Prossime scadenze NIS2: le sfide da affrontare

AGGIORNATO LUGLIO 2025

 

Il percorso di adeguamento previsto dalla Direttiva NIS2 coinvolge una serie di adempimenti distribuiti tra il 2024 e il 2026, con date ben definite indicate dal legislatore italiano e dall’ACN (Agenzia per la Cybersicurezza Nazionale). Dopo la fase di autovalutazione avviata nel 2024, si entra nella fase operativa, con scadenze NIS2 che le organizzazioni “essenziali” o “importanti” devono rispettare per garantire la conformità.

Ecco le principali scadenze NIS2 da conoscere:

• Entro il 31 dicembre 2024: completamento dell’autovalutazione;
• Dal 1° gennaio al 28 febbraio 2025: obbligo di registrazione sul portale ACN;
• Entro il 31 luglio 2025: trasmissione delle misure tecniche e organizzative adottate;
• Dal 1° gennaio 2026: obbligo di notifica degli incidenti;
• Da ottobre 2026: entrano in vigore le misure previste e avvio dei primi audit da parte dell’ACN.

In questo articolo troverai un quadro dettagliato della timeline 2024–2026, con spiegazioni chiare su cosa fare in ciascuna fase, le azioni da intraprendere per prepararsi correttamente e le implicazioni operative per chi fornisce servizi essenziali.
Infine, scoprirai come Comitel, insieme ai suoi partner specializzati, può accompagnarti passo dopo passo nel percorso di compliance, fornendo consulenza esperta, percorsi formativi mirati e strumenti operativi per garantire il rispetto continuativo degli obblighi previsti dalla NIS2.

Scadenze NIS2 2024-2026

Secondo il cronoprogramma pubblicato dall’Agenzia per la Cybersicurezza Nazionale (ACN), il percorso di adeguamento alla Direttiva NIS2 prevede una serie di scadenze ben definite distribuite tra il 2024 e il 2026. Le organizzazioni classificate come soggetti “essenziali” o “importanti” devono seguire una roadmap articolata, con obblighi di registrazione, trasmissione di informazioni, e successiva dimostrazione dell’effettiva adozione delle misure di sicurezza. Di seguito, le principali scadenze NIS2 da rispettare:

• Entro il 31 dicembre 2024: tutte le organizzazioni potenzialmente interessate devono completare l’autovalutazione sul portale dell’ACN, per verificare il proprio eventuale inquadramento tra i soggetti obbligati.
• Dal 1° dicembre 2024 al 28 febbraio 2025: i soggetti risultati obbligati dovranno completare la registrazione formale sul portale ACN, indicando i dati anagrafici dell’ente e il Punto di Contatto (POC).
• Aprile 2025: l’ACN notificherà ufficialmente l’inclusione nell’elenco dei soggetti NIS2, comunicando gli obblighi specifici da rispettare.
• Entro il 31 luglio 2025: le organizzazioni dovranno trasmettere – o aggiornare – sul portale tutte le misure tecniche e organizzative adottate, in base a quanto previsto dall’art. 21 della Direttiva. Questa scadenza è stata prorogata rispetto al termine iniziale del 31 maggio.
• Dal 1° gennaio 2026: entra in vigore l’obbligo di notifica degli incidenti informatici. Le aziende dovranno segnalare gli eventi significativi seguendo un processo a più fasi: prenotifica entro 24 ore, notifica dettagliata entro 72 ore, e relazione finale (follow-up) entro un mese.
• Da ottobre 2026: entreranno in vigore tutte le altre misure tecniche e organizzative avanzate previste da NIS2, inclusi gli obblighi formativi, audit, e registrazione annuale. Da questa data, inoltre, l’ACN potrà avviare i primi audit di conformità per verificare l’effettiva attuazione delle misure dichiarate. Si tratta di verifiche ispettive che potranno avere conseguenze sanzionatorie in caso di non conformità. Da ottobre 2026, quindi, la disciplina non si limiterà al rispetto formale, ma allargherà il focus su: formazione obbligatoria per board e staff operativo; audit tecnici e organizzativi periodici; aggiornamento annuale della documentazione sul portale ACN.

