Scadenze NIS2 2025-2026: Calendario Completo per PMI Italiane
Il calendario completo delle scadenze NIS2 per PMI italiane: dalla registrazione ACN agli obblighi tecnici. Non perdere le date chiave.
Nel caos normativo che ha accompagnato il recepimento della Direttiva NIS2 in Italia (D.Lgs. 138/2024), una domanda risuona nelle sale riunioni di molte PMI: "Ma alla fine, entro quando devo essere in regola per non prendere la multa?"
La risposta non è una singola data, ma un percorso a tappe. Ignorare questo calendario significa rischiare non solo sanzioni amministrative fino a 10 milioni di euro o il 2% del fatturato globale, ma la paralisi operativa in caso di incidente. Facciamo chiarezza con le scadenze ufficiali confermate dall'ACN (Agenzia per la Cybersicurezza Nazionale).
31 Luglio 2025: Il Primo Censimento ACN
Questa è la prima vera scadenza "burocratica". Entro questa data, tutti i Soggetti Essenziali e Soggetti Importanti devono registrarsi sul portale dell'ACN comunicando il cosiddetto "Info Set A".
Cosa comunicare:
- Ragione sociale, P.IVA, settore di attivitÃ
- Indirizzi PEC operativi
- Punti di contatto H24 (telefono ed email) per la gestione delle emergenze di sicurezza
Perché è critica: Se subisci un attacco e non sei registrato, l'omessa comunicazione è già di per sé una violazione sanzionabile, indipendentemente dall'incidente stesso.
Chi deve registrarsi: Aziende con più di 50 dipendenti O fatturato superiore a 10 milioni di euro, che operano nei settori elencati nell'Allegato I e II del D.Lgs. 138/2024 (energia, trasporti, banche, sanità , infrastrutture digitali, PA, MSP, fornitori di software).
31 Dicembre 2025: Incident Response Operativo
Non basta essersi registrati. Entro la fine dell'anno, l'azienda deve aver messo in piedi una capacità concreta di reazione agli incidenti. Non si tratta solo di avere un firewall — serve una procedura scritta, testata e assegnata a persone con nome e cognome.
Domande a cui rispondere entro Capodanno 2026:
- Se il server va giù alle 3 di notte, chi riceve l'SMS/chiamata?
- Chi ha l'autorità di decidere "stacchiamo internet" per contenere un'infezione?
- Abbiamo un template pronto per la notifica all'ACN?
- Esiste un registro degli asset critici aggiornato?
Il documento di Incident Response non deve essere un trattato di 200 pagine: basta un documento operativo di 5-10 pagine con flow decisionali chiari, contatti di emergenza e procedure step-by-step.
1 Gennaio 2026: Obbligo di Notifica Attivo
Con l'inizio del nuovo anno, entra a pieno regime l'obbligo di notifica degli incidenti significativi. Le tempistiche sono stringenti:
| Scadenza | Azione richiesta |
|---|---|
| Entro 24 ore | Pre-allarme all'ACN (anche solo "sospetto" di incidente grave) |
| Entro 72 ore | Notifica completa con valutazione iniziale impatto e sistemi compromessi |
| Entro 1 mese | Report finale con analisi delle cause e misure correttive adottate |
Per rispettare questi tempi senza sistemi di alerting automatico è praticamente impossibile. Controllare i log manualmente il lunedì mattina non è conforme: servono notifiche push in tempo reale quando il sistema rileva anomalie (login falliti multipli, traffico verso IP in blacklist, scansioni di porte).
Aprile 2026: Compliance Tecnica Completa
Termina il periodo transitorio per l'implementazione delle misure di sicurezza avanzate previste dall'articolo 21 della Direttiva: crittografia, MFA su tutti gli accessi, segmentazione della rete, log immutabili con retention 12 mesi.
Da questo momento, l'ACN può avviare ispezioni a campione o mirate, non solo a seguito di incidenti segnalati. Le aziende che non hanno completato l'adeguamento tecnico rischiano sanzioni immediate.
Roadmap Pratica: Cosa Fare Adesso
Se state leggendo questo nel 2025-2026, i margini sono stretti. Ecco un piano d'azione per fasi:
Fase 1 — Assessment (immediato): Capire se rientrate nella direttiva e mappare gli asset critici. Se fatturate >10M€ o avete >50 dipendenti in un settore rilevante, al 90% sì. Se fornite software o servizi IT ad aziende più grandi, quasi certamente sì.
Fase 2 — Messa in sicurezza tecnica (entro Aprile 2026):
- Attivazione firewall perimetrale gestito (Next-Generation)
- VPN con MFA per tutti gli accessi remoti — zero RDP esposti su internet
- Logging centralizzato con retention 12 mesi su storage WORM immutabile
- Backup off-site cifrato con test di restore documentato
Fase 3 — Burocrazia e formazione:
- Registrazione sul portale ACN entro luglio 2025
- Stesura procedura Incident Response
- Formazione obbligatoria dipendenti su phishing e social engineering
Red Flag: Sei in Ritardo se...
- Non hai ancora un budget allocato per la cybersecurity
- I tuoi backup sono su chiavetta USB o non testati da mesi
- Usi ancora connessioni RDP dirette senza VPN
- Non sai chi sia il "Referente per la sicurezza" della tua azienda
- I log di sistema non vengono mai controllati da nessuno
Conclusione
La NIS2 non è una tempesta passeggera: è il nuovo clima normativo europeo sulla cybersecurity. Non aspettate l'ultima settimana di dicembre per cercare un fornitore di sicurezza — troverete tariffe più alte e agende piene.
Iniziate dalle basi tecniche oggi. SecBox copre l'intera parte di sicurezza perimetrale e logging (firewall gestito, VPN WireGuard con MFA, log WORM) in meno di 48 ore dall'attivazione, rispondendo ai requisiti tecnici dell'articolo 21 con un canone mensile prevedibile.