Direttiva europea NIS2: la tappa di luglio e quelle del 2026 

ACN (Agenzia per la Cybersicurezza Nazionale) ha comunicato quali sono le circa 20.000 aziende soggette a NIS2 (di cui 5.000 essenziali) che dovranno, entro il prossimo 31 luglio, fornire tutta una serie di informazioni. A seguire (e occorrerà prepararsi comunque in tempo) le tappe di gennaio e di ottobre 2026. Vediamo insieme in cosa consistono.

1. Entro il 31 luglio le aziende coinvolte dovranno:

• individuare il «sostituto punto di contatto», cioè il referente per NIS;
• segnalare all’ACN i componenti degli organi di amministrazione e direttivi, gli indirizzi IP (pubblici e statici), unitamente ai nomi di dominio, in uso o nella disponibilità del soggetto;
• notificare gli accordi di condivisione delle informazioni sulla sicurezza informatica sottoscritti su base volontaria a partire dall’entrata in vigore del decreto NIS. 

2. Entro circa 8 mesi (gennaio 2026) dalla ricezione della comunicazione di inserimento nell’elenco nazionale NIS, i soggetti importanti sono tenuti a notificare al CSRIT (Computer Security Incident Response Team) Italia gli incidenti significativi riportati nell’allegato 3, mentre i soggetti essenziali sono tenuti a notificare al CSIRT Italia gli incidenti significativi riportati nell’allegato 4 della medesima determina.

3. Entro circa 17 mesi (ottobre 2026) dalla ricezione della comunicazione di inserimento nazionale NIS, i soggetti importanti sono tenuti ad adottare le misure di sicurezza riportate nell’allegato 1 della determinazione ACN 164179 del 14 aprile 2025 mentre i soggetti essenziali sono tenuti ad adottare le misure di sicurezza riportate nell’allegato 2 della medesima determina.

La prossima scadenza, prevista per il 31 maggio, è slittata su indicazione dell’ACN, al 31 luglio. Per quella data, tutte le organizzazioni identificate come soggetti NIS2 devono inviare ad ACN alcune informazioni fondamentali. Si tratta di dati organizzativi e tecnici, necessari per creare una mappa aggiornata dei soggetti strategici per la sicurezza digitale del Paese.  

Nello specifico, ogni azienda coinvolta dovrà:

• Scegliere un referente NIS2
  Ogni azienda dovrà indicare una persona interna che farà da punto di contatto con ACN. È il referente ufficiale, la figura che riceverà comunicazioni e gestirà eventuali segnalazioni. Dovrà essere qualcuno con conosce bene l’organizzazione e, idealmente, che abbia anche competenze in ambito IT e sicurezza.
• Inviare informazioni chiave sull’azienda
  Entro il 31 maggio dovranno essere comunicati: i nomi dei membri del consiglio di amministrazione e dei dirigenti principali, gli indirizzi IP pubblici e statici utilizzati e i domini internet registrati o in uso (es. sito aziendale, piattaforme online, ecc.).
• Segnalare eventuali accordi di sicurezza informatica già in corso
  Se l’azienda ha firmato accordi volontari per condividere informazioni sulla sicurezza con altri enti o partner (ad esempio all’interno di un gruppo industriale o con fornitori IT), questi accordi dovranno essere segnalati all'ACN entro il 31 luglio.

In pratica, cosa occorre fare subito?

• Riunire le persone giuste: IT, ufficio legale, direzione.
• Identificare chi sarà il referente.
• Raccogliere i dati richiesti.
• Accedere alla piattaforma dedicata a NIS2 e caricare tutte le informazioni richieste entro e non oltre il 31 luglio 2025.

Gennaio e ottobre 2026 possono sembrare scadenze lontane, ma in realtà richiedono un lavoro preparatorio lungo e strutturato che va avviato subito.

Vediamo cosa succederà e perché è importante iniziare a prepararsi già da ora.

In seguito alla comunicazione ufficiale inviata alle organizzazioni incluse nell’ambito di applicazione della Direttiva NIS2, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato due provvedimenti fondamentali: il primo sugli obblighi di notifica degli incidenti informatici (entro gennaio 2026), il secondo relativo alle misure di sicurezza di base che le aziende dovranno adottare (entro ottobre 2026).

