Italia NIS2: El plazo de categorización de ACN de junio 2026 está abierto — Lo que los consultores IT deben hacer
El 13 de abril de 2026, la Agenzia per la Cybersicurezza Nazionale (ACN) italiana adoptó la determinación 155238/2026 — el marco operativo que indica a cada organización italiana registrada en NIS2 exactamente cómo categorizar sus actividades y servicios. Desde el 1 de mayo, el portal de presentación está abierto. El plazo es el 30 de junio de 2026.
Si asesora a empresas italianas o gestiona infraestructura IT para organizaciones que operan en Italia, esto no es un ejercicio regulatorio lejano. La categoría que ACN asigna basándose en esta presentación determina directamente qué medidas de seguridad se aplican — y cuándo. Un error aquí significa que sus clientes se enfrentan a obligaciones más estrictas de lo necesario. Perder el plazo significa medidas de supervisión.
Esto es lo que necesita saber.
Italia fue tardía en la transposición — pero avanza rápidamente ahora
Italia completó su transposición de NIS2 el 23 de diciembre de 2025 mediante el Decreto Legislativo 138/2024. La ley entró en vigor el 1 de enero de 2026, con el plazo del 1 de octubre de 2026 establecido para el cumplimiento de las obligaciones de medidas de seguridad en virtud de los Artículos 23, 24 y 29.
Ese calendario comprimido significa que las organizaciones italianas tienen menos tiempo de preparación que la mayoría de sus homólogas de la UE. El BSI alemán tuvo meses de preparación antes de que aparecieran los dientes de aplicación. El ACN italiano pasa directamente del registro a la categorización — y luego directamente a la aplicación — en el transcurso de un único año calendario.
Para los consultores IT y MSPs con clientes italianos, esto no es un simulacro. El reloj de cumplimiento está en marcha.
Lo que realmente hace el marco de categorización de ACN
La determinación ACN 155238/2026 introduce dos elementos estructurales: 10 macro-áreas y 4 categorías de relevancia.
Las 10 macro-áreas son agrupaciones predefinidas de actividades y servicios. Cada entidad registrada en NIS2 debe identificar qué macro-áreas describen lo que realmente hace. Estas cubren el alcance completo de los sectores NIS2: energía, transporte, infraestructura bancaria y de mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública y espacio.
Las 4 categorías de relevancia expresan el nivel de impacto en caso de incidente: mínimo, bajo, medio o alto. ACN asigna relevancia basándose en lo que presenta la entidad — tamaño, sector, criticidad y las interdependencias que la organización describe en su presentación.
¿Por qué importa esto para su trabajo de asesoramiento? Porque la categoría de relevancia determina la profundidad y especificidad de las obligaciones de seguridad que la organización debe cumplir antes del 1 de octubre. Una entidad de categoría "mínima" enfrenta requisitos técnicos más ligeros que una entidad de categoría "alta". La diferencia en la inversión de cumplimiento puede ser significativa.
La ventana del portal: del 1 de mayo al 30 de junio de 2026
La presentación se realiza exclusivamente a través de la plataforma ACN (portale ACN). La ventana de presentación se abrió el 1 de mayo de 2026 y se cierra el 30 de junio de 2026. ACN debe proporcionar retroalimentación dentro de los 90 días posteriores a la presentación — ampliable hasta 60 días adicionales para casos complejos.
Esto es lo que requiere la presentación: cada entidad debe identificar su(s) macro-área(s), describir sus actividades y servicios, y autoevaluar su relevancia de impacto. ACN revisa esto en base a muestras y compara con entidades similares en el mismo sector. Las discrepancias desencadenarán seguimiento.
Tres puntos prácticos para consultores:
1. La precisión importa más que el conservadurismo. Las entidades que subestiman su alcance para caer en una categoría de relevancia inferior están expuestas. ACN revisa explícitamente las presentaciones frente a comparables sectoriales. Si un distribuidor de energía presenta como "mínimo" mientras cada entidad comparable presenta como "medio", eso señala para inspección.
2. La presentación es la base de todo lo que sigue. Las medidas de seguridad, las obligaciones continuas y la eventual auditoría de supervisión se remontan todas a lo que se presenta en esta ventana. Documente cuidadosamente el razonamiento.
3. Perder el plazo del 30 de junio tiene consecuencias. El marco de aplicación de ACN permite medidas administrativas y acciones de supervisión para entidades que no presenten. Este no es un plazo flexible.
Lo que viene después: 1 de octubre de 2026
Una vez completada la categorización y revisadas las presentaciones por ACN, entra en vigor el plazo del 1 de octubre de 2026. Para esa fecha, las entidades NIS2 italianas deben cumplir con:
- Artículo 23 — gobernanza de ciberseguridad, incluyendo responsabilidad a nivel de consejo y políticas de ciberseguridad aprobadas
- Artículo 24 — medidas de gestión de riesgos de seguridad de la información (el equivalente italiano de las obligaciones del Artículo 21 de NIS2)
- Artículo 29 — obligaciones de seguridad para la base de datos de registro de nombres de dominio (relevante para operadores DNS y registradores)
ACN también introducirá progresivamente obligaciones de ciberseguridad "a largo plazo" adicionales en los meses posteriores a octubre, calibradas por categoría de relevancia. Las entidades de categoría "alta" deben esperar una segunda oleada de requisitos más exigente en el T1 de 2027.
