NIS2: la tappa del 30 giugno 2026 si avvicina

Con due determinazioni adottate ad aprile 2026, l’ACN (Agenzia per la Cybersicurezza Nazionale) ha completato l’impalcatura operativa della disciplina NIS2 nel nostro ordinamento, intervenendo su un piano che era rimasto in ombra nella fase di prima applicazione: la sicurezza della catena di approvvigionamento.

Infatti, per la prima volta, i soggetti che rientrano nel perimetro della direttiva sono chiamati a censire, classificare e mantenere aggiornato in piattaforma l’elenco dei propri fornitori rilevanti, sulla base di criteri settoriali e funzionali che non conoscono soglie dimensionali.

Queste le date degli ultimi adempimenti:

• L’obbligo di notifica degli incidenti è già attivo (da gennaio 2026).
• 15 aprile – 31 maggio
  • Censimento Fornitori Rilevanti: Obbligo di inserimento sul Portale ACN dei fornitori considerati “rilevanti”. È rilevante il fornitore che appartiene ai settori “Infrastrutture digitali” o “Gestione servizi TIC”, oppure che fornisce un prodotto o servizio non fungibile la cui interruzione impatti sulla capacità di erogare i servizi critici.
  • Aggiornamento annuale: conferma anagrafica, CDA, CSIRT, IP pubblici e domini
• 1^ maggio – 30 giugno 2026 — Elenco attività e servizi: Comunicazione ai sensi degli Artt. 20 e 21, Det. 127437/2026 delle macro-aree delle attività.
• Ottobre 2026 — Adozione misure di sicurezza: Termine ultimo per l’adozione completa (18 mesi dall’inclusione). Rif. Allegato 1, rif. All. 1 Det. 379907/2025.

Con la determinazione 155238 del 20 aprile 2026, sono state identificate dieci macro-aree per organizzare le attività e servizi dell’organizzazione, a cui dovrà essere attribuita una delle quattro categorie di rilevanza (“impatto minimo”, “impatto basso”, “impatto medio” e “impatto alto”).

Tramite piattaforma digitale, i soggetti NIS provvedono all’elencazione e alla categorizzazione di tutte le attività svolte e dei servizi erogati, internamente ed esternamente, suddivisi nelle macro-aree di cui al modello di categorizzazione. Per ogni attività o servizio, il soggetto NIS indica:

• la macro-area corrispondente;
• la denominazione e la descrizione dell’attività o del servizio;
• la categoria di rilevanza.

Per affrontare al meglio questo adempimento, è consigliabile verificare quale modello di classificazione sia applicabile alla propria realtà, avviare una ricognizione interna delle attività aziendali che dipendono da sistemi informatici e valutare se i livelli di rilevanza pre-assegnati siano adeguati al contesto specifico dell’impresa o se sia opportuno motivare un diverso inquadramento.

L’aumento progressivo degli attacchi cyber continua anche in Italia: secondo l’Operational Summary ACN, a marzo 2026 sono stati registrati 436 eventi cyber, sostanzialmente stabili rispetto ai 435 di febbraio, quando però erano cresciuti del 94% rispetto a gennaio. Gli incidenti rilevati sono stati 313, in aumento dell’81% rispetto ai 174 febbraio, quando già erano saliti del 60 per cento. La crescita si deve soprattutto all’entrata in vigore degli obblighi previsti dalla direttiva NIS2, che ha ampliato la platea dei soggetti monitorati e obbligati alla notifica, passati a circa 22mila, di cui metà sono imprese private.
Sotto attacco soprattutto telecomunicazioni, sanità e manifatturiero.

TIM Enterprise si propone come partner strategico per supportare aziende e Pubbliche Amministrazioni nell’adeguamento alla direttiva NIS2, una normativa europea che introduce nuovi requisiti di cybersicurezza e resilienza digitale. Grazie a un approccio consulenziale e a un’offerta completa di servizi, TIM Enterprise aiuta le organizzazioni a definire strategie personalizzate, individuare gli investimenti necessari, formare il personale e gestire gli obblighi di monitoraggio e segnalazione degli incidenti.

L’offerta comprende soluzioni di Network Security, Cloud Security e Managed Security Services, con monitoraggio continuo, gestione delle vulnerabilità e risposta agli attacchi informatici. Un ruolo centrale è svolto da Telsy, centro di competenza cyber del Gruppo TIM, che fornisce supporto specialistico nelle attività di sicurezza, protezione delle comunicazioni e gestione degli incidenti.

TIM Enterprise affianca i clienti in tutte le fasi del percorso di conformità: analisi dei gap normativi, progettazione di soluzioni su misura, supporto operativo, aggiornamento di policy e procedure, formazione del management e gestione delle crisi. L’adeguamento alla NIS2 rappresenta così non solo un obbligo normativo, ma anche un’opportunità per rafforzare la sicurezza informatica e la resilienza delle organizzazioni.

Vuoi saperne di più su NIS2? Parlane con un nostro esperto.