Torna al Blog

NIS2 in Italia: cosa devono fare PMI e fornitori entro il 31 ottobre 2026

·5 min lettura
NIS2 Italia - Calendario scadenze 2026

Il calendario 2026 è fissato. Tre date contano davvero: 31 maggio, 30 giugno, 31 ottobre. Mancano poche settimane alla prima.

L'art. 4 della Determinazione ACN n. 379907/2025 fissa il 31 ottobre 2026 come termine ultimo entro cui i soggetti della prima ondata devono avere operative tutte le misure di sicurezza di base, con evidenze documentali. Non è una scadenza dichiarativa: l'ACN chiede prova di conformità verificabile.

Per le PMI italiane che si sono iscritte agli elenchi nel 2025 — o che lo faranno nelle settimane di maggio-giugno 2026 — il conto alla rovescia parte da adesso. Cinque mesi netti per chiudere i 37 (importanti) o 43 (essenziali) controlli minimi previsti.

Cosa è cambiato con la Determinazione 379907/2025

Il D.Lgs. 4 settembre 2024, n. 138 ha recepito la NIS2 europea (Gazzetta Ufficiale n. 230 del 1° ottobre 2024, in vigore dal 16 ottobre 2024). Il decreto ha rinviato alla regolazione tecnica dell'ACN il dettaglio delle misure di sicurezza concrete. Quella regolazione è arrivata: la Determinazione 379907/2025 del Direttore Generale ACN, applicabile dal 15 gennaio 2026.

La Determinazione articola due livelli di obblighi:

  • Soggetti importanti: 37 misure di sicurezza, articolate in 87 requisiti operativi (Allegato 1)
  • Soggetti essenziali: 43 misure, 116 requisiti (Allegato 2)

La differenza non è cosmetica. Le 6 misure aggiuntive per gli essenziali coprono ambiti come continuità operativa avanzata, gestione delle vulnerabilità con tempistiche stringenti e supervisione attiva della supply chain. Sapere in quale categoria rientra la propria organizzazione è il primo passo: i criteri sono fissati dal D.Lgs. 138/2024 (settori, dimensioni, ruolo di servizio essenziale o importante per il sistema-paese).

Il calendario operativo del 2026

Tre scadenze ravvicinate, ciascuna con un adempimento distinto:

1° maggio – 30 giugno 2026 · Finestra annuale di comunicazione attività e servizi all'ACN

È il periodo previsto dall'art. 30 comma 1 del D.Lgs. 138/2024 per aggiornare l'elenco di attività e servizi sulla piattaforma ACN. Non è un audit: è un'autodichiarazione, ma con effetti sostanziali sulla categorizzazione e quindi sugli obblighi applicabili.

31 maggio 2026 · Comunicazione fornitori rilevanti NIS

Entro questa data, le organizzazioni soggette devono trasmettere ad ACN l'elenco dei fornitori rilevanti ai fini NIS2. È il primo passo per attivare gli obblighi di gestione del rischio della supply chain — l'area su cui, come scritto in un precedente articolo del blog, "chi non è pronto, esce dal mercato".

31 ottobre 2026 · Piena conformità misure di sicurezza di base

La scadenza decisiva. Per la prima ondata di soggetti — quelli già in elenco dal 2025 — tutte le 37/87 o 43/116 misure devono essere operative con evidenze documentali dimostrabili. Non si tratta di policy scritte e non implementate: l'ACN può verificare l'effettiva applicazione.

Cosa fare adesso

Per chi non ha ancora messo in piedi un piano operativo, cinque mesi sono pochi ma sufficienti se si parte dai pochi punti che generano l'impatto maggiore.

  1. Mappare la posizione regolamentare. Soggetto essenziale o importante? Quali servizi rientrano? Quali fornitori sono "rilevanti" ai fini NIS2? Questa mappatura va completata prima della finestra ACN del 1° maggio, per evitare di comunicare categorizzazioni che non reggono a verifica.
  2. Confrontare la postura attuale con gli Allegati 1 o 2 della Determinazione. Un gap assessment serio — non un questionario — è il modo più rapido per capire dove servono interventi prima del 31 ottobre. Le misure non rispettate vanno mappate a iniziative concrete con scadenza interna ben prima del 30 settembre, per avere un mese di margine.
  3. Avviare la due diligence sui fornitori critici. L'obbligo di gestione del rischio supply chain entra in vigore nel calendario 2026 con la comunicazione del 31 maggio. Iniziare le valutazioni contrattuali e tecniche dei fornitori IT/cloud più strategici è la priorità di giugno.
  4. Documentare in modo dimostrabile. L'ACN non chiede solo "fatto" — chiede evidenza. Procedure, registri, log di esecuzione, verbali di simulazione incidente: tutto va versionato e archiviato in modo che un verificatore esterno possa ricostruire la conformità. Per chi ha già un SGSI ISO/IEC 27001 in piedi, gran parte del lavoro è ricondurre i controlli NIS2 ai controlli ISO già implementati.
  5. Pianificare il post-31 ottobre. La conformità non è un evento, è un regime. Il primo riallineamento sulla piattaforma ACN andrà rifatto nella finestra 1 maggio – 30 giugno 2027. Costruire da subito un ciclo operativo annuale evita di rincorrere ogni scadenza.

Le sanzioni che ricordano cosa è in gioco

Il D.Lgs. 138/2024 fissa per i soggetti essenziali sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale annuo, e per gli importanti fino a 7 milioni o all'1,4% del fatturato. Violazioni minori — ritardi di comunicazione, omissioni documentali — si attestano allo 0,1% (essenziali) e 0,07% (importanti). Numeri che non si raggiungono per un singolo controllo carente, ma che esistono perché la conformità sostanziale è obbligatoria.

Per una PMI con €5-20M di fatturato, anche lo 0,07% si traduce in €3.500-14.000 per violazione, una cifra che si somma al costo reputazionale e contrattuale di un'esposizione pubblica. Per chi rientra fra gli essenziali, la stessa proporzione dello 0,1% porta la soglia a €5.000-20.000 a episodio.

Fonti