Hai sentito parlare della NIS2 e ti stai chiedendo: "Ma io, concretamente, cosa devo fare e soprattutto entro quando?" Domanda giusta. Il D.Lgs. 138/2024 ha fissato una serie di scadenze precise, e alcune le hai già superate. Qui trovi tutto il calendario aggiornato a marzo 2026: deadline già passate, quelle imminenti e le azioni da fare oggi per non trovarti nei guai.
Indice dei Contenuti
Il Contesto Normativo: D.Lgs. 138/2024
La Direttiva (UE) 2022/2555, la famosa NIS2, è diventata legge italiana con il Decreto Legislativo 4 settembre 2024, n. 138 (pubblicato in Gazzetta Ufficiale il 1° ottobre 2024). Le scadenze per adeguarsi sono distribuite tra il 2025 e il 2026, quindi il tempo stringe.
Chi controlla tutto? L'ACN (Agenzia per la Cybersicurezza Nazionale). Può identificare chi deve adeguarsi, definire le misure tecniche da adottare, fare ispezioni e, se serve, multare. Per il quadro completo sulla normativa, c'è la nostra guida completa NIS2.
Attenzione: alcune scadenze sono già passate
Se la tua azienda non si è ancora registrata presso l'ACN (la scadenza era il 28 febbraio 2025), sei già in ritardo. Non è troppo tardi per rimediare, ma devi muoverti adesso. L'ACN per ora sta usando un approccio morbido, ma le sanzioni sono già applicabili.
Timeline Completa NIS2: Tutte le Scadenze
Ecco tutte le scadenze NIS2 che ti riguardano, dalla registrazione iniziale fino all'adeguamento tecnico completo. Tieniti forte:
17 Gennaio 2025
CompletatoApertura piattaforma ACN
La piattaforma digitale dell'ACN per la registrazione dei soggetti NIS2 è diventata operativa. I soggetti rientranti nei criteri devono avviare l'auto-identificazione.
28 Febbraio 2025
CompletatoScadenza registrazione iniziale ACN
Termine per la registrazione sulla piattaforma ACN per i soggetti identificati nella prima fase (Allegati I e II del D.Lgs. 138/2024). Chi non si è registrato è già in ritardo.
31 Marzo 2025
CompletatoLista definitiva soggetti NIS2
L'ACN ha pubblicato la lista definitiva dei soggetti essenziali e importanti sulla base delle registrazioni ricevute e delle verifiche d'ufficio.
15 Aprile 2025
CompletatoNotifica ai soggetti inclusi
L'ACN ha notificato formalmente ai soggetti la loro inclusione come 'essenziali' o 'importanti', con indicazione degli obblighi specifici applicabili.
1 Gennaio 2026
In vigoreObbligo notifica incidenti
Entra in vigore l'obbligo di notifica degli incidenti significativi all'ACN: pre-notifica entro 24 ore, notifica completa entro 72 ore, relazione finale entro 1 mese.
31 Marzo 2026
ImminenteAdeguamento governance e policy
Termine per l'adozione delle misure di governance: nomina del responsabile sicurezza, approvazione delle policy di cybersecurity da parte degli organi direttivi, definizione del piano di gestione del rischio.
30 Settembre 2026
ProssimoAdeguamento misure tecniche
Termine per l'implementazione completa delle misure tecniche di sicurezza: gestione degli accessi, crittografia, monitoraggio, backup, incident response, supply chain security, vulnerability management.
31 Dicembre 2026
ProssimoAudit di conformità
Termine consigliato per completare il primo audit interno di conformità NIS2 e preparare la documentazione per eventuali ispezioni ACN. Non è una scadenza normativa ma una best practice fortemente raccomandata.
Sanzioni per Ritardo e Non Conformità
Le sanzioni della NIS2 non sono simboliche. Il D.Lgs. 138/2024 distingue tra soggetti essenziali e importanti, e per entrambi le cifre fanno riflettere:
| Tipo di violazione | Soggetti essenziali | Soggetti importanti |
|---|---|---|
| Mancata registrazione ACN | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Mancata notifica incidenti | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Misure di sicurezza inadeguate | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Mancata cooperazione con ACN | Fino a €10.000.000 o 2% fatturato | Fino a €7.000.000 o 1,4% fatturato |
| Ostruzione ispezioni | Sanzioni aggravate + misure restrittive | Sanzioni aggravate + misure restrittive |
I dirigenti rispondono in prima persona
Questa è la vera novità della NIS2: la responsabilità personale di CDA e amministratori delegati. Se le cose vanno male, l'ACN può sospendere temporaneamente i dirigenti dalle loro funzioni. Tradotto: il CDA non può più dire "la cybersecurity la gestisce l'IT". Deve approvare le misure, seguire che vengano attuate e partecipare alla formazione.
