NIS2 è in fase di riscrittura: cosa significa la proposta di modifica del 2026 per voi e i vostri clienti

Ventidue dei 27 stati membri dell'UE hanno ormai recepito NIS2 nel diritto nazionale. Mentre la maggior parte delle organizzazioni fa ancora fatica a soddisfare i requisiti originali, la Commissione europea ha già pubblicato una proposta per modificare le regole. Il 20 gennaio 2026, la Commissione ha pubblicato un pacchetto di modifiche che riguarda ambito, notifica ransomware, certificazione e supervisione transfrontaliera.

Perché la Commissione sta già modificando una direttiva non completamente attuata

NIS2 è diventata applicabile nell'ottobre 2024. Il Digital Omnibus Package della Commissione, lanciato nel novembre 2025, razionalizza la legislazione digitale dell'UE per ridurre la frammentazione. L'attuazione pratica ha evidenziato lacune — in particolare la divergenza nelle norme nazionali e la mancanza di un percorso di certificazione armonizzato.

La proposta di gennaio 2026 è "mirata" — la Commissione non sta rivedendo l'architettura fondamentale di NIS2. Le dieci misure di sicurezza dell'Articolo 21 rimangono invariate. I termini di notifica degli incidenti (24 ore, 72 ore, un mese) rimangono invariati.

Stato di Attuazione NIS2 per Paese (2025–2026)
✅
Pienamente in vigore
🇧🇪Belgio
🇭🇷Croazia
🇭🇺Ungheria
🇱🇹Lituania
🇱🇻Lettonia
🇮🇹Italia
6 paesi
📋
Adottata — fine 2025
🇩🇪Germania
🇨🇿Repubblica Ceca
🇫🇮Finlandia
3 paesi
⏳
In corso — previsto 2026
🇳🇱Paesi Bassi
🇫🇷Francia
🇪🇸Spagna
🇵🇱Polonia
🇦🇹Austria
🇸🇪Svezia
🇮🇪Irlanda
7 paesi

Notifica ransomware: nuovi obblighi all'orizzonte

Se un'autorità nazionale lo richiede, le organizzazioni saranno obbligate a divulgare se è stata avanzata una richiesta di riscatto e da chi, se il riscatto è stato pagato, l'importo e il metodo di pagamento, e l'identità del destinatario (inclusi eventuali fornitori di servizi di cripto-asset coinvolti).

La divulgazione non è automatica — è attivata da una richiesta dell'autorità. La proposta prende di mira l'asimmetria informativa con cui le autorità di regolamentazione si scontrano. I clienti che gestiscono incidenti ransomware devono iniziare ora a costruire pratiche di documentazione interna.

Cronologia delle Notifiche di Incidenti NIS2
24h
⚡
Allerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
Fase 1
72h
📋
Notifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
Fase 2
1mo
📊
Rapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.
Fase 3
24h
⚡
Allerta Precoce
Notificare all'autorità competente (CSIRT/ANC) entro 24 ore dalla conoscenza di un incidente significativo.
72h
📋
Notifica dell'Incidente
Presentare una notifica dettagliata entro 72 ore con una valutazione iniziale della gravità, dell'impatto e degli indicatori di compromissione.
1mo
📊
Rapporto Finale
Consegnare un rapporto finale completo entro un mese che copra la causa principale, le misure adottate e l'impatto transfrontaliero.

Cambiamenti di ambito: chi è dentro, chi è fuori

Gli operatori di cavi sottomarini entrano nell'ambito per la prima volta. La distribuzione chimica esce: la modifica elimina "distribuzione" dall'Allegato II. Una nuova categoria di "piccole medie imprese" (meno di 750 dipendenti, fatturato sotto 150 milioni di euro) sarebbe trattata come "entità importanti" piuttosto che essenziali — supervisione reattiva invece che proattiva.