È importante tenere presente che, a partire dal 2025, è previsto anche un obbligo di reporting periodico biennale sullo stato di conformità. Questo dimostra come la NIS2 non rappresenti un adempimento una tantum, ma un percorso continuativo che richiede un aggiornamento costante e una gestione strutturata dei rischi cyber.

Obblighi di notifica degli incidenti

Tra i principali obblighi introdotti dalla Direttiva e la prima delle scadenze NIS2 da rispettare, la gestione degli incidenti di sicurezza rappresenta uno degli aspetti più rilevanti e stringenti. A partire dal 1° gennaio 2026, le organizzazioni classificate come essenziali o importanti dovranno seguire precise tempistiche e procedure per notificare eventuali eventi significativi che compromettano la sicurezza delle reti e dei sistemi informativi.

Questo obbligo nasce dall’esigenza di migliorare la capacità di risposta a livello nazionale ed europeo, garantendo una comunicazione tempestiva e strutturata tra aziende, autorità competenti e utenti finali. La normativa prevede un processo articolato, suddiviso in più fasi, che coinvolge non solo la notifica alle autorità, ma anche la comunicazione agli utenti e la produzione di report periodici.

Vediamo ora nel dettaglio cosa richiede la Direttiva NIS2 in materia di incidenti.

• Early warning (prenotifica) – entro 24 ore
  La prima segnalazione, da inviare “senza ingiustificato ritardo” e comunque entro le prime 24 ore dalla scoperta dell’incidente, serve ad avvisare il CSIRT/autorità Dev’essere indicato se si sospetta un attacco mirato (malicious) o un impatto transfrontaliero.
• Incident notification – entro 72 ore
  Entro tre giorni dal rilevamento, è richiesta una notifica più dettagliata contenente:
  Valutazione iniziale dell’incidente (gravità, impatto operativo/finanziario);
  • Indicatori di compromesso (IOCs);
  • Primo elenco delle misure già messe in campo
• Intermediate report – su richiesta
  Se l’incidente è ancora in corso, su richiesta del CSIRT o autorità, deve essere inviato un aggiornamento intermedio con informazioni sullo stato delle attività di contenimento.
• Final report – entro 1 mese
  Al termine dell’incidente, entro un mese dalla incident notification, l’organizzazione deve inviare la relazione finale comprensiva di:
  Analisi dettagliata dell’incidente e delle sue cause;
  • Misure di mitigazione adottate;
  • Impatto effettivo (incluso eventuale coinvolgimento transfrontaliero)
• Notifica ai destinatari dei servizi – senza ritardi
  Contestualmente o subito dopo le fasi di notifica formale, l’organizzazione deve informare tempestivamente i clienti o utenti potenzialmente colpiti, indicando le azioni correttive e soluzioni suggerite.
• Reporting periodico a ENISA – ogni 3 mesi
  Inoltre, ogni tre mesi, il punto di contatto unico (SPOC) invia un report aggregato ad ENISA con statistiche sugli incidenti notificati.

Le prossime sfide da affrontare

La Direttiva NIS 2 pone diverse sfide alle PMI, dalla gestione del rischio alla continuità dei servizi essenziali, dalla notifica degli incidenti alla creazione di un sistema di governance efficace, fino alla sicurezza della catena di fornitura e agli aspetti di cooperazione. Parliamo di una normativa che coinvolge la stragrande maggioranza del tessuto economico-produttivo del nostro Paese, anche quando un’azienda non rientra direttamente tra i soggetti regolamentati, ma è parte della supply chain critica di un’entità obbligata.

Uno degli aspetti più complessi è proprio la mappatura della supply chain strategica e critica, che deve tenere conto delle diverse variabili legate ai singoli fornitori. Le aziende devono adottare un approccio proattivo alla valutazione e mitigazione del rischio, considerando non solo le proprie vulnerabilità interne, ma anche quelle dei partner e fornitori con cui collaborano. La supply chain rappresenta infatti un punto altamente vulnerabile: un attacco a un fornitore può avere ripercussioni devastanti sull’intera organizzazione. Per questo motivo, è fondamentale implementare una strategia di monitoraggio continuo e valutazione periodica dei fornitori, così da individuare tempestivamente eventuali punti critici e garantire un livello di sicurezza adeguato.

