Nel gennaio 2026, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha consolidato il quadro applicativo del D. Lgs. 138/2024 di recepimento della Direttiva NIS2 attraverso la pubblicazione di specifiche Linee Guida tecniche e operative denominate “Linee guida NIS – Specifiche di base – per la definizione del processo di gestione degli incidenti di sicurezza informatica” con l’intenzione di fornire un modello di riferimento per raccordare le fasi operative con le misure di sicurezza già specificate dalle determinazioni ACN.
Fermo restando l’obbligatorietà delle specifiche di base (Il “Cosa“) di cui alla determinazioni dell’ ACN 379907/2025 la quale ha definito e specificato
- le misure di sicurezza di base applicabili dal 15 gennaio 2026.
- le responsabilità dirette degli organi di amministrazione e dei vertici gerarchici.
- i parametri tecnici (allegati) per la conformità normativa
Le Linee Guida NIS (Il “Come”) [1] si pongono come strumento ermeneutico descrivendo il modello ideale di gestione (fasi di preparazione, rilevamento, contenimento, ecc.) rimandando in ogni caso per i dettagli tecnici e i parametri numerici per identificare quando un incidente deve essere notificato agli allegati 3 e 4 della Determinazione principale.
Il documento fungendo da ponte logico tra la norma teorica e i parametri tecnici degli Allegati 3 e 4, è pensato come una Guida per aiutare CISO a creare procedure interne coerenti alle misure di sicurezza minime (a fini meramente esaustivi si ricorda che le misure sono state sviluppate in accordo al Framework nazionale[2] e sono organizzate in funzioni, categorie, sottocategorie e requisiti[3]).
L’obiettivo generale rimane ovviamente quello di garantire un livello elevato di cybersicurezza comune in 18 settori critici, passando da un approccio puramente formale a uno basato sulla resilienza operativa misurabile.
Le Linee guida sono così strutturate: oltre all’introduzione contengono due capitoli relativi rispettivamente alle Misure di sicurezza di base e agli Incidenti significativi di base.
Il primo fornisce un quadro generale delle misure di sicurezza e della loro struttura, presenta l’approccio basato sul rischio secondo il quale sono state sviluppate, esamina le tipologie di requisiti ed elenca le principali evidenze documentali richieste, mentre il secondo illustra le fattispecie che costituiscono gli incidenti significativi e i concetti di evidenza dell’incidente e di abuso dei privilegi concessi.
A completamento, sono presenti le seguenti quattro appendici contenenti:
- la mappatura tra le misure di sicurezza e gli elementi di cui all’articolo 24, comma 2, del decreto NIS;
- l’elenco dei requisiti per i quali sono previste le clausole relative all’approccio basato sul rischio;
- l’elenco dei documenti che devono essere approvati dagli organi di amministrazione e direttivi;
- un glossario con le definizioni dei termini peculiari che ricorrono nelle specifiche di base.
IL CONTENUTO PRESCRITTIVO: OBBLIGHI PER I SOGGETTI RICARDENTI NEL PERIMETRO NIS2
Le nuove indicazioni dell’ACN confermano il nucleo di obblighi operativi inderogabili e le scadenze progressive per i soggetti essenziali e importanti già posti dalle Determinazioni ACN.
Il primo adempimento critico nel 2026 è la registrazione o l’aggiornamento annuale sulla piattaforma dell’Agenzia, da effettuarsi tra il 1° gennaio e il 28 febbraio 2026.
Scadenza del 15 Gennaio 2026: Obblighi Operativi Immediati
Le Linee Guida si inseriscono nel quadro temporale definito dalla Determinazione 379907/2025, che entra ufficialmente in applicazione il 15 gennaio 2026.
Da questa data scatta l’obbligo di rispettare le misure di sicurezza di base aggiornate. Fondamentale è la disciplina della gestione degli incidenti, che prevede una pre-notifica obbligatoria entro 24 ore per gli incidenti significativi (come accessi non autorizzati o abusi di privilegi), seguita da una notifica completa entro 72 ore e una relazione finale dopo 30 giorni.
Dal 15 gennaio 2026, secondo la Determinazione ACN 379907/2025, diventano vincolanti le modalità di gestione e notifica degli incidenti.