La NIS2 si Applica alla Tua Organizzazione?
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì▼
No▼
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
✗
La NIS2 non si applica direttamente alla tua organizzazione.
Sì▼
No▼
✓
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì▼
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
1
La tua organizzazione opera in un settore essenziale o importante (energia, trasporti, salute, infrastrutture digitali, ecc.)?
Sì ↓No →
2
La tua organizzazione ha 50 o più dipendenti oppure un fatturato annuo superiore a 10 milioni di euro?
Sì ↓No →
3
La tua organizzazione è un fornitore di infrastrutture critiche o un prestatore di servizi fiduciari qualificati?
Sì ↓No →
✗
La NIS2 non si applica direttamente alla tua organizzazione.
✓
La NIS2 si applica alla tua organizzazione come entità essenziale o importante.
!
La NIS2 potrebbe applicarsi alla tua organizzazione — consulta un esperto legale per confermare il tuo status.
Si applica
Possibile applicazione
Non si applica

La certificazione come percorso di conformità: il certificato di postura informatica

Le entità potranno eventualmente ottenere un "certificato di postura informatica" dell'UE sotto un futuro schema europeo di certificazione allineato con CSA2. Se un'entità detiene un certificato valido che copre i requisiti dell'Articolo 21, le autorità competenti non possono sottoporla ad ulteriori audit di sicurezza per quei requisiti. Dimostrare la conformità una volta, evitare audit nazionali duplicati.

CSA2 è ancora una proposta. Ma la direzione è chiara: investite in framework certificabili. Le indicazioni di ENISA che mappano NIS2 su ISO 27001 diventeranno probabilmente la base per i futuri certificati di postura informatica.

Per ulteriori informazioni sulle dieci misure dell'Articolo 21, vedere l'analisi approfondita dell'Articolo 21 di NIS2.

Ruolo più forte di ENISA: supervisione transfrontaliera

ENISA faciliterà la cooperazione tra le autorità nazionali, aiuterà a determinare un'autorità capofila, condurrà un'analisi del rischio entro 15 mesi dall'entrata in vigore, e parteciperà alle attività di supervisione congiunta su richiesta. Non è uno sportello unico sul modello GDPR.

Cosa cambia e quando: una cronologia pratica

Stima conservativa: queste modifiche non saranno nel diritto nazionale prima della fine del 2027 o dell'inizio del 2028. Consigliate i clienti ora — selettivamente. La documentazione ransomware è economica da implementare ora. I cambiamenti di ambito hanno la massima priorità per i settori interessati.

Il quadro generale: l'applicazione di NIS2 è già iniziata

Sette stati membri sono già stati deferiti alla Corte di giustizia. Le autorità nazionali stanno iniziando a condurre ispezioni. Le prime sanzioni sono attese entro la fine dell'anno.

Escalation delle sanzioni NIS2 — Oltre la multa
!
Evento scatenante
Non conformità rilevata o incidente verificatosi
Un'autorità di vigilanza identifica una lacuna di conformità o un'organizzazione non soddisfa i requisiti NIS2
Le autorità possono imporre
▼
Sanzioni non finanziarie
1
Ordini di conformità con scadenze vincolanti
2
Audit di sicurezza obbligatori a vostre spese
3
Divulgazione pubblica delle violazioni
4
Istruzioni vincolanti su misure di sicurezza specifiche
Scala verso
▼
Conseguenze operative e personali
1
Sospensione di certificazioni o licenze operative
2
Divieto temporaneo di funzioni dirigenziali per individui
3
Denominazione pubblica delle persone fisiche responsabili
Evento scatenante
Non finanziario
Operativo / personale

Le modifiche proposte non danno più tempo. Aggiungono nuovi obblighi in cima alla base esistente. La posizione più difendibile è un'analisi delle lacune documentata.

Se i vostri clienti non hanno ancora eseguito tale analisi, fatela ora. Il quick-scan NIS2 su NIS2Certify vi offre un punto di partenza strutturato in meno di 20 minuti.