NIS2: nuove scadenze ACN 2026, cosa cambia per le aziende

Con le nuove determinazioni pubblicate dall’Agenzia per la Cybersicurezza Nazionale nel mese di aprile 2026, la normativa NIS2 entra in una fase pienamente operativa. Non si tratta di un semplice aggiornamento formale, ma di un vero e proprio calendario di obblighi, con scadenze precise e responsabilità dirette in capo agli organi di vertice.

Per molte aziende – soprattutto quelle inserite per la prima volta nell’elenco dei soggetti NIS nel 2026 – queste novità rappresentano un cambio di passo: meno teoria, più execution.

Dalle regole alle scadenze: la NIS2 diventa operativa

Le determinazioni ACN n. 127437 e n. 127434 del 13 aprile 2026 definiscono termini, modalità e procedimenti per l’adempimento degli obblighi previsti dal d.lgs. 138/2024 (recepimento della Direttiva NIS2).

Il messaggio è chiaro: la compliance NIS2 non è un tema tecnico, ma un processo organizzativo continuo, scandito da finestre temporali annuali e controlli strutturati.

Le scadenze NIS2 da conoscere (e rispettare)

Il cuore delle nuove disposizioni è rappresentato dal calendario degli adempimenti, che ogni soggetto NIS2 deve integrare nella propria governance.

Durante l’anno, le principali finestre operative sono:

• registrazione sulla piattaforma ACN: dal 1° gennaio al 28 febbraio
• aggiornamento annuale delle informazioni: dal 15 aprile al 31 maggio
• elencazione e categorizzazione di attività e servizi: dal 1° maggio al 30 giugno
• designazione del sostituto del punto di contatto: entro il 31 maggio dell’anno di inserimento
• designazione del referente CSIRT: entro il 31 dicembre dell’anno di inserimento
• aggiornamento continuo delle informazioni: entro 14 giorni da ogni modifica rilevante

Queste scadenze non sono opzionali. La mancata osservanza espone l’azienda responsabilità e sanzioni, come previsto dall’art. 38 del decreto NIS2.

Nuovi soggetti NIS nel 2026: un regime “a doppio binario”

Una delle novità più rilevanti introdotte dalla determinazione ACN n. 127434 riguarda i soggetti inseriti per la prima volta nell’elenco NIS nel 2026.

Per queste organizzazioni, l’ACN ha previsto un percorso graduale di adeguamento, basato sul principio di proporzionalità:

• adozione delle misure di sicurezza: entro il 31 luglio 2027
• avvio dell’obbligo di notifica degli incidenti significativi: dal 1° gennaio 2027
• sicurezza e resilienza dei sistemi DNS: entro il 31 luglio 2027

I soggetti già presenti nell’elenco NIS2 2025, invece, non beneficiano di proroghe e restano vincolati alle scadenze già in vigore.

La categorizzazione di attività e servizi: una novità chiave

Tra gli adempimenti più strategici introdotti nel 2026 c’è l’obbligo di elencare e categorizzare le attività e i servizi svolti dall’azienda o organizzazione.

Non si tratta di una semplice lista, ma di un esercizio che richiede consapevolezza del proprio impatto operativo e del ruolo sistemico dell’azienda. In pratica, una Business Impact Analysis semplificata, che diventa base per:

• valutazioni di rischio
• controlli di conformità ACN
• future misure di sicurezza proporzionate

Una volta trasmesso, l’elenco non è più modificabile dopo il 30 giugno, salvo comprovate criticità tecniche.

La supply chain entra nel perimetro NIS2

Un altro punto di svolta riguarda l’obbligo di indicare i fornitori rilevanti NIS2.

Rientrano in questa categoria:

• fornitori ICT e cloud
• servizi gestiti e di sicurezza gestita
• DNS, data center, CDN
• fornitori non fungibili, la cui indisponibilità avrebbe impatto significativo

La sicurezza, quindi, non è più confinata al perimetro aziendale ma si estende all’intera catena di approvvigionamento digitale.

Governance e responsabilità: il ruolo del top management

Le nuove determinazioni ribadiscono un principio centrale della NIS2: la responsabilità ultima è degli organi di amministrazione e direzione.

Il punto di contatto, il referente CSIRT e le figure operative sono essenziali, ma non sostituiscono il ruolo del vertice aziendale, chiamato a:

• sovrintendere agli adempimenti
• garantire risorse e processi
• integrare la cybersicurezza nella strategia d’impresa

Prepararsi ora significa ridurre rischi domani

Il 2026 è un anno di passaggio, ma anche di consolidamento. Le organizzazioni che affrontano per tempo le nuove scadenze NIS2 non stanno solo evitando sanzioni: stanno costruendo resilienza, continuità operativa e fiducia.

Axitea accompagna imprese e organizzazioni lungo tutto il percorso NIS2, dalla governance alla sicurezza tecnologica, dalla protezione fisica alla cyber resilience.