- Cosa cambia: Da questa data, un’azienda deve essere tecnicamente pronta a segnalare un “incidente significativo” seguendo le nuove tassonomie e i canali definiti dall’ACN.
- Obbligo di base: Entrano in vigore le “specifiche di base” per la resilienza immediata e la notifica degli incidenti allo CSIRT Italia.
Scadenza del 30 Settembre 2026: Piena Conformità Strutturale
Entro il 30 settembre 2026 (termine calcolato come 18 mesi dalla notifica di inclusione avvenuta tipicamente tra marzo e aprile 2025), i soggetti devono dimostrare la piena implementazione di tutte le misure di sicurezza (ed in particolare di quanto stabilito all’ Allegato 1 per i soggetti Importanti, Allegato 2 per gli Essenziali) che coprono
- Governance
- igiene informatica
- sicurezza della catena di approvvigionamento e
- piani di business continuity
| Scadenza | Tipologia Soggetto | Attività / Obbligo | Riferimento Operativo |
| 15 Gennaio 2026 | Tutti (Essenziali e Importanti) | Notifica Incidenti | Obbligo di segnalare incidenti significativi al CSIRT Italia secondo le nuove regole. |
| 28 Febbraio 2026 | Tutti (già registrati) | Aggiornamento Dati | Termine ultimo per confermare o aggiornare i propri dati sul portale ACN. |
| 31 Ottobre 2026 | Tutti (Essenziali e Importanti) | Misure di Base | Implementazione delle misure di sicurezza informatica “minime” previste dall’Allegato n.1 della Determinazione. |
| Entro fine 2026 | Soggetti Essenziali | Audit e Vigilanza | Avvio delle attività di ispezione e verifica sistematica da parte di ACN sulla conformità. |
| 31 Dicembre 2027 | Soggetti Importanti | Misure Avanzate | Termine massimo per l’adeguamento completo alle misure di sicurezza più stringenti. |
Il rapporto tra NIS2 e GDPR: convergenza e coordinamento
La direttiva NIS2 fa riferimento a diverse normative interconnesse nel panorama legislativo europeo e nazionale. Nello specifico, le Linee Guida e la fonte normativa europea primaria si armonizzano con le seguenti normative:
Normative Europee di Riferimento
- Direttiva (UE) 2016/1148 (NIS1): La direttiva NIS2 ha esplicitamente abrogato e sostituito la precedente direttiva NIS1 per rafforzare le misure di cibersicurezza.
- Regolamento (UE) n. 910/2014 (eIDAS): La direttiva NIS2 modifica questo regolamento relativo ai servizi fiduciari e ai mezzi di identificazione elettronica (eIDAS) al fine di garantire una base normativa comune per l’identità digitale e la sicurezza dei servizi fiduciari (p. 5 della Direttiva).
- Direttiva (UE) 2018/1972: La NIS2 include modifiche anche a questa direttiva che istituisce il Codice europeo delle comunicazioni elettroniche (p. 6 della Direttiva).
- Regolamento (UE) 2016/679 (GDPR): Sebbene siano normative distinte con focus diversi (sicurezza dei sistemi per NIS2 e protezione dei dati personali per GDPR), i soggetti NIS devono adempiere agli obblighi di notifica previsti da entrambi i regolamenti qualora un incidente comporti una violazione dei dati personali (p. 20 della Direttiva).
- Regolamento DORA (Digital Operational Resilience Act): Agisce come lex specialis per il settore finanziario. DORA è la normativa di riferimento primaria per le istituzioni finanziarie in materia di rischio ICT, integrando e prevalendo sulla NIS2 in tale ambito ( con requisiti più stringenti che possono fungere da guida anche per l’implementazione NIS2 in altre aree)
Normativa Nazionale di Riferimento (Italia)
- Decreto Legislativo 4 settembre 2024, n. 138: Questo decreto è l’atto normativo di recepimento della direttiva NIS2 nell’ordinamento italiano. È la normativa nazionale che definisce le modalità e gli obblighi specifici per i soggetti operanti in Italia (p. 5 della Direttiva).
