NIS2 Scadenze 2026: il calendario degli obblighi da gennaio a ottobre
Lettura 8 min · AstraLoop Studio
Se la tua azienda rientra tra i soggetti NIS2, il 2026 non è un anno qualsiasi. È l'anno in cui gli obblighi smettono di essere "cose da fare prima o poi" e diventano scadenze con date precise e sanzioni collegate. Il decreto italiano di recepimento (D.lgs. 138/2024) e le successive determinazioni dell'ACN (Agenzia per la Cybersicurezza Nazionale) hanno spalmato gli adempimenti su una tabella di marcia scaglionata. Chi si è registrato sulla piattaforma ACN entro le finestre del 2025 adesso deve rispettare i termini operativi che maturano proprio quest'anno.
Qui trovi il calendario in ordine cronologico, spiegato senza gergo: cosa scatta a gennaio, cosa a ottobre, chi è coinvolto e cosa succede davvero se arrivi in ritardo. Niente panico, ma nemmeno rinvii. Alcune di queste scadenze richiedono settimane di lavoro a monte, quindi la data che conta sul serio non è quando l'obbligo diventa esigibile: è quando inizi a prepararti.

Come funziona l'applicazione scaglionata della NIS2
La NIS2 non è entrata in vigore tutta insieme con un unico interruttore. Il legislatore ha scelto un approccio a fasi per dare tempo alle aziende di adeguarsi. Il meccanismo è lineare: prima ci si registra e ci si fa censire, poi scattano progressivamente gli obblighi sostanziali. Le date del 2026 sono le prime che mordono davvero, perché riguardano comportamenti concreti (segnalare un attacco, avere misure minime in piedi) e non più soltanto adempimenti formali.
Un punto che molti imprenditori sottovalutano: la responsabilità NIS2 è in capo agli organi di amministrazione, non all'ufficio IT. Il CEO e il Consiglio di Amministrazione devono approvare le misure e possono rispondere in prima persona. Non è più una delega tecnica che scarichi sul consulente informatico. Se non hai ancora chiaro se sei dentro o fuori dal perimetro, prima di guardare il calendario ti conviene leggere la nostra guida su quando la NIS2 si applica alla tua azienda. Il calendario ha senso solo se sei effettivamente un soggetto obbligato.
Le scadenze che descrivo valgono per i soggetti essenziali e importanti già identificati e registrati presso l'ACN. Se la tua registrazione è avvenuta in ritardo o è ancora in corso, i termini possono decorrere in modo leggermente diverso, perché l'ACN ragiona a partire dalla data di inserimento nell'elenco. Verifica sempre la tua posizione specifica sulla piattaforma ACN, perché un adeguamento serio parte da un audit di sicurezza informatica completo che fotografa il tuo stato reale rispetto agli obblighi.
1 gennaio 2026: parte l'obbligo di notifica degli incidenti
È la prima scadenza che conta nel 2026, ed è anche la più insidiosa, perché ti obbliga a reagire in tempi strettissimi proprio quando succede qualcosa. Dall'avvio dell'obbligo, se subisci un incidente significativo devi segnalarlo all'ACN tramite CSIRT Italia seguendo una tempistica precisa e a più stadi.
Le tre finestre di notifica
| Fase | Termine | Cosa devi comunicare |
|---|---|---|
| Pre-notifica | Entro 24 ore dalla conoscenza dell'incidente | Segnalazione iniziale: è in corso un incidente significativo, con le prime informazioni disponibili |
| Notifica | Entro 72 ore | Valutazione più completa: gravità, impatto, eventuali indicatori di compromissione |
| Relazione finale | Entro 1 mese dalla notifica | Descrizione dettagliata, causa, misure adottate e impatto transfrontaliero se presente |
Il punto critico non è la burocrazia in sé, ma il fatto che 24 ore passano in fretta quando sei nel mezzo di un attacco. Se scopri un ransomware alle 18 di venerdì, la pre-notifica scade il sabato pomeriggio. Serve una procedura interna già scritta, con ruoli chiari su chi decide, chi compila e chi contatta il CSIRT. Molte aziende arrivano impreparate proprio qui: hanno le misure tecniche, ma non la catena di comando per gestire le prime ore. Se vuoi capire la meccanica dei tempi di reazione, abbiamo approfondito cosa fare nelle 72 ore dopo un data breach, che si intreccia con gli obblighi di notifica al Garante Privacy quando l'incidente coinvolge anche dati personali.
