Italia NIS2: La scadenza di categorizzazione ACN di giugno 2026 è aperta — Cosa devono fare i consulenti IT
Il 13 aprile 2026, l'Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato la determinazione 155238/2026 — il quadro operativo che indica a ogni organizzazione italiana registrata NIS2 esattamente come categorizzare le proprie attività e servizi. Dal 1° maggio il portale di presentazione è aperto. La scadenza è il 30 giugno 2026.
Se consigliate aziende italiane o gestite infrastrutture IT per organizzazioni operanti in Italia, questo non è un esercizio normativo lontano. La categoria che ACN assegna sulla base di questa presentazione determina direttamente quali misure di sicurezza si applicano — e quando. Un errore qui significa che i vostri clienti devono affrontare obblighi più stringenti del necessario. Perdere la scadenza significa misure di vigilanza.
Ecco cosa dovete sapere.
L'Italia era in ritardo nel recepimento — ma ora sta avanzando rapidamente
L'Italia ha completato il recepimento della NIS2 il 23 dicembre 2025 tramite il Decreto Legislativo 138/2024. La legge è entrata in vigore il 1° gennaio 2026, con la scadenza del 1° ottobre 2026 fissata per la conformità agli obblighi di misure di sicurezza ai sensi degli Articoli 23, 24 e 29.
Quella tempistica compressa significa che le organizzazioni italiane hanno meno tempo di preparazione rispetto alla maggior parte delle controparti UE. Il BSI tedesco aveva mesi di preparazione prima che apparissero i denti dell'applicazione. L'ACN italiana sta passando direttamente dalla registrazione alla categorizzazione — e poi direttamente all'applicazione — nell'arco di un singolo anno solare.
Per i consulenti IT e gli MSP con clienti italiani, questo non è un esercizio. L'orologio della conformità è in moto.
Cosa fa concretamente il quadro di categorizzazione di ACN
La determinazione ACN 155238/2026 introduce due elementi strutturali: 10 macro-aree e 4 categorie di rilevanza.
Le 10 macro-aree sono raggruppamenti predefiniti di attività e servizi. Ogni soggetto registrato NIS2 deve identificare quali macro-aree descrivono ciò che effettivamente fa. Queste coprono l'intera gamma dei settori NIS2: energia, trasporti, infrastrutture bancarie e dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi ICT, pubblica amministrazione e spazio.
Le 4 categorie di rilevanza esprimono il livello di impatto in caso di incidente: minimo, basso, medio o alto. ACN assegna la rilevanza in base a ciò che il soggetto deposita — dimensioni, settore, criticità e le interdipendenze che l'organizzazione descrive nella sua presentazione.
Perché questo è importante per il vostro lavoro di consulenza? Perché la categoria di rilevanza determina la profondità e la specificità degli obblighi di sicurezza che l'organizzazione deve soddisfare prima del 1° ottobre. Un soggetto di categoria "minima" affronta requisiti tecnici più leggeri rispetto a un soggetto di categoria "alta". La differenza nell'investimento per la conformità può essere significativa.
La finestra del portale: dal 1° maggio al 30 giugno 2026
La presentazione avviene esclusivamente tramite la piattaforma ACN (portale ACN). La finestra di presentazione si è aperta il 1° maggio 2026 e si chiude il 30 giugno 2026. ACN deve fornire un riscontro entro 90 giorni dalla presentazione — prorogabile fino a 60 giorni aggiuntivi per i casi complessi.
Ecco cosa richiede la presentazione: ogni soggetto deve identificare la/le propria/e macro-area/e, descrivere le proprie attività e servizi, e autovalutare la propria rilevanza di impatto. ACN esamina poi questo su base campionaria e confronta con soggetti comparabili nello stesso settore. Le discrepanze attiveranno un follow-up.
Tre punti pratici per i consulenti:
1. La precisione conta più del conservatorismo. I soggetti che sottostimano il proprio perimetro per ricadere in una categoria di rilevanza inferiore sono esposti. ACN esamina esplicitamente le presentazioni rispetto ai comparabili settoriali. Se un distributore di energia presenta come "minimo" mentre ogni soggetto comparabile presenta come "medio", questo segnala un'ispezione.
2. La presentazione è la base di tutto ciò che segue. Le misure di sicurezza, gli obblighi continuativi e l'eventuale audit di vigilanza si ricollegano tutti a ciò che viene depositato in questa finestra. Documentate attentamente il ragionamento.
3. Perdere la scadenza del 30 giugno ha conseguenze. Il quadro di applicazione di ACN consente misure amministrative e azioni di vigilanza per i soggetti che non presentano. Questa non è una scadenza morbida.
Cosa viene dopo: 1° ottobre 2026
Una volta completata la categorizzazione e revisionate le presentazioni da parte di ACN, entra in vigore la scadenza del 1° ottobre 2026. Entro quella data, i soggetti NIS2 italiani devono conformarsi a:
- Articolo 23 — governance della cybersicurezza, inclusa la responsabilità a livello di consiglio di amministrazione e politiche di cybersicurezza approvate
- Articolo 24 — misure di gestione del rischio per la sicurezza delle informazioni (l'equivalente italiano degli obblighi dell'Articolo 21 di NIS2)
- Articolo 29 — obblighi di sicurezza per il database di registrazione dei nomi di dominio (rilevante per gli operatori DNS e i registrar)
ACN introdurrà anche progressivamente ulteriori obblighi di cybersicurezza "a lungo termine" nei mesi successivi a ottobre, calibrati per categoria di rilevanza. I soggetti di categoria "alta" devono aspettarsi una seconda ondata di requisiti più esigente nel T1 2027.