- Determinazioni ACN: Sono gli atti emanati dall’Agenzia per la Cybersicurezza Nazionale (ACN) che stabiliscono le specifiche di base, come le misure di sicurezza e le tipologie di incidenti significativi che i soggetti devono adottare e notificare (pp. 5, 26 della Direttiva).
In merito alla sfera di applicazione normativa, il rapporto tra la disciplina NIS2 e il GDPR si configura come una convergenza di regimi di conformità.
Se è vero che le norme di cui al GDPR si sostanziano in azioni di protezione dei dati personali ed invece il contenuto precettivo della NIS2 si rivolge piuttosto alla tutela la disponibilità, l’integrità e la riservatezza delle reti e dei sistemi informativi nel loro complesso, è tuttavia possibile individuare contenuti prescrittivi sovrapponibili di necessaria interpretazione.
Appare anzitutto necessario precisare che entrambe richiedono l’analisi dei rischi e l’implementazione di misure tecniche e organizzative adeguate , nonché la notifica degli incidenti (in caso di data breach al Garante per la Protezione dei dati ed entro 72 ore secondo quanto previsto dall’art 33 del GDPR e in caso di incidente informativo al CSIRT Italia, istituito presso l’Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore secondo cosi come indicato dall’ articolo 23 della Direttiva (UE) 2022/2555 (NIS2) per la notifica preliminare).
La differenza chiave è rappresentata dall’elemento oggettivo atteso che la Direttiva NIS 2 amplia il campo di applicazione oltre i dati personali per includere la sicurezza informatica a livello sistemico e infrastrutturale, coprendo ambiti che il GDPR non affronta direttamente quali la sicurezza della supply chain e la resilienza sistemica, non solo la protezione dei singoli dati.
Stante il ben distinguibile discrimen dei rispettivi perimetri applicativi, gli ambiti spesso possono intersecarsi ed un incidente NIS 2 di cybersicurezza può causare una violazione di dati GDPR con la conseguente attivazione di entrambi i regimi. Le Linee Guida ACN sottolineano la necessità di un coordinamento anzitutto nella notifiche, in quanto le 72 ore previste dal GDPR per il data breach si sovrappongono alle scadenze più serrate (24 ore) della NIS2 per la notifica preliminare.
Le Organizzazioni dovranno quindi istituire procedure integrate di “Incident Response” che soddisfino simultaneamente l’Autorità Garante per la privacy e l’ACN, evitando discrepanze nelle valutazioni del rischio. A partire da fine 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Garante Privacy hanno rafforzato la loro collaborazione tramite protocolli formali.
L’obiettivo è favorire lo scambio di informazioni tra le due autorità per evitare che le imprese debbano fornire dati contrastanti o subire ispezioni ridondanti.
Sebbene non esista ancora un portale unico nazionale “tutto-in-uno“, la normativa NIS2 (recepita col D.lgs. 138/2024) e il GDPR spingono verso una semplificazione. I vantaggi di una procedura unificata si tradurrebbero in molteplici utilità e cioè:
- Riduzione del carico burocratico: Minore stress per il management che, in piena emergenza cyber, deve gestire scadenze diverse (24h per NIS2, 72h per GDPR)
- Coerenza dei dati: Evita che discrepanze nei report iniziali possano essere usate come base per sanzioni
- Risposta coordinata: Permette alle autorità di intervenire in modo sinergico (ACN sul lato tecnico, Garante sul lato protezione dati).
Le conseguenze applicative per gli Enti Pubblici
Le indicazioni dell’ACN per il 2026 segnano il passaggio alla “fase di esecuzione” della strategia nazionale per i Soggetti destinatari della sua applicazione, compresi alcune tipologie di Enti Pubblici.
Ricordiamo infatti che la Direttiva NIS 2 coinvolge Enti Pubblici sia come Soggetti Essenziali (es. Amministrazioni centrali, enti locali con oltre 100k abitanti, aziende sanitarie) sia come Soggetti Importanti (es. istituti di ricerca, enti regolatori, fornitori di servizi culturali), classificando gli enti in base alla criticità del servizio offerto.