Attenzione a un dettaglio che genera parecchia confusione: la notifica NIS2 all'ACN e la notifica di data breach al Garante (art. 33 GDPR) sono due obblighi distinti che possono scattare insieme per lo stesso evento. Un attacco che blocca i sistemi ed espone i dati dei clienti ti obbliga a entrambe le comunicazioni, con destinatari e moduli diversi. Non è una duplicazione formale: sono due autorità con competenze separate.

Ottobre 2026: le misure di sicurezza di base diventano esigibili
La seconda grande scadenza dell'anno riguarda le misure di sicurezza vere e proprie. Con la determinazione ACN che fissa il termine base per l'implementazione, entro ottobre 2026 i soggetti NIS2 devono avere in piedi il pacchetto minimo di misure tecniche e organizzative previste dall'art. 21 della direttiva e dal decreto italiano. Non è più "consigliato": è dovuto e verificabile.
Cosa comprende il pacchetto di base
- Analisi dei rischi e politiche di sicurezza informatica: valutazione documentata dei rischi e policy approvate dagli organi di amministrazione.
- Gestione degli incidenti: la procedura di rilevamento e risposta che alimenta anche l'obbligo di notifica visto sopra.
- Continuità operativa: backup, disaster recovery e gestione delle crisi. Un backup che non hai mai testato in ripristino non conta.
- Sicurezza della supply chain: valutazione dei rischi legati ai fornitori diretti e ai loro servizi. È un obbligo nuovo e pesante per molti.
- Sicurezza nell'acquisizione e manutenzione di reti e sistemi, incluso il patch management delle vulnerabilità.
- Policy sull'uso della crittografia e, dove appropriato, della cifratura.
- Sicurezza delle risorse umane, controllo degli accessi e gestione degli asset.
- Autenticazione a più fattori, comunicazioni sicure (voce, video, testo) e sistemi di comunicazione di emergenza.
Due voci meritano attenzione particolare, perché le aziende italiane sono mediamente indietro. La prima è la sicurezza della supply chain: la NIS2 ti obbliga a valutare i fornitori, e i dati di mercato dicono che circa il 30% delle violazioni passa da terze parti, con compromissioni della catena di fornitura quadruplicate in cinque anni. Non basta essere sicuri tu: devi mappare chi tocca i tuoi sistemi e i tuoi dati. La seconda è il patch management: nel 2025 lo sfruttamento delle vulnerabilità note è cresciuto di oltre il 65% rispetto all'anno prima, e la maggior parte degli attacchi passa da falle per cui la correzione esisteva già.
Per capire se il tuo pacchetto è a norma o pieno di buchi, la strada è misurare invece di sperare. La differenza tra vulnerability assessment e penetration test conta proprio qui: il primo mappa dove sei esposto, il secondo verifica se un attaccante riuscirebbe davvero a entrare. Molte misure NIS2 si dimostrano solo con evidenze di questo tipo.
Il quadro completo delle scadenze 2026
Ricomponiamo la timeline in un colpo d'occhio, tenendo presente che alcune date derivano da determinazioni ACN che possono avere aggiustamenti applicativi. Verifica sempre la tua finestra specifica sulla piattaforma ufficiale.
| Periodo | Obbligo | Chi è coinvolto |
|---|---|---|
| 1 gennaio 2026 | Avvio obbligo di notifica degli incidenti significativi (24h / 72h / 1 mese) | Soggetti essenziali e importanti registrati |
| Primi mesi 2026 | Aggiornamento e conferma dei dati sulla piattaforma ACN | Tutti i soggetti censiti |
| Ottobre 2026 | Misure di sicurezza di base pienamente implementate e documentate | Soggetti essenziali e importanti |
| In parallelo (dal 2 agosto 2026) | Fase operativa AI Act su sistemi ad alto rischio, con vigilanza ACN dal 3 agosto | Aziende che usano o forniscono sistemi AI ad alto rischio |
L'ultima riga non è NIS2 in senso stretto, ma la cito perché per molte PMI le due normative arrivano insieme e conviene gestirle in un unico progetto. Se usi o sviluppi sistemi di intelligenza artificiale, la fase operativa dell'AI Act (Regolamento UE 2024/1689) porta obblighi di cybersicurezza che si sovrappongono a quelli NIS2. Abbiamo mappato i dettagli negli obblighi AI Act 2026 per le PMI. Trattare NIS2, AI Act e GDPR come tre progetti separati è uno spreco di tempo e budget.
