È ufficialmente iniziata la seconda fase di attuazione della Direttiva NIS2. L’Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato l’invio delle comunicazioni ufficiali tramite PEC alle aziende che rientrano nel perimetro nazionale della normativa.

Le organizzazioni che hanno ricevuto la comunicazione — identificate come soggetti essenziali o importanti — sono ora tenute a rispettare una serie di adempimenti rigorosi, scanditi da scadenze precise.

Scadenze e obblighi: il calendario NIS 2025

ENTRO IL 31 MAGGIO 2025: Aggiornamento delle informazioni

Tutte le aziende coinvolte dovranno trasmettere o aggiornare una serie di dati obbligatori attraverso il Portale Servizi ACN, utilizzando credenziali SPID o CIE.

All’interno del portale sarà disponibile una sezione dedicata per la raccolta delle seguenti informazioni:

• Dati anagrafici e di contatto del “Punto di Contatto”: una figura con competenze in ambito cybersecurity, interna o esterna all’organizzazione.
• Designazione di un “Sostituto Punto di Contatto”: una persona fisica distinta, che supporti il referente principale.
• Indirizzi IP associati a sistemi critici, in conformità all’Art. 7, e dettagli su infrastrutture IT, incidenti e misure di sicurezza adottate.
• Elenco dei componenti degli organi di amministrazione e direttivi, quali persone fisiche responsabili ai sensi dell’articolo 38, comma 5, del decreto NIS.
• Elenco degli Stati Membri UE in cui l’organizzazione fornisce servizi digitali o infrastrutturali.

⚠️ Ogni variazione dovrà essere comunicata entro 14 giorni, per garantire la conformità continua.

GENNAIO 2026: Notifica Obbligatoria degli Incidenti

A partire dal gennaio 2026, entrerà in vigore uno degli obblighi più rilevanti della Direttiva NIS2: la segnalazione formale e documentata di ogni incidente informatico che abbia un impatto significativo sulla continuità dei servizi, la riservatezza dei dati o la disponibilità delle infrastrutture.

Le organizzazioni non potranno più gestire internamente episodi di compromissione: sarà obbligatorio notificarli seguendo i protocolli ufficiali.

Questo passaggio trasforma i soggetti NIS da meri destinatari di norme a protagonisti attivi della cybersicurezza nazionale.

OTTOBRE 2026: Misure Minime Obbligatorie

Entro ottobre 2026, tutte le entità soggette alla NIS2 dovranno aver implementato pienamente le misure minime di sicurezza previste dall’ACN.

Non si tratterà più di buone intenzioni o policy formali: le soluzioni adottate dovranno essere operative, misurabili ed efficaci, con un approccio continuo alla protezione dei sistemi critici.

Le sanzioni in caso di inadempienza

La Direttiva prevede sanzioni severe per chi non rispetta gli obblighi previsti:

• Mancata nomina del CISO/Punto di Contatto: fino a €100.000
• Omissione nella trasmissione dei dati richiesti: 1–2% del fatturato annuo
• Violazioni della sicurezza: fino a €10 milioni per le imprese essenziali

Supporto e consulenza 

Adeguarsi alla NIS2 è un processo articolato, che richiede competenze tecniche, organizzative e legali. Affidarsi a professionisti del settore consente non solo di essere pienamente conformi, ma anche di trasformare l’obbligo normativo in un’opportunità strategica per rafforzare la resilienza digitale aziendale.

🔍 Il nostro team offre servizi di consulenza e adeguamento operativo.
📞 Contattaci per una valutazione personalizzata e per ricevere supporto su misura.