Una delle principali conseguenze applicative è la responsabilità diretta degli organi direttivi (CdA e alta direzione), che sono chiamate ex lege ad approvare le misure di gestione del rischio e possono essere quindi conseguentemente ritenute responsabili in caso di violazione delle norme.
La mancata osservanza delle linee guida e degli obblighi di registrazione non solo preclude l’accesso alle risorse di supporto dello CSIRT Italia, ma espone le entità a sanzioni amministrative pecuniarie e alla possibile sospensione temporanea dei vertici aziendali.
Sulla base delle sintetiche riflessioni termini pratici, il 2026 richiederà sul piano organizzativo e manageriale:
I. una revisione profonda dei contratti con i fornitori IT per garantire che l’intera catena di approvvigionamento rispetti i nuovi standard di sicurezza dettati dall’Agenzia Nazionale;
II. elaborazione e approvazione di procedure integrate di “Incident Response” che soddisfino simultaneamente l’Autorità Garante per la privacy e l’ACN, evitando discrepanze nelle valutazioni del rischio e nelle tempistiche di notificazione obbligatoria
III. Individuazione di figure e referenti Obblighi di incarico di specifiche figure
- Punto di Contatto (PoC) NIS: (Aggiornamento Annuale). Deve essere già stato individuato nel 2025. Per il 2026, il Comune deve procedere all’aggiornamento annuale della registrazione sul portale ACN tra il 15 aprile e il 31 maggio.
- Referente CSIRT (Obbligatorio dal 2026): Entro il 31 dicembre 2025, le Organizzazioni ricadenti nel perimetro dovevano nominare un Referente CSIRT. Dal 1° gennaio 2026, questa figura è l’unica responsabile per l’invio delle notifiche obbligatorie di incidente al CSIRT Italia. Il referente può essere anche un soggetto esterno (es. in outsourcing), soluzione spesso adottata dai Comuni medio-piccoli.
- Responsabilità Politica e Dirigenziale: Il Sindaco e la Giunta (organi direttivi) hanno la responsabilità legale dell’approvazione delle misure di sicurezza. Nel 2026 è previsto l’obbligo di partecipazione a programmi di formazione cybersecurity specifici per i vertici amministrativi.
CONSIDERAZIONI FINALI POSSIBILI SCENARI
L’esperienza del GDPR ha mostrato il rischio di un approccio puramente formale (la cd. “cultura dell’adempimento cartaceo”).
Per la NIS 2 ci si aspettano da un lato controlli più stringenti in ragione poteri ispettivi proattivi per verificare se le misure tecniche siano realmente attive riconosciuti all’ACN (Agenzia per la Cybersicurezza Nazionale) a differenza del GDPR, dove l’Autorità interviene spesso dopo un data breach, dall’altro lo svilupparsi di una maturità tecnologica e cioè il passaggio evoluto da una logica di semplice conformità a una di continuità operativa, dove le policies sviluppate non sono rappresentate da procedure statiche ma meccanismi di monitoraggio continui.
A differenza di precedenti normative inoltre dove le sanzioni colpivano l’Ente come istituzione, con la NIS 2 ci si attende un impatto maggiore sulla governance in ragione della Responsabilità personale e sanzioni comminate dalla Determinazione per la mancata approvazione delle misure di gestione dei rischi generandosi, di conseguenza, la necessità di una specialistica formazione obbligatoria: per i soggetti decisori e non già solo per i tecnici.
Infine occorre sottolineare la tematica della Supply Chain, e quindi la circostanza che molte PA dipendono da fornitori esterni per i software (es. cloud, gestionali) spesso piccole software house locali che potrebbero non essere a loro volta conformi alla NIS 2. Ci si aspetta sul punto una fase frenetica di rinegoziazione dei contratti di servizio per includere i nuovi requisiti di sicurezza entro la scadenza di ottobre 2026.
Per le ragioni fin qui esaminate, come per la compliance privacy o la transizione al digitale, ma a maggior ragione per l’adeguamento NIS 2, anche questa riforma informatica evidenzierà un forte divario (“Cyber Divide”) tra piccoli e grandi Enti per diversa disponibilità di personale specializzato e risorse economiche.
