Włochy NIS2: Termin kategoryzacji ACN w czerwcu 2026 jest otwarty — Co muszą teraz zrobić konsultanci IT
13 kwietnia 2026 r. włoska Agenzia per la Cybersicurezza Nazionale (ACN) przyjęła determinację 155238/2026 — operacyjne ramy określające każdej zarejestrowanej we Włoszech organizacji objętej NIS2 dokładnie, jak kategoryzować swoje działania i usługi. Od 1 maja portal zgłoszeń jest otwarty. Termin to 30 czerwca 2026 r.
Jeśli doradzacie włoskim firmom lub zarządzacie infrastrukturą IT dla organizacji działających we Włoszech, to nie jest odległe ćwiczenie regulacyjne. Kategoria przyznana przez ACN na podstawie tego zgłoszenia bezpośrednio decyduje o tym, jakie środki bezpieczeństwa mają zastosowanie — i kiedy. Błąd tutaj oznacza, że wasi klienci staną w obliczu surowszych obowiązków, niż jest to konieczne. Przekroczenie terminu oznacza działania nadzorcze.
Oto co musicie wiedzieć.
Włochy spóźniły się z transpozycją — ale teraz nadrabiają szybko
Włochy zakończyły transpozycję NIS2 23 grudnia 2025 r. poprzez Dekret Legislacyjny 138/2024. Ustawa weszła w życie 1 stycznia 2026 r., z terminem 1 października 2026 r. wyznaczonym dla przestrzegania obowiązków w zakresie środków bezpieczeństwa na mocy artykułów 23, 24 i 29.
Ten skompresowany harmonogram oznacza, że włoskie organizacje mają mniej czasu na przygotowanie niż większość odpowiedników z UE. Niemieckie BSI miało miesiące przygotowań, zanim pojawiły się zęby egzekucji. Włoskie ACN