Italië NIS2: ACN-categoriseringsdeadline van juni 2026 is open — wat IT-consultants nu moeten doen
Op 13 april 2026 heeft het Italiaanse Agenzia per la Cybersicurezza Nazionale (ACN) determinatie 155238/2026 vastgesteld — het operationele kader dat elke bij NIS2 geregistreerde Italiaanse organisatie vertelt hoe ze haar activiteiten en diensten moet categoriseren. Vanaf 1 mei is het indieningsportaal open. De deadline is 30 juni 2026.
Als u Italiaanse bedrijven adviseert of IT-infrastructuur beheert voor organisaties die in Italië actief zijn, is dit geen verre regulatoire oefening. De categorie die ACN toekent op basis van deze indiening bepaalt rechtstreeks welke beveiligingsmaatregelen van toepassing zijn — en wanneer. Een fout hier betekent dat uw klanten met strengere verplichtingen worden geconfronteerd dan noodzakelijk. De deadline missen betekent toezichtmaatregelen.
Dit is wat u moet weten.
Italië was laat met omzetting — maar maakt nu snel werk
Italië voltooide zijn NIS2-omzetting op 23 december 2025 via Wetgevend Besluit 138/2024. De wet trad in werking op 1 januari 2026, met de deadline van 1 oktober 2026 voor naleving van de beveiligingsmaatregelverplichtingen onder Artikelen 23, 24 en 29.
Die krappe tijdlijn betekent dat Italiaanse organisaties minder aanlooptijd hebben dan de meeste EU-tegenhangers. Het BSI van Duitsland had maanden van voorbereiding voordat handhavingstanden verschenen. Het ACN van Italië gaat rechtstreeks van registratie naar categorisering — en vervolgens naar handhaving — binnen één kalenderjaar.
Voor IT-consultants en MSPs met Italiaanse klanten is dit geen oefening. De nalevingsklok tikt.
Wat het ACN-categoriseringsraamwerk feitelijk doet
ACN-determinatie 155238/2026 introduceert twee structurele elementen: 10 macro-gebieden en 4 relevantiecategorieën.
De 10 macro-gebieden zijn vooraf gedefinieerde groeperingen van activiteiten en diensten. Elke bij NIS2 geregistreerde entiteit moet identificeren welke macro-gebieden beschrijven wat ze daadwerkelijk doet. Deze bestrijken het volledige bereik van NIS2-sectoren: energie, transport, bank- en financiële marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-servicebeheer, overheid en ruimtevaart.
De 4 relevantiecategorieën drukken het impactniveau uit bij een incident: minimaal, laag, gemiddeld of hoog. ACN kent relevantie toe op basis van wat de entiteit indient — omvang, sector, kritikaliteit en de onderlinge afhankelijkheden die de organisatie in haar indiening beschrijft.
Waarom is dit belangrijk voor uw advieswerk? Omdat de relevantiecategorie de diepte en specificiteit bepaalt van de beveiligingsverplichtingen die de organisatie vóór 1 oktober moet nakomen. Een entiteit in de categorie "minimaal" heeft lichtere technische vereisten dan een entiteit in de categorie "hoog". Het verschil in nalevingsinvestering kan aanzienlijk zijn.
Het portalvenster: 1 mei tot 30 juni 2026
Indiening verloopt uitsluitend via het ACN-platform (portale ACN). Het indieningsvenster opende op 1 mei 2026 en sluit op 30 juni 2026. ACN moet binnen 90 dagen na indiening feedback geven — verlengbaar met maximaal 60 extra dagen voor complexe gevallen.
Dit is wat de indiening vereist: elke entiteit moet haar macro-gebied(en) identificeren, haar activiteiten en diensten beschrijven en haar impactrelevantie zelf beoordelen. ACN beoordeelt dit vervolgens op steekproefbasis en vergelijkt met vergelijkbare entiteiten in dezelfde sector. Discrepanties leiden tot opvolging.
Drie praktische punten voor consultants:
1. Nauwkeurigheid is belangrijker dan conservatisme. Entiteiten die hun reikwijdte onderschatten om in een lagere relevantiecategorie te vallen, zijn kwetsbaar. ACN vergelijkt indieningen expliciet met sectorgemiddelden. Als een energiedistributeur indient als "minimaal" terwijl elke vergelijkbare entiteit indient als "gemiddeld," valt dat op bij inspectie.
2. De indiening is de basis voor alles wat volgt. Beveiligingsmaatregelen, doorlopende verplichtingen en de uiteindelijke toezichtaudit zijn allemaal te herleiden tot wat in dit venster wordt ingediend. Documenteer de redenering zorgvuldig.
3. De deadline van 30 juni missen heeft gevolgen. Het handhavingskader van ACN staat administratieve maatregelen en toezichtacties toe voor entiteiten die niet indienen. Dit is geen zachte deadline.
Wat er daarna komt: 1 oktober 2026
Zodra de categorisering is voltooid en ACN de indieningen heeft beoordeeld, treedt de deadline van 1 oktober 2026 in werking. Op die datum moeten Italiaanse NIS2-entiteiten voldoen aan:
- Artikel 23 — cyberbeveiligingsgovernance, inclusief verantwoordelijkheid op bestuursniveau en goedgekeurde cyberbeveiligingsbeleid
- Artikel 24 — maatregelen voor informatiebeveiligingsrisicobeheer (het Italiaanse equivalent van de NIS2 Artikel 21-verplichtingen)
- Artikel 29 — beveiligingsverplichtingen voor de domeinnaamregistratiedatabase (relevant voor DNS-operators en registrars)
ACN zal ook geleidelijk aanvullende "langetermijn" cyberbeveiligingsverplichtingen introduceren in de maanden na oktober, afgestemd op relevantiecategorie. Entiteiten in de categorie "hoog" moeten een veeleisendere tweede golf van vereisten verwachten in Q1 2027.
