Guida pratica alla transizione NIS2: cosa cambia, cosa fare e come EKO365 può accompagnare le imprese

 

Il 15 gennaio 2026 è entrata ufficialmente in vigore la Determinazione dell’ACN (Agenzia per la Cybersicurezza Nazionale) che attua concretamente la direttiva NIS2 in Italia.
Un passaggio cruciale che segna la fine della teoria e l’inizio dell’attuazione operativa.
Con il Decreto Legislativo 138/2024, recepimento italiano della direttiva europea NIS2, cambia radicalmente il quadro di responsabilità, obblighi e tempi per le aziende coinvolte.

Facciamo chiarezza su cosa sta accadendo, cosa prevede la normativa, e come EKO365 può offrire supporto pratico alle organizzazioni.

Cosa prevede la NIS2 e perché è importante

La direttiva NIS2 ha l’obiettivo di rafforzare la sicurezza informatica nell’Unione Europea, estendendo gli obblighi a un numero più ampio di settori e imprese, classificate come “soggetti essenziali” e “soggetti importanti”.
L’Italia ha recepito la direttiva con il D.lgs. 138/2024, e l’ACN ha ora definito le modalità operative e tecniche per l’applicazione della norma, rendendo effettivi obblighi e scadenze.
Tra le priorità:

  • rafforzare la gestione del rischio cyber;
  • stabilire procedure obbligatorie di notifica per gli incidenti significativi;
  • coinvolgere attivamente gli organi di governance aziendale;
  • chiarire il ruolo di sistemi critici e reti rilevanti.

La Determinazione dell’ACN: cosa contiene e da quando si applica

La nuova Determinazione dell’ACN – in vigore dal 15 gennaio 2026 – ha sostituito la versione precedente del 2025. Rende operativi alcuni obblighi fondamentali, tra cui:

Misure di sicurezza di base, suddivise in:

  • Allegato 1 – per soggetti importanti;
  • Allegato 2 – per soggetti essenziali;

Obblighi di notifica degli incidenti:

  • Allegato 3 – per soggetti importanti;
  • Allegato 4 – per soggetti essenziali;

Obblighi specifici per registry e registrar di domini internet.

Chiarezza sul perimetro: i “sistemi informativi e di rete rilevanti” sono quelli la cui compromissione impatta su riservatezza, integrità e disponibilità dei servizi core dell’organizzazione.

Le scadenze: il conto alla rovescia è già iniziato

Le scadenze decorrono dalla data in cui si riceve la comunicazione di inserimento nell’elenco dei soggetti NIS:

  • 9 mesi per attivare la capacità di notifica degli incidenti;
  • 18 mesi per adottare le misure minime di sicurezza.

Questo significa che la parte incidenti è urgente: senza strumenti, ruoli, escalation e runbook già pronti, i 9 mesi diventano un rischio concreto.

TIme Line NIS2 per PMI
DALL•E x EKO365

Cosa devono fare oggi le aziende coinvolte

L’ACN è chiara: non aspettare le scadenze ufficiali per muoversi.
La transizione è già in corso, e bisogna attivarsi da subito per non farsi trovare impreparate.

Ecco le azioni da intraprendere immediatamente:

  • Delibera del CDA o della Direzione Generale che approvi formalmente l’avvio del programma di adeguamento alla NIS2;
  • Identificazione del perimetro NIS2: mappatura chiara dei sistemi, servizi e processi critici che ricadono nell’ambito applicativo della normativa;
  • Analisi delrischio cyberspecifico e definizione di una roadmap tracciabile per l’adeguamento tecnico e organizzativo;
  • Attivazione del sistema di gestione e risposta agli incidenti, in linea con quanto richiesto dagli Allegati 3 e 4 della Determinazione ACN;
  • Formazione e sensibilizzazione delle figure chiave della governance aziendale e dei referenti operativi in materia di cybersicurezza.

 Focus: cosa fare entro il 28 febbraio 2026

Per i soggetti pubblici e privati che nel 2025 hanno maturato i requisiti per rientrare nel perimetro NIS2, c’è un primo adempimento chiave:

  • Dal 1° gennaio al 28 febbraio 2026 devono:
    • designare ufficialmente il “Punto di Contatto NIS”, figura di riferimento per i rapporti con ACN e CSIRT Italia;
    • effettuare la registrazione sul Portale dei Servizi ACN, lo strumento digitale attraverso cui verranno gestite le comunicazioni ufficiali, le notifiche e gli aggiornamenti.

Attenzione: questi adempimenti non fanno partire i termini di adeguamento (9 o 18 mesi), ma sono obbligatori per essere formalmente inseriti nel perimetro NIS da parte dell’ACN.

Il ruolo di EKO365: supporto concreto

EKO365 – come Società Benefit e partner etico nel mondo della sicurezza digitale – non si propone come fornitore “di soluzioni a pacchetto”, ma come guida affidabile e trasparente per le PMI.

Come possiamo aiutare:

  • analisi di rischio e perimetrazione NIS2: supportiamo nella mappatura dei servizi critici e nell’identificazione dei sistemi rilevanti;
  • supporto alla governance: affianchiamo CDA e Direzioni con strumenti comprensibili per prendere decisioni informate;
  • Incident Response Plan (IRP): progettiamo e validiamo piani di risposta agli incidenti, con simulazioni e test;
  • assessment tecnico: valutiamo il livello attuale di sicurezza Microsoft 365 e dei sistemi cloud utilizzati;
  • formazione e consapevolezza: programmi formativi per il personale e la direzione, focalizzati su responsabilità, ruoli e obblighi normativi;
  • monitoraggio continuo e supporto: garantiamo assistenza continua con un approccio sostenibile, efficace e conforme agli standard di sicurezza.

La parola chiave: non procrastinare. La transizione è in corso e il tempo stringe. Ogni giorno perso rende più difficile adeguarsi per tempo. EKO365 è qui per accompagnare le aziende in modo consapevole, trasparente e con responsabilità. Perché fare bene sicurezza significa proteggere il proprio futuro, non solo i propri dati.

NIS2 per le PMI, al lavoro
DALL•E x EKO365