Non sai se sei a posto con le misure di ottobre o se la tua procedura di notifica regge un attacco reale? Richiedi un'analisi della tua posizione NIS2: ti diciamo dove sei scoperto e cosa fare, per priorità.
Cosa rischi concretamente se sfori le scadenze
Qui arriviamo alla parte che interessa chi firma. La NIS2 non scherza sulle sanzioni, e il decreto italiano le ha recepite con importi pesanti, differenziati tra soggetti essenziali e importanti.
- Soggetti essenziali: sanzioni fino a un massimo che può arrivare a 10 milioni di euro o al 2% del fatturato annuo mondiale totale, a seconda di quale importo sia più alto.
- Soggetti importanti: sanzioni fino a 7 milioni di euro o all'1,4% del fatturato annuo mondiale totale.
Ma la sanzione economica è solo una faccia della medaglia. L'aspetto che dovrebbe far riflettere gli amministratori è la responsabilità personale degli organi di gestione. Nei casi più gravi e per i soggetti essenziali, l'ACN può disporre la sospensione temporanea di dirigenti dalle funzioni dirigenziali fino all'adeguamento. Non è più solo un problema di bilancio: è un problema che tocca direttamente chi guida l'azienda. Per il quadro completo di importi e criteri abbiamo dedicato un articolo alle sanzioni NIS2 per l'azienda.
C'è poi un rischio meno visibile ma altrettanto concreto: l'assicurabilità. Le polizze cyber stanno diventando sempre più esigenti, e un'azienda non conforme alla NIS2 rischia di vedersi negare la copertura o di scoprire, al momento del sinistro, che la mancata conformità è una causa di esclusione. Un audit documentato che dimostra le misure in piedi non serve solo all'ACN: serve anche a poterti assicurare a condizioni ragionevoli.
Il contesto rende tutto più urgente
Non sono scadenze astratte messe lì per burocrazia. Il Rapporto Clusit 2026 colloca l'Italia intorno al 10% degli incidenti mondiali, con un +23% di attacchi gravi nel primo trimestre e le PMI come bersaglio nel 72% dei casi. Il ransomware in Italia sta evolvendo verso data corruption e doppia o tripla estorsione, con costi medi per una PMI che oscillano tra 35.000 e 250.000 euro per singolo evento. In questo scenario, le misure NIS2 non sono un adempimento fine a se stesso: sono più o meno il minimo sindacale per non finire nel 72%. Se vuoi inquadrare il rischio economico complessivo, il nostro pezzo sul ransomware nelle PMI italiane e come proteggersi mette in fila numeri e contromisure.
Come organizzare il lavoro entro le scadenze
La regola pratica è semplice: lavora a ritroso dalle date. La misura più lenta da implementare in modo credibile è il pacchetto di ottobre, perché richiede analisi dei rischi, policy approvate dal CdA e verifiche tecniche. Un percorso realistico si articola così.
- Fotografia dello stato attuale (gap analysis): dove sei rispetto a ciascuna misura dell'art. 21. Senza questo, ogni piano è un'ipotesi.
- Procedura di notifica incidenti: da avere pronta subito, perché l'obbligo è già attivo da gennaio. È la prima cosa che ti serve in caso di attacco.
- Piano di remediation delle lacune tecniche: MFA, patch management, backup testati, controllo accessi. Priorità alle vulnerabilità sfruttabili.
- Valutazione dei fornitori: mappa chi tocca dati e sistemi e chiedi loro evidenze di sicurezza. Questa parte ha tempi lunghi, perché dipende da terzi.