Per riferimento, il regime sanzionatorio italiano rispecchia la direttiva NIS2: fino a 10 milioni di euro o il 2% del fatturato annuo globale totale per i soggetti essenziali, e fino a 7 milioni di euro o l'1,4% del fatturato per i soggetti importanti. ACN è autorizzata a effettuare ispezioni, monitoraggi e controlli in loco.
Cosa significa la categorizzazione per gli MSP che forniscono servizi a clienti italiani
Se siete un MSP che gestisce infrastrutture IT per un'organizzazione italiana che rientra nell'ambito di applicazione NIS2, ci sono due angoli da tenere d'occhio.
In primo luogo, il vostro cliente potrebbe aver bisogno del vostro aiuto con la presentazione stessa. La descrizione della macro-area richiede una documentazione accurata dei servizi IT su cui si basa l'organizzazione, incluse le funzioni in outsourcing. Se i sistemi critici sono gestiti dal vostro MSP, quella dipendenza operativa è rilevante per la valutazione della categoria di rilevanza. Siate pronti a fornire documentazione di servizio strutturata.
In secondo luogo, la vostra stessa organizzazione potrebbe rientrare nell'ambito. La gestione dei servizi ICT per soggetti essenziali o importanti è esplicitamente elencata nell'Allegato II della direttiva NIS2. Se gestite IT per organizzazioni italiane in settori regolamentati, verificate se siete registrati come soggetto NIS2 in Italia. Se non siete registrati ma dovreste esserlo, la finestra di autoregistrazione tramite il portale ACN rimane aperta.
Per una visione più ampia di come NIS2 influisce direttamente sugli MSP, consultate il nostro articolo su NIS2 per gli MSP.
Come affrontare la presentazione di categorizzazione: Una lista di controllo pratica
Usate questo come punto di partenza per le conversazioni con i clienti:
Passo 1 — Confermare lo stato di registrazione NIS2. Il soggetto deve essere registrato presso ACN prima di poter presentare la categorizzazione. Se la registrazione è incompleta, è questo il primo problema da risolvere.
Passo 2 — Mappare le attività sulle macro-aree. Scorrete le 10 macro-aree e identificate quelle applicabili. La maggior parte delle organizzazioni si mapperà a una o due. Documentate quali macro-aree sono state considerate ed escluse, e perché.
Passo 3 — Autovalutare la rilevanza. La rilevanza è determinata da fattori come dimensioni, criticità per il settore, impatto transfrontaliero e dipendenza di altri soggetti dai servizi dell'organizzazione. Siate onesti e documentate il ragionamento.
Passo 4 — Raccogliere la documentazione di supporto. La revisione su base campionaria di ACN significa che le presentazioni possono essere sottoposte ad audit. Tenete disponibili organigrammi, cataloghi di servizi e valutazioni dell'impatto degli incidenti.
Passo 5 — Presentare prima del 15 giugno. Create un margine di due settimane prima della scadenza del 30 giugno. I problemi tecnici dell'ultimo minuto con i portali governativi non sono rari.
Passo 6 — Iniziare immediatamente l'analisi dei gap per gli Articoli 23/24. Non aspettate il riscontro di ACN. La scadenza del 1° ottobre non si sposta. Iniziate ora l'analisi dei gap rispetto agli obblighi di misure di sicurezza, utilizzando la categoria di rilevanza che vi aspettate di ricevere come base.
Se i vostri clienti non hanno ancora avviato questo processo, un'analisi dei gap NIS2 strutturata è il modo più rapido per identificare dove si trovano. Eseguite una scansione rapida su nis2certify.org/quick-scan per ottenere un quadro di base della loro postura attuale prima della presentazione del 30 giugno.
Il quadro generale: L'Italia non è sola
La scadenza per la valutazione di conformità NIS2 del Belgio è passata il 18 aprile 2026 — la prima scadenza di applicazione ferma nell'UE. Il BSI tedesco è in modalità di vigilanza attiva dalla fine del 2025. Portogallo e Polonia hanno recepito NIS2 nel 2025 e stanno costruendo i loro quadri di applicazione.
L'Italia sta avanzando rapidamente, ma il modello è coerente in tutta l'UE: registrazione, categorizzazione, misure di sicurezza, audit. La sequenza è la stessa ovunque. Ciò che differisce è il processo specifico e la tempistica dell'autorità nazionale.
Se gestite la conformità per organizzazioni operanti in più Stati membri dell'UE, la variazione paese per paese nei calendari e nei requisiti delle autorità è la sfida operativa centrale. Una singola postura di conformità che soddisfi tutte le giurisdizioni richiede la mappatura dei requisiti specifici di ciascun paese rispetto a un quadro di controlli comune — tipicamente ISO 27001 o un equivalente.
Per un confronto di come NIS2 si allinea con ISO 27001, consultate il nostro articolo su NIS2 vs ISO 27001.
La scadenza del 30 giugno 2026 in Italia è l'elemento più immediatamente praticabile per i consulenti con clienti italiani. Dopo di che, l'attenzione si sposterà su ottobre. Le organizzazioni che categorizzano con precisione, documentano accuratamente e iniziano la loro analisi dei gap ora arriveranno al 1° ottobre in una posizione difendibile. Quelle che trattano la presentazione di categorizzazione come un esercizio di spunta saranno colte impreparate quando l'attività di vigilanza di ACN aumenterà nel T4.