Para referencia, el régimen de sanciones de Italia refleja la directiva NIS2: hasta 10 millones de euros o el 2% del volumen de negocios anual global total para entidades esenciales, y hasta 7 millones de euros o el 1,4% del volumen de negocios para entidades importantes. ACN está facultada para realizar inspecciones, seguimiento y controles in situ.
Lo que significa la categorización para los MSPs que prestan servicios a clientes italianos
Si es un MSP que gestiona infraestructura IT para una organización italiana dentro del ámbito de NIS2, hay dos ángulos a vigilar.
Primero, su cliente puede necesitar su ayuda con la presentación en sí. La descripción de la macro-área requiere documentación precisa de los servicios IT en los que se apoya la organización, incluidas las funciones externalizadas. Si los sistemas críticos son gestionados por su MSP, esa dependencia operativa es relevante para la evaluación de la categoría de relevancia. Esté preparado para proporcionar documentación de servicio estructurada.
Segundo, su propia organización puede estar en el ámbito. La gestión de servicios TIC para entidades esenciales o importantes está explícitamente listada en el Anexo II de la directiva NIS2. Si gestiona IT para organizaciones italianas en sectores regulados, compruebe si está registrado como entidad NIS2 en Italia. Si no está registrado pero debería estarlo, la ventana de autorregistro a través del portal ACN sigue abierta.
Para una visión más amplia de cómo NIS2 afecta directamente a los MSPs, consulte nuestro artículo sobre NIS2 para MSPs.
Cómo abordar la presentación de categorización: Una lista de verificación práctica
Use esto como punto de partida para las conversaciones con clientes:
Paso 1 — Confirmar el estado de registro NIS2. La entidad debe estar registrada en ACN antes de poder presentar la categorización. Si el registro está incompleto, ese es el primer problema a resolver.
Paso 2 — Mapear actividades a macro-áreas. Revise las 10 macro-áreas e identifique cuáles aplican. La mayoría de las organizaciones se mapearán a una o dos. Documente qué macro-áreas fueron consideradas y excluidas, y por qué.
Paso 3 — Autoevaluar la relevancia. La relevancia está impulsada por factores que incluyen tamaño, criticidad para el sector, impacto transfronterizo y dependencia de otras entidades de los servicios de la organización. Sea honesto y documente el razonamiento.
Paso 4 — Reunir documentación de soporte. La revisión por muestreo de ACN significa que las presentaciones pueden ser auditadas. Tenga disponibles organigramas, catálogos de servicios y evaluaciones de impacto de incidentes.
Paso 5 — Presentar antes del 15 de junio. Incorpore dos semanas de margen antes del plazo del 30 de junio. Los problemas técnicos de última hora con portales gubernamentales no son infrecuentes.
Paso 6 — Comenzar inmediatamente el análisis de brechas para los Artículos 23/24. No espere la retroalimentación de ACN. El plazo del 1 de octubre no se mueve. Comience ahora el análisis de brechas frente a las obligaciones de medidas de seguridad, utilizando la categoría de relevancia que espera recibir como base.
Si sus clientes aún no han comenzado este proceso, un análisis de brechas NIS2 estructurado es la forma más rápida de identificar dónde se encuentran. Realice un análisis rápido en nis2certify.org/quick-scan para obtener una imagen de base de su postura actual antes de la presentación del 30 de junio.
El panorama general: Italia no está sola
El plazo de evaluación de conformidad NIS2 de Bélgica venció el 18 de abril de 2026 — el primer plazo de aplicación firme en la UE. El BSI alemán ha estado en modo de supervisión activa desde finales de 2025. Portugal y Polonia transpusieron NIS2 en 2025 y están desarrollando sus marcos de aplicación.
Italia avanza rápidamente, pero el patrón es consistente en toda la UE: registro, categorización, medidas de seguridad, auditoría. La secuencia es la misma en todas partes. Lo que difiere es el proceso específico y el calendario de la autoridad nacional.
Si gestiona el cumplimiento para organizaciones que operan en varios estados miembros de la UE, la variación país por país en calendarios y requisitos de las autoridades es el desafío operativo central. Una única postura de cumplimiento que satisfaga todas las jurisdicciones requiere mapear los requisitos específicos de cada país frente a un marco de controles común — típicamente ISO 27001 o un equivalente.
Para una comparación de cómo NIS2 se alinea con ISO 27001, consulte nuestro artículo sobre NIS2 vs ISO 27001.
El plazo del 30 de junio de 2026 en Italia es el elemento más inmediatamente accionable para los consultores con clientes italianos. Después de eso, la atención se desplazará a octubre. Las organizaciones que categorizan con precisión, documentan exhaustivamente y comienzan su análisis de brechas ahora llegarán al 1 de octubre en una posición defendible. Las que traten la presentación de categorización como un ejercicio de casillas a marcar se encontrarán mal preparadas cuando la actividad de supervisión de ACN escale en el T4.