Cybersicurezza, scatta l’obbligo Nis 2: cosa devono fare aziende e PA entro il 2026

Dalla gestione dei rischi alla formazione obbligatoria, dalla protezione dei dati alle clausole contrattuali: ecco gli adempimenti richiesti dal decreto legislativo 138/2024 e le scadenze fissate dall’Agenzia per la Cybersicurezza Nazionale

Con la determinazione n. 164179 del 14 aprile 2025, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha dato ufficialmente il via al cronoprogramma di attuazione degli obblighi previsti dal decreto legislativo 138/2024, che recepisce in Italia la direttiva europea Nis 2 sulla sicurezza delle reti e dei sistemi informativi. Il provvedimento coinvolge sia enti pubblici che soggetti privati operanti in settori considerati strategici — come energia, trasporti, sanità, finanza, alimentare e digitale — obbligandoli a rivedere processi, policy e misure di sicurezza informatica.

Chi è obbligato e cosa deve fare Il decreto distingue tra soggetti essenziali e soggetti importanti, classificazione che influisce su quantità e tipo di adempimenti e sull’entità delle sanzioni in caso di violazione. Gli enti coinvolti sono tenuti a registrarsi sulla piattaforma ACN, ricevere la notifica di inclusione nell’elenco ufficiale e rispettare una serie di obblighi tecnici e organizzativi, che spaziano dalla predisposizione di policy di sicurezza informatica all’adozione di sistemi di autenticazione multifattore, fino alla redazione di inventari di asset e piani di gestione del rischio.

Tempi stretti e sanzioni pesanti Le scadenze sono differenziate: entro 9 mesi dalla notifica dell’inserimento negli elenchi ACN, i soggetti dovranno adempiere agli obblighi di notifica degli incidenti informatici; entro 18 mesi, completare tutte le misure di sicurezza di base previste. Il rischio, per chi non si adegua, è quello di sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato per i soggetti essenziali e fino a 7 milioni o al 4% del fatturato per quelli importanti. Le pubbliche amministrazioni rischiano fino a 125.000 euro.

Formazione obbligatoria e controllo sui fornitori Particolare attenzione è riservata alla formazione: tutte le organizzazioni dovranno adottare e mantenere un piano formativo aggiornato in materia di cybersicurezza per tutto il personale, compresi vertici e dirigenti. Inoltre, i contratti di fornitura di prodotti e servizi dovranno contenere clausole specifiche sulla sicurezza informatica, e i fornitori dovranno garantire standard di protezione adeguati.

Un sistema articolato e complesso La mole documentale da gestire è significativa: policy, registri, elenchi di asset e personale, report di formazione e inventari di fornitori dovranno essere predisposti e aggiornati periodicamente, mentre le valutazioni del rischio dovranno essere effettuate almeno ogni due anni o in caso di variazioni rilevanti dell’organizzazione o del contesto di minaccia.

Il 2026 si preannuncia dunque come un anno cruciale per la cybersicurezza in Italia: aziende e pubbliche amministrazioni dovranno correre per mettersi in regola, sotto la spinta di una normativa europea sempre più stringente e di un quadro sanzionatorio severo.