Le 5 Azioni da Fare Subito (Marzo 2026)
Siamo a marzo 2026. La notifica incidenti è già obbligatoria, la scadenza per governance e policy è a fine mese, e l'adeguamento tecnico scade a settembre. Ecco le 5 cose che devi fare adesso:
1. Verifica la tua registrazione ACN
Non l'hai ancora fatto? Vai subito su acn.gov.it e registrati. Anche se sei in ritardo, è il primo passo obbligatorio. Ti servono: codice fiscale azienda, PEC, dati del rappresentante legale, descrizione dei servizi che offri.
2. Approva le policy di cybersecurity (scadenza 31 marzo)
Il CDA o chi dirige l'azienda deve approvare formalmente: policy di sicurezza informatica, piano di gestione del rischio cyber, procedura per gestire gli incidenti, policy di sicurezza della catena di fornitura, piano di continuità operativa. Devono essere scritte, firmate e aggiornabili.
3. Attiva la procedura di notifica incidenti
Questo obbligo è già attivo dal 1 gennaio 2026. Ti serve: un processo chiaro per identificare e classificare gli incidenti gravi, la capacità di mandare la pre-notifica all'ACN entro 24 ore, personale che sappia cosa fare. Un MSP con servizio SOC/MDR ti copre con il monitoraggio continuo.
4. Fai un checkup di sicurezza
Confronta la tua situazione attuale con quello che chiede la NIS2 (art. 21 della Direttiva, artt. 23-29 del D.Lgs. 138/2024). Dove sei scoperto? Gestione degli accessi, crittografia, monitoraggio, backup, gestione vulnerabilità, formazione. Questa analisi è la base per sapere cosa sistemare e in che ordine.
5. Pianifica l'adeguamento tecnico (scadenza 30 settembre)
Hai 6 mesi per mettere in piedi tutte le misure tecniche. Fai un piano concreto: cosa viene prima, quanto costa, chi lo fa (internamente o con un MSP), in quanto tempo. Non sottovalutare le tempistiche: configurare un SIEM, attivare Zero Trust o verificare la sicurezza dei tuoi fornitori richiede settimane.
Roadmap di Adeguamento a 6 Mesi (Marzo - Settembre 2026)
Ecco un piano concreto e realistico per arrivare in regola entro il 30 settembre 2026, partendo da dove sei oggi:
Marzo 2026
Governance e Quick Wins
Approvazione policy dal CDA, nomina del responsabile sicurezza, attivazione MFA su tutti gli account, verifica dei backup (assicurati che funzionino davvero!), inventario completo di server, PC e rete.
Aprile 2026
Checkup Completo e Piano di Intervento
Analisi approfondita della tua sicurezza attuale, identificazione delle lacune rispetto ai requisiti NIS2, definizione del piano di intervento con priorità e budget, scelta dei fornitori/MSP per le configurazioni.
Maggio - Giugno 2026
Configurazione Tecnica (Fase 1)
Firewall next-gen con IPS/IDS, EDR/XDR su tutti i PC e server, segmentazione della rete, crittografia dei dati sensibili, hardening dei server, attivazione di un SIEM o servizio SOC/MDR gestito.
Luglio - Agosto 2026
Configurazione Tecnica (Fase 2)
Vulnerability management (scan periodici), verifica della sicurezza dei fornitori critici, disaster recovery testato sul serio, policy di accesso Zero Trust, documentazione completa di tutto quello che hai fatto.
Settembre 2026
Formazione, Test e Audit
Formazione cybersecurity per tutto il personale, formazione specifica per il CDA, simulazione di incidente (tabletop exercise), audit interno di conformità, preparazione documentazione per eventuali ispezioni ACN.
Come ti aiuta BullTech nel percorso NIS2
Siamo un MSP specializzato in cybersecurity per PMI, e ti seguiamo dall'inizio alla fine: dal checkup iniziale alla configurazione delle misure tecniche, dalla formazione del personale al monitoraggio continuo con servizio SOC/MDR. Il nostro approccio è pratico: non vendiamo documenti che nessuno legge, ma sicurezza reale che soddisfa anche i requisiti normativi. Scopri il nostro servizio di consulenza compliance.
Gli Errori Più Comuni da Evitare
Abbiamo seguito decine di aziende nel percorso NIS2. Questi sono gli errori che vediamo più spesso:
Pensare che "non mi riguarda"
Molte PMI pensano di essere fuori dal perimetro. Ma anche se non rientri direttamente negli Allegati I e II, potresti essere coinvolto come fornitore critico di un soggetto essenziale (catena di fornitura). Controlla, non aspettare che qualcuno venga a dirtelo.
Confondere compliance documentale con sicurezza reale
Scrivere policy che nessuno legge e che non corrispondono a quello che fate davvero? Inutile e pericoloso. L'ACN controllerà se le misure sono davvero attive, non se avete un bel PDF nel cassetto.
