Crescita, efficienza e competitività delle imprese dipendono da numerosi driver, dei quali la tecnologia è indubbiamente uno dei principali. Fa parte integrante della vita quotidiana e abilita nuovi modelli di business, favorendo la rapidità dei processi. Eppure, sempre più spesso, mentre favorisce l’innovazione, appare come un’arma a doppio taglio. Per la sua vulnerabilità, oggi più che mai.
La tecnologia, cioè, espone l’utente (e l’impresa, nel caso di specie) alle continue minacce informatiche. Con possibili interruzioni operative, falle informatiche e attacchi cyber. Nel tempo, quindi, è emersa la necessità di provvedere alla tutela di aziende e organizzazioni, con una adeguata protezione normativa. E, dopo il “fallimento” della prima direttiva NIS, è arrivata la sua versione numero 2.
La Direttiva (UE) 2022/2555, più nota come NIS2, dispiega i suoi effetti nell’ordinamento italiano dal 18 ottobre 2024 – con l’implementazione del Decreto Legislativo 4 settembre 2024, n. 138. Obblighi precisi, una ampia platea di destinatari e più settori coinvolti. Ma anche deadline scadenzate, come quella previste entro fine aprile 2026 – arrivate con le Determine 127437/2026 e 127434/2026. Nel mentre, all’orizzonte pare delinearsi l’arrivo di una possibile NIS3.
La seconda fase della NIS2
L’implementazione della Direttiva 2555 ha determinato un ampliamento delle misure di sicurezza informatica. Gli incidenti – che destabilizzano infrastrutture fisiche e digitali – si sono (abbastanza) ridotti. Con una tutela diretta verso tutti gli attori della catena del valore. La normativa rappresenta, infatti, un obbligo al quale sono sottoposte tutte le imprese, affinché venga garantita la protezione dell’intera supply chain.
Le imprenditorie, quindi, dovranno essere compliant. E, in effetti, ci provano, anche perché le sanzioni sono importanti. Ma, d’altra parte, devono anche essere messe in grado di poter rispettare gli obblighi imposti. Questo perché la normativa si sviluppa secondo tappe temporalmente definite. Con l’ACN che è chiamata ad emanare i relativi provvedimenti, secondo deadline stabilite ex ante.
Nel 2026 la normativa è entrata nella sua seconda fase attuativa (iniziata a metà aprile del 2025 e in via di conclusione entro fine aprile 2026). Da gennaio dell’anno in corso è previsto l’obbligo di notifica di base. Mentre per fine aprile erano state schedulate diverse possibili modifiche. Tra cui l’elaborazione e l’adozione del modello di categorizzazione delle attività e dei servizi, con un obiettivo preciso: ridurre costi e tempi.
La NIS2 e le Determine di aprile 2026
Dunque, entro aprile 2026 l’ACN (Agenzia Cybersicurezza Nazionale) avrebbe dovuto rendere noti diversi passaggi importanti per l’operatività della Direttiva. Senza i quali le imprese, pur volendo, non sarebbero state in grado di adeguarsi a quanto richiesto dalla normativa. Rischiando così di bucare la compliance e perdere opportunità – oltre ad essere maggiormente esposte al rischio.
E, in effetti, quasi in extremis, il 13 aprile 2026 l’ACN ha pubblicato due Determine. Con la prima Determina si stabiliscono i termini per l’adempimento agli obblighi in materia di misure di sicurezza e notifica degli incidenti – per i soggetti che, nel 2026, risultano inseriti per la prima volta nell’elenco NIS. Per costoro, dal primo gennaio 2027 decorre l’obbligo di notifica degli incidenti significativi di base. Saranno quindi tenuti a designare il referente CSIRT entro fine 2026. E ad adottare le misure di sicurezza di base entro luglio 2027.
La seconda Determina, la 127437/2026, invece, aggiorna le modalità di utilizzo e accesso alla piattaforma digitale. E con l’articolo 18 interviene sui fornitori (della supply chain). Con l’obiettivo di comprendere al meglio quali di questi potrebbero impattare sulla sicurezza informatica dell’azienda. Regola, inoltre, gli aspetti procedurali dell’elencazione e categorizzazione delle attività e dei servizi. Come stabilito dall’articolo 30 del Decreto NIS.
La categorizzazione dei rischi nella Direttiva NIS2
È questione di ore e, nell’area web dedicata alla NIS, sul sito istituzionale di ACN, sarà pubblicato anche il modello di categorizzazione delle attività e dei servizi. In questo modo, le impese potranno operare in linea con la Direttiva. Lo scopo è quello di evitare un eccessivo dispendio economico ed organizzativo per le aziende, e proteggere effettivamente ciò che conta.
Ma a cosa serve il modello di categorizzazione e perché è così importante? Non tutte le attività in un’impresa risultano ugualmente rischiose (in ambito cyber), secondo il principio di proporzionalità introdotto dalla Direttiva. La normativa, dunque, chiede una “categorizzazione” dei rischi: una mappa coerente, che deriverà dall’analisi interna della singola entità, partendo dai sistemi. Si delineerà, quindi, l’etichetta, relativa al rischio: basso, medio e alto.
La classificazione si baserà sulla tecnologia utilizzata, ma anche sul settore, il tipo di rischio e il possibile impatto. Si terrà conto dei rischi digitali ma anche fisici e organizzativi, predisponendo una classificazione della propria attività – che sarà incasellata in una classe di appartenenza (ordinaria, critica o altamente critica). Verranno, così, applicate misure ad hoc, più o meno severe, in base al livello di vulnerabilità.
Il futuro della NIS2
Se la NIS2 non è solo un obbligo normativo, ma una leva strategica di competitività, è anche vero che non tutto dipende dalle imprese. In questo specifico caso, l’ACN ha un ruolo fondamentale. Perché senza il suo indirizzo le imprese non possono operare. Intanto, Bruxelles scalpita. Mentre in Italia la materia si trasforma, con le Determine ACN, la Commissione va oltre. Il 20 gennaio 2026 ha infatti proposto un nuovo pacchetto di misure, per potenziare la resilienza e le capacità di cybersicurezza.
Molto probabilmente, allora, bisognerà mettere mano al Cybersecurity Act. Con una revisione delle misure, e un ulteriore rafforzamento della sicurezza delle catene di approvvigionamento ICT. L’intervento servirà a velocizzare le procedure, grazie alla semplificazione giurisdizionale, con un miglioramento della raccolta di dati sugli attacchi ransomware. Per la NIS2, invece, si parla anche di un innalzamento degli standard di sicurezza per strumenti digitali e catene di fornitura tecnologica.
La proposta di Direttiva UE punta a semplificare gli obblighi per le entità essenziali e importanti. E a ridurre la complessità normativa. Si ipotizza una revisione degli Allegati I e II, e l’introduzione di una nuova categoria di imprese (small mid-cap enterprises, ovvero le pmi). Insomma, il 2026 sembra riservare sorprese importanti alla disciplina della NIS2. Vedremo.