Ci si aspetta sul punto un supporto centrale dell’ ACN e del Polo Strategico Nazionale (PSN) cui verrà necessariamente richiesta l’attivazione di una strategia di interventi con strumenti e piattaforme centralizzate per aiutare gli enti più piccoli a superare i costi tecnici di adeguamento, che possono variare da poche migliaia a milioni di euro.
Su un piano operativo appare altresì auspicabile che la cooperazione istituzionale tra ACN e Garante per la Privacy nel 2026 preveda un unico nucleo di raccolta dati che alimenti contemporaneamente entrambe le notifiche al fine di garantirne la coerenza e contestualità temporale.
In sintesi, il 2026 sarà l’anno in cui la sicurezza informatica smetterà di essere un “problema dell’ufficio IT” per diventare una priorità politica e strategica di quelle Amministrazioni Pubbliche coinvolte della riforma informatica operata dalla Direttiva NIS2 divenendo da capitolo di spesa “accessorio” a perno attorno al quale ruota la pianificazione economica dell’ente, pena pesanti sanzioni per rischi operativi insostenibili.
La sfida introdotta dalla rigorosa disciplina della Direttiva NIS2 si estende altresì ai modelli di compliance adottati dell’Organismo obbligato, rappresentando l’ennesima occasione di riflessione circa il Modello Integrato (IMS) che possa combina le prescrizioni di cui alla ISO 27001 (Sicurezza), ISO 27701 (Privacy) e ISO 22301 (Business Continuity) per la creazione di un sistema unico di gestione idoneo a prevenire le duplicazioni e garantire la resilienza operativa richiesta dalla NIS2.
A tal fine si impone una necessaria collaborazione del DPO e del Management per la gestione coordinata dei rischi, unificazione dei processi (incidenti, DPIA, fornitori, documentazione) e utilizzo di approcci metodologici basati sul principio di by Design e by Default in entrambi gli ambiti, per garantire la conformità normativa e la resilienza aziendale.
Questa sinergia, supportata da standard come ISO 27000, permetterebbe di creare una governance armonica, trasformando la doppia conformità in un’opportunità di miglioramento continuo e di difesa proattiva, specialmente con l’avvento dell’IA.
A titolo esemplificativo di seguito alcune esemplificazioni di un Modello Integrato rispettoso dello schema di management cd. Harmonized Structure (HS, spesso indicata anche come Struttura di Alto Livello):
- Analisi dei Rischi Unificata (ISO 31000): utilizzo di matrici uniche costruite per valutare l’impatto sulla continuità del business (NIS2) e quello sui diritti delle persone (GDPR).
- Registro Unico degli Asset: Catalogazione dei server e i software con mappatura delle banche dati contenenti dati personali e contestuale individuazione degli Assett “critici” per i servizi NIS2.
- Governance Integrata: validazione condivise tra DPO e CISO di nuove procedure, Registri, e sistemi di audit integrati al fine di ridurre l’accesso ai dati e sintetizzare le misure di sicurezza calibrandole alle necessità di minimizzazione (es. monitoraggio eccessivo dei log) violi la privacy dei dipendenti.
- Formazione Cross-Funzionale: percorsi didattici multidisciplinari che coprano diversi domini normativi e tecnici contemporaneamente.
A cura di Avv. Chiara De Angelis
[1] consultabile e scaricabile nella sezione dedicata alla normativa NIS del portale istituzionale https://www.acn.gov.it/portale/documents/20119/56212/Guida+alla+lettura+Specifiche+di+base.pdf/9d89bc56-2eb2-8f6d-9a2e-3e78b4219d4b?t=1767190830010
[2] Il Framework Nazionale per la Cybersecurity e la Data Protection (FNCS) è uno strumento di supporto alle organizzazioni che necessitano di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber. L’elemento principale è il cosiddetto Framework Core strutturato in funzioni, categorie e sottocategorie. Le misure di sicurezza di base fanno uso della versione 2025 del framework (https://www.cybersecurityframework.it/).
[3] Nello specifico, ogni misura è costituita da un codice identificativo, una descrizione e uno o più requisiti: il codice identificativo e la descrizione fanno riferimento alle sottocategorie del Framework nazionale, i requisiti indicano ciò che è richiesto ai fini dell’implementazione della misura.