Ter referentie: het sanctieregime van Italië weerspiegelt de NIS2-richtlijn: tot €10 miljoen of 2% van de totale wereldwijde jaaromzet voor essentiële entiteiten, en tot €7 miljoen of 1,4% van de omzet voor belangrijke entiteiten. ACN is bevoegd om inspecties, monitoring en controles ter plaatse uit te voeren.
Wat de categorisering betekent voor MSPs die diensten verlenen aan Italiaanse klanten
Als u een MSP bent die IT-infrastructuur beheert voor een Italiaanse organisatie die binnen het NIS2-toepassingsgebied valt, zijn er twee invalshoeken om in de gaten te houden.
Ten eerste heeft uw klant mogelijk uw hulp nodig bij de indiening zelf. De beschrijving van het macro-gebied vereist nauwkeurige documentatie van de IT-diensten waarop de organisatie vertrouwt, inclusief uitbestede functies. Als kritieke systemen worden beheerd door uw MSP, is die operationele afhankelijkheid relevant voor de beoordeling van de relevantiecategorie. Wees klaar om gestructureerde servicedocumentatie te leveren.
Ten tweede kan uw eigen organisatie in scope zijn. ICT-servicebeheer voor essentiële of belangrijke entiteiten staat expliciet vermeld in Bijlage II van de NIS2-richtlijn. Als u IT beheert voor Italiaanse organisaties in gereguleerde sectoren, controleer dan of u geregistreerd bent als NIS2-entiteit in Italië. Als u niet geregistreerd bent maar dat wel zou moeten zijn, staat het venster voor zelfregistratie via het ACN-portaal nog open.
Voor een breder overzicht van hoe NIS2 MSPs rechtstreeks beïnvloedt, zie onze post over NIS2 voor MSPs.
Hoe de categoriseringsaanvraag aan te pakken: een praktische checklist
Gebruik dit als startpunt voor klantgesprekken:
Stap 1 — Bevestig de NIS2-registratiestatus. De entiteit moet geregistreerd zijn bij ACN voordat ze categorisering kan indienen. Als de registratie onvolledig is, is dat het eerste probleem om op te lossen.
Stap 2 — Breng activiteiten in kaart per macro-gebied. Werk de 10 macro-gebieden door en identificeer welke van toepassing zijn. De meeste organisaties zullen één of twee macro-gebieden hebben. Documenteer welke macro-gebieden zijn overwogen en uitgesloten, en waarom.
Stap 3 — Beoordeel relevantie zelf. Relevantie wordt bepaald door factoren zoals omvang, kritikaliteit voor de sector, grensoverschrijdende impact en afhankelijkheid van andere entiteiten van de diensten van de organisatie. Wees eerlijk en documenteer de redenering.
Stap 4 — Verzamel ondersteunende documentatie. De steekproefbeoordeling van ACN betekent dat indieningen kunnen worden geauditeerd. Zorg dat organisatieschema's, servicecatalogi en incidentimpactbeoordelingen beschikbaar zijn.
Stap 5 — Dien in vóór 15 juni. Bouw twee weken buffer in vóór de deadline van 30 juni. Technische problemen op het laatste moment met overheidsportalen zijn niet ongewoon.
Stap 6 — Begin onmiddellijk met de gap-analyse voor Artikel 23/24. Wacht niet op feedback van ACN. De deadline van 1 oktober verschuift niet. Begin nu met de gap-analyse ten opzichte van de beveiligingsmaatregelverplichtingen, met de relevantiecategorie die u verwacht te ontvangen als basis.
Als uw klanten dit proces nog niet hebben gestart, is een gestructureerde NIS2 gap-analyse de snelste manier om te bepalen waar ze staan. Voer een snelle scan uit op nis2certify.org/quick-scan om een basisbeeld van hun huidige positie te krijgen vóór de indiening van 30 juni.
Het grotere plaatje: Italië staat niet alleen
De NIS2-conformiteitsbeoordelingsdeadline van België verstreek op 18 april 2026 — de eerste harde handhavingsdeadline in de EU. Het BSI van Duitsland is al actief in toezichtmodus sinds eind 2025. Portugal en Polen hebben NIS2 omgezet in 2025 en bouwen hun handhavingskaders op.
Italië maakt snel werk, maar het patroon is consistent door de hele EU: registratie, categorisering, beveiligingsmaatregelen, audit. De volgorde is overal hetzelfde. Wat verschilt is het specifieke proces en de tijdlijn van de nationale autoriteit.
Als u compliance beheert voor organisaties die actief zijn in meerdere EU-lidstaten, is de land-per-land variatie in tijdlijnen en autoriteitsvereiisten de kern van de operationele uitdaging. Een enkele nalevingspositie die alle rechtsgebieden bevredigt, vereist het in kaart brengen van de specifieke vereisten van elk land ten opzichte van een gemeenschappelijk controlekader — doorgaans ISO 27001 of een equivalent.
Voor een vergelijking van hoe NIS2 aansluit bij ISO 27001, zie onze post over NIS2 vs ISO 27001.
De deadline van 30 juni 2026 in Italië is het meest direct uitvoerbare punt voor consultants met Italiaanse klanten. Daarna verschuift de aandacht naar oktober. De organisaties die nauwkeurig categoriseren, grondig documenteren en nu beginnen met hun gap-analyse, zullen op 1 oktober in een verdedigbare positie verkeren. Degenen die de categoriseringsaanvraag behandelen als een afvinkexercitie, zullen onvoldoende voorbereid zijn wanneer de toezichtactiviteit van ACN in Q4 opschaalt.