Si entra così nella fase operativa della direttiva, che prevede un percorso articolato:

• Entro gennaio 2026 le aziende dovranno essere pronte a segnalare al CSIRT Italia – il team nazionale per la risposta agli incidenti informatici – eventuali attacchi o eventi che potrebbero compromettere la sicurezza dei sistemi.
• Entro ottobre 2026 le organizzazioni dovranno applicare un insieme di misure di sicurezza di base.

Per i soggetti classificati come “importanti”, gli incidenti da notificare includono la perdita, anche parziale, della riservatezza o integrità dei dati digitali e il mancato rispetto dei livelli di servizio attesi. I soggetti “essenziali”, oltre a questi, dovranno segnalare anche accessi non autorizzati.

Per farsi trovare pronte, le aziende dovranno attivare fin da subito sistemi di monitoraggio, procedure per la gestione degli incidenti e percorsi formativi per il personale coinvolto. Occorre sapere cosa va comunicato, a chi e in che tempi: questo richiede strumenti adeguati, ma anche una riorganizzazione interna che includa il coinvolgimento del reparto IT, della direzione e, spesso, anche dei partner esterni.

Guardando alla seconda fase, ottobre 2026 rappresenta il termine entro cui tutte le aziende coinvolte dovranno aver completato l’implementazione delle misure previste dal Framework Nazionale per la Cybersecurity e la Data Protection. Si tratta di un documento di riferimento, realizzato dal Centro di Ricerca di Cyber Intelligence and Information Security (CIS) della Sapienza Università di Roma e dal Cybersecurity National Lab del CINI, in collaborazione con ACN. Il Framework è pensato per supportare le organizzazioni pubbliche e private nella definizione di strategie e processi efficaci per la protezione dei propri sistemi informativi.

Le misure previste sono numerose: si va dalla gestione degli accessi alla crittografia dei dati, dalla segmentazione delle reti ai piani di continuità operativa, fino a test di vulnerabilità e aggiornamenti regolari dei sistemi.

Per affrontare queste scadenze con successo, è fondamentale partire subito con una valutazione dello stato attuale della sicurezza informatica aziendale e, da qui, costruire un piano d’azione efficace e strutturato.

In un momento di grande cambiamento come quello che stiamo vivendo, è importante poter contare su un partner solido, che sia al fianco delle aziende, passo dopo passo. TIM Enterprise, con la sua Rete Mobile capillare e un’esperienza consolidata nel settore ICT, è un punto di riferimento per accompagnare il Paese in questa transizione. Siamo alla vigilia di una trasformazione profonda, destinata a cambiare il nostro modo di vivere e lavorare: un po’ come accadde con l’obbligo delle cinture di sicurezza.

Non solo NIS2, ma anche DORA e il prossimo Cyber Resilience Act, pongono alle imprese nuove sfide in termini di sicurezza informatica, con requisiti sempre più stringenti. Non basta più difendersi dagli attacchi: oggi bisogna essere pronti, strutturati e consapevoli.

 TIM Enterprise si propone come partner strategico, offrendo una consulenza su misura e un supporto continuo, grazie anche alla competenza di Telsy, il centro di eccellenza del Gruppo TIM specializzato in cybersecurity.   

L’approccio di TIM Enterprise parte dalla valutazione dell’esposizione normativa dell’azienda: sei soggetto a NIS2 o a DORA? Una volta chiarito questo punto, si passa a una gap analysis per identificare le aree da rafforzare, si pianifica una roadmap di intervento e si mettono in campo le soluzioni più adatte, sempre integrate in una strategia di lungo termine.

Nel concreto, il supporto di TIM Enterprise include:

• tecnologie avanzate per la network e la cloud security
• servizi di monitoraggio e gestione degli incidenti (SOC)
• protezione di siti, dati, identità e accessi 
• sistemi di vulnerability management, ossia identificazione, valutazione e risoluzione di falle di sicurezza dei dispositivi, nelle reti e nelle applicazioni
• formazione continua del personale
• assistenza costante, per permettere alle aziende di essere al passo con le scadenze previste dalla normativa

TIM Enterprise aiuta le imprese a gestire anche gli aspetti più critici dell’adeguamento, come la notifica degli incidenti significativi, la preparazione del top management e la ricerca di finanziamenti per contenere i costi dell’adeguamento alle nuove direttive.
In breve: consulenza, tecnologia e persone al servizio della sicurezza digitale.

Qual è la postura cyber del tuo business? Scoprilo con il nostro self-assessment online.