Rimandare l'adeguamento tecnico
Configurare un SIEM, attivare Zero Trust, segmentare la rete: tutte cose che richiedono settimane di lavoro. Iniziare a settembre per una scadenza a fine settembre è matematicamente impossibile. Pianifica ora, parti ad aprile.
Non coinvolgere il CDA
La NIS2 lo dice chiaramente: il CDA deve approvare le misure e partecipare alla formazione. Un consiglio di amministrazione che delega tutto all'IT e se ne lava le mani espone l'azienda a sanzioni, e i singoli dirigenti a responsabilità personali.
Ignorare la supply chain
La sicurezza della catena di fornitura è un requisito specifico della NIS2. Devi verificare che i tuoi fornitori critici siano sicuri e inserire clausole di sicurezza nei contratti. Ci vogliono tempo e trattativa: non è qualcosa che fai in una settimana.
Domande Frequenti
Quando scade la registrazione NIS2 presso l'ACN?
La registrazione sulla piattaforma dell'ACN (Agenzia per la Cybersicurezza Nazionale) andava completata entro il 28 febbraio 2025 per chi rientrava nella prima fase. Se sei stato identificato dopo, hai 30 giorni dalla notifica ACN. Non hai ancora ricevuto nulla? Controlla tu stesso: il D.Lgs. 138/2024 dice chiaramente che devi auto-identificarti se rientri nei criteri. Meglio verificare ora che scoprirlo con una sanzione.
Quali sono le sanzioni per chi non rispetta le scadenze NIS2?
Le cifre fanno paura, e a ragione. Se rientri tra i soggetti essenziali: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo (il più alto dei due). Per i soggetti importanti: fino a 7 milioni o l'1,4% del fatturato. E non finisce qui: l'ACN può anche sospendere le certificazioni, vietare ai dirigenti di esercitare le loro funzioni e obbligarti ad adeguarti con tempi imposti. In pratica, non è una cosa che puoi ignorare.
La mia azienda è soggetta alla NIS2? Come faccio a saperlo?
Ci sono due condizioni da verificare. Prima: il tuo settore. Rientri nella NIS2 se operi in energia, trasporti, bancario, sanitario, acqua, infrastrutture digitali, ICT, spazio (Allegati I) oppure in postale, rifiuti, chimico, alimentare, manifatturiero, ricerca, servizi digitali (Allegati II). Seconda: la dimensione. Servono almeno 50 dipendenti oppure un fatturato/bilancio annuo sopra i 10 milioni di euro. Occhio però: anche PMI più piccole possono rientrare se fanno parte della catena di fornitura di un soggetto essenziale.
Quanto tempo serve per adeguarsi alla NIS2?
Dalla nostra esperienza con PMI italiane: dai 4 ai 9 mesi, dipende da quanto sei già messo bene a livello di sicurezza. Le fasi in sintesi: analisi delle lacune (2-4 settimane), definizione delle policy (4-6 settimane), configurazione tecnica (8-16 settimane), formazione del personale (2-4 settimane), test e audit interno (2-4 settimane). Il punto chiave: le scadenze per l'adeguamento tecnico sono già operative, quindi ogni giorno conta.
Cosa succede se sono in ritardo con l'adeguamento NIS2?
Muoviti subito, senza panico ma senza perdere tempo. L'ACN può fare ispezioni e le sanzioni sono pesanti, questo è vero. Però c'è una buona notizia: dimostrare che hai già iniziato un percorso serio (con documenti alla mano: analisi delle lacune, piano di intervento, contratti con fornitori di sicurezza) è un forte elemento attenuante. L'ACN stessa ha detto che nelle prime fasi preferisce un approccio graduale e collaborativo. Insomma: se parti oggi, sei ancora in tempo.
Posso delegare l'adeguamento NIS2 a un MSP?
Sì, e per la parte tecnica è spesso la scelta più sensata. Un MSP specializzato può occuparsi di configurare firewall, EDR e SIEM, gestire gli incidenti, monitorare tutto 24/7, garantire backup e disaster recovery, eseguire vulnerability assessment. Però attenzione: la responsabilità legale resta tua e dei tuoi dirigenti. L'MSP è chi mette in pratica le misure di sicurezza, ma la governance e la supervisione rimangono in azienda. Noi di BullTech ti seguiamo dall'analisi delle lacune fino alla compliance operativa.
Le scadenze NIS2 non aspettano. Adeguarsi richiede mesi, non settimane, quindi ogni giorno che passa rende tutto più difficile. Parti oggi con un checkup di sicurezza e costruisci un piano realistico per arrivare in regola entro settembre 2026.
Ti serve una mano con la NIS2? Parliamone: guardiamo insieme la tua situazione, capiamo cosa va fatto prima e ti aiutiamo a costruire un percorso concreto.