- Documentazione e approvazione del CdA: la NIS2 vuole che gli organi di gestione approvino formalmente. Metti a calendario la seduta.
Il passo che spesso viene saltato è il primo. Molte aziende comprano soluzioni tecniche prima di sapere dove sono i buchi reali, e finiscono per spendere su problemi che non hanno mentre ne lasciano scoperti altri. Un audit fatto da persone, non solo uno scan automatico, è quello che ti dà la mappa corretta. Se ti stai orientando sui costi, il nostro approfondimento sul costo di un audit di sicurezza informatica ti dà i range realistici prima di chiedere preventivi.
Un'ultima nota di metodo, valida per qualsiasi PMI: non trattare la NIS2 come un progetto una-tantum. Le misure vanno mantenute nel tempo, i fornitori cambiano, le vulnerabilità nuove escono ogni settimana (solo su WordPress si sono contate 11.334 nuove falle nel 2025). La conformità è uno stato che si mantiene, non un traguardo che tagli una volta e via. Per il quadro d'insieme sulle minacce e le priorità dell'anno, parti dalla guida alla cyber security per PMI 2026.
Riassumendo le due date che devi segnarti: obbligo di notifica attivo dal 1 gennaio 2026 (procedura pronta oggi) e misure di base a ottobre 2026 (lavoro da avviare adesso). Tra le due, la prima è quella che ti può cogliere impreparato domani mattina, la seconda è quella che richiede più mesi di preparazione. In entrambi i casi, il momento giusto per iniziare era ieri. Il secondo momento giusto è adesso.
Domande frequenti
Quando scatta l'obbligo di notifica degli incidenti NIS2?
L'obbligo di notifica è operativo dal 1 gennaio 2026 per i soggetti essenziali e importanti registrati presso l'ACN. In caso di incidente significativo devi inviare una pre-notifica entro 24 ore, la notifica entro 72 ore e la relazione finale entro un mese, tramite il CSIRT Italia.
Entro quando devo avere in piedi le misure di sicurezza NIS2?
Le misure di sicurezza di base previste dall'art. 21 (analisi dei rischi, gestione incidenti, continuità operativa, sicurezza della supply chain, MFA, patch management e altre) devono essere pienamente implementate e documentate entro ottobre 2026, secondo la determinazione dell'ACN. Verifica sempre la finestra specifica per la tua posizione.
Cosa rischio se non rispetto le scadenze NIS2?
Le sanzioni arrivano fino a 10 milioni di euro o al 2% del fatturato mondiale per i soggetti essenziali, e fino a 7 milioni o all'1,4% per quelli importanti. Nei casi gravi l'ACN può sospendere temporaneamente i dirigenti dalle funzioni. C'è anche il rischio di perdere la copertura assicurativa cyber.
La notifica NIS2 sostituisce quella al Garante Privacy?
No, sono due obblighi distinti. La notifica NIS2 va all'ACN tramite CSIRT Italia, mentre il data breach che coinvolge dati personali va notificato al Garante entro 72 ore secondo l'art. 33 GDPR. Un attacco che blocca i sistemi ed espone dati dei clienti fa scattare entrambe le comunicazioni.
Chi è responsabile della conformità NIS2 in azienda?
La responsabilità è in capo agli organi di amministrazione, quindi CEO e Consiglio di Amministrazione, che devono approvare formalmente le misure. Non è una delega che si scarica sull'ufficio IT: nei casi gravi gli amministratori rispondono in prima persona e possono essere sospesi dalle funzioni dirigenziali.
Da dove conviene partire per adeguarsi entro le scadenze?
Dalla gap analysis, cioè una fotografia dello stato attuale rispetto a ciascuna misura richiesta. Subito dopo va predisposta la procedura di notifica incidenti (già obbligatoria da gennaio) e il piano di remediation tecnica. La valutazione dei fornitori ha tempi lunghi perché dipende da terze parti, quindi va avviata presto.
Le scadenze NIS2 del 2026 richiedono mesi di preparazione, non giorni. Parlane con noi e costruiamo insieme un piano di adeguamento realistico, con audit e documentazione pronti per l'ACN.