Un’altra grande sfida che le organizzazioni devono affrontare in ottica NIS 2 sono i requisiti di segnalazione degli incidenti. Le entità essenziali saranno ora tenute a segnalare gli incidenti entro 24 ore, mentre le entità importanti hanno fino a 72 ore. Ciò pone ulteriore pressione sulle organizzazioni non solo per rispondere rapidamente agli incidenti di sicurezza, ma anche per dotarsi di processi per classificarne l’impatto e segnalare al regolatore entro queste tempistiche.

Ulteriori sfide NIS 2

Oltre agli aspetti già trattati, le aziende dovranno affrontare una serie di sfide operative e strategiche che riguardano:

1. Ruolo attivo degli organi direttivi. La cybersecurity non è più solo una questione tecnica: la direttiva NIS 2 richiede che gli organi di amministrazione siano coinvolti attivamente nella supervisione della gestione del rischio informatico. Questo implica formazione specifica e maggiore consapevolezza a livello dirigenziale.

2. Adeguamento normativo e interoperabilità con altre direttive. Le aziende non devono solo conformarsi alla NIS 2, ma anche armonizzare le proprie strategie con normative correlate come il DORA (per la resilienza operativa nel settore finanziario), il Cyber Resilience Act (che impatta la sicurezza dei prodotti digitali) e l’AI Act, che introduce regolamentazioni specifiche sull’intelligenza artificiale per garantire la sicurezza e la trasparenza dei sistemi automatizzati. Un approccio frammentato potrebbe tradursi in inefficienze e costi aggiuntivi. È fondamentale integrare la valutazione dei rischi considerando l’intersezione tra più regolamenti, sviluppare misure di sicurezza coordinate per evitare duplicazioni, monitorare costantemente le evoluzioni normative e collaborare con esperti del settore per garantire la conformità. La compliance a NIS 2, DORA, CRA e AI Act rappresenta una sfida articolata, ma fondamentale per la resilienza e la sicurezza delle aziende nel mondo digitale.
3. Monitoraggio e aggiornamento continui. La conformità alla direttiva NIS 2 non è un processo statico. Le aziende dovranno monitorare costantemente l’efficacia delle proprie misure di sicurezza, aggiornarle in base alle nuove minacce e vulnerabilità e partecipare a regolari audit di conformità.
4. Complessità dell’onere amministrativo. L’implementazione delle modifiche e l’introduzione di processi per adeguarsi alla NIS 2 e alle altre normative europee richiede tempo ed è soggetta a potenziali errori. Di fatto, la conformità alla direttiva NIS 2 deve integrarsi senza soluzione di continuità con i processi esistenti di gestione del rischio, risposta agli incidenti e continuità operativa. Solo con una gestione efficiente delle risorse disponibili sarà possibile affrontare efficacemente queste sfide.

Conclusione

Per molte aziende questi temi sono sostanzialmente nuovi e una difficoltà sarà certamente trovare le competenze sul mercato per avere il supporto necessario. L’adeguamento alla Direttiva NIS 2 non è solo una questione di conformità, ma un processo complesso che richiede un approccio strategico e un impegno costante. Dalla gestione del rischio alla sicurezza della supply chain, fino alla formazione della dirigenza e all’armonizzazione con le altre normative europee, le sfide da affrontare sono molteplici.

Grazie alla collaborazione con i migliori partner del settore, supportiamo le aziende lungo tutto l’iter di adeguamento alla normativa, offrendo un servizio di consulenza completo. Forniamo affiancamento nell’adozione delle misure di sicurezza tecniche e organizzative, nonché nella predisposizione della documentazione necessaria, nella definizione delle procedure per la gestione del rischio e degli incidenti informatici, nella formazione, e nell’analisi dei fornitori esistenti per assicurare la conformità alla NIS 2.

Siamo al fianco delle organizzazioni per guidarle in ogni fase del processo, assicurando un adeguamento efficace e conforme alla normativa vigente, e garantire una maggiore resilienza alle minacce informatiche.