a 6 Mesi (Marzo - Settembre 2026)
Ecco un piano operativo realistico per raggiungere la conformità NIS2 entro il 30 settembre 2026, partendo dalla situazione attuale:
Marzo 2026
Governance e Quick Wins
Approvazione policy CDA, nomina responsabile sicurezza, attivazione MFA su tutti gli account, revisione backup (verifica che funzionino!), inventario asset IT completo.
Aprile 2026
Gap Analysis e Piano di Remediation
Assessment completo della postura di sicurezza, identificazione delle lacune rispetto ai requisiti NIS2, definizione del piano di remediation con priorità e budget, selezione fornitori/MSP per le implementazioni.
Maggio - Giugno 2026
Implementazione Tecnica (Fase 1)
Firewall next-gen con IPS/IDS, EDR/XDR su tutti gli endpoint, segmentazione di rete, crittografia dati sensibili, hardening dei server, implementazione SIEM o servizio SOC/MDR gestito.
Luglio - Agosto 2026
Implementazione Tecnica (Fase 2)
Vulnerability management (scan periodici), revisione sicurezza supply chain (audit fornitori critici), disaster recovery testato, policy di gestione accessi Zero Trust, documentazione completa di tutte le misure implementate.
Settembre 2026
Formazione, Test e Audit
Formazione cybersecurity per tutto il personale, formazione specifica per il CDA, simulazione di incidente (tabletop exercise), audit interno di conformità, preparazione documentazione per eventuali ispezioni ACN.
Il ruolo di BullTech nel percorso NIS2
Come MSP specializzato in cybersecurity per PMI, BullTech supporta l'intero percorso di adeguamento NIS2: dalla gap analysis iniziale all'implementazione delle misure tecniche, dalla formazione del personale al monitoraggio continuo con servizio SOC/MDR. Il nostro approccio è pragmatico: non vendiamo compliance documentale, ma sicurezza operativa che soddisfa i requisiti normativi. Scopri il nostro servizio di consulenza compliance.
Gli Errori Più Comuni da Evitare
Nella nostra esperienza con decine di aziende in percorso di adeguamento NIS2, questi sono gli errori più frequenti:
Pensare che "non mi riguarda"
Molte PMI sottovalutano i criteri di inclusione. Anche se non rientri direttamente negli Allegati I e II, potresti essere incluso come fornitore critico di un soggetto essenziale (supply chain). Verifica proattivamente la tua posizione.
Confondere compliance documentale con sicurezza reale
Scrivere policy che nessuno legge e che non corrispondono alla realtà operativa è inutile e pericoloso. L'ACN verificherà l'effettiva implementazione delle misure, non solo l'esistenza dei documenti.
Rimandare l'adeguamento tecnico
Le implementazioni tecniche (SIEM, Zero Trust, segmentazione di rete) richiedono settimane di lavoro. Iniziare a settembre per una scadenza a fine settembre è impossibile. Pianifica ora, implementa da aprile.
Non coinvolgere il CDA
La NIS2 richiede esplicitamente che gli organi direttivi approvino le misure e partecipino alla formazione. Un CDA che delega tutto all'IT e non si occupa di cybersecurity espone l'azienda a sanzioni e responsabilità personali.
Ignorare la supply chain
La sicurezza della catena di fornitura è un requisito specifico della NIS2. Devi valutare la postura di sicurezza dei tuoi fornitori critici e includere clausole di sicurezza nei contratti. Questo richiede tempo e negoziazione.
Domande Frequenti
Quando scade la registrazione NIS2 presso l'ACN?
La registrazione sulla piattaforma digitale dell'ACN (Agenzia per la Cybersicurezza Nazionale) doveva essere completata entro il 28 febbraio 2025 per i soggetti identificati nella prima fase. Per i soggetti identificati successivamente, la scadenza è fissata a 30 giorni dalla notifica di inclusione da parte dell'ACN. Se non hai ancora ricevuto notifica, verifica proattivamente la tua posizione: il D.Lgs. 138/2024 prevede l'auto-identificazione da parte dei soggetti rientranti nei criteri.
Quali sono le sanzioni per chi non rispetta le scadenze NIS2?
Le sanzioni variano in base alla classificazione del soggetto. Per i soggetti essenziali: fino a €10.000.000 o 2% del fatturato mondiale annuo (il maggiore dei due). Per i soggetti importanti: fino a €7.000.000 o 1,4% del fatturato mondiale annuo. Oltre alle sanzioni pecuniarie, l'ACN può disporre: sospensione temporanea delle certificazioni, divieto temporaneo di esercizio delle funzioni dirigenziali per i responsabili, obbligo di adeguamento con tempi imposti.
La mia azienda è soggetta alla NIS2? Come faccio a saperlo?
Sei soggetto alla NIS2 se operi in uno dei settori indicati negli Allegati I (settori ad alta criticità: energia, trasporti, bancario, sanitario, acqua, infrastrutture digitali, ICT, spazio) o Allegati II (altri settori critici: postale, gestione rifiuti, chimico, alimentare, manifatturiero, ricerca, fornitori digitali) E superi le soglie dimensionali: almeno 50 dipendenti OPPURE fatturato/bilancio annuo superiore a €10 milioni. Attenzione: anche PMI sotto soglia possono essere incluse se fanno parte della supply chain di un soggetto essenziale.
Quanto tempo serve per adeguarsi alla NIS2?
In base alla nostra esperienza con PMI italiane, il percorso di adeguamento completo richiede dai 4 ai 9 mesi, a seconda del livello di maturità cyber attuale. Le fasi principali sono: gap analysis (2-4 settimane), definizione delle policy (4-6 settimane), implementazione tecnica (8-16 settimane), formazione del personale (2-4 settimane), test e audit interno (2-4 settimane). È fondamentale iniziare subito: le scadenze di adeguamento tecnico sono già operative.
Cosa succede se sono in ritardo con l'adeguamento NIS2?
Se sei in ritardo, il consiglio è agire immediatamente. L'ACN può avviare ispezioni e, in caso di non conformità, le sanzioni sono significative. Tuttavia, dimostrare di aver avviato un percorso di adeguamento strutturato (con evidenze documentali: gap analysis, piano di remediation, contratti con fornitori di sicurezza) è un forte elemento attenuante. L'ACN ha dichiarato di privilegiare un approccio graduale e collaborativo nelle prime fasi di applicazione.
Posso delegare l'adeguamento NIS2 a un MSP?
Sì, un MSP specializzato può gestire la gran parte dell'adeguamento tecnico: implementazione di misure di sicurezza (firewall, EDR, SIEM), gestione degli incidenti, monitoraggio continuo, backup e disaster recovery, vulnerability assessment. Tuttavia, la responsabilità legale resta in capo all'organizzazione e ai suoi dirigenti. Il ruolo dell'MSP è quello di partner tecnico che implementa e gestisce le misure, mentre l'azienda mantiene la governance e la supervisione. BullTech supporta l'intero percorso: dalla gap analysis alla compliance operativa.
Le scadenze NIS2 sono già attive e il tempo stringe. Non aspettare l'ultimo momento: un percorso di adeguamento strutturato richiede mesi, non settimane. Inizia oggi con una gap analysis e costruisci un piano realistico per raggiungere la conformità entro settembre 2026.
Hai bisogno di supporto per l'adeguamento NIS2 della tua azienda? Contattaci per una consulenza gratuita: valutiamo la tua situazione, identifichiamo le priorità e costruiamo insieme il percorso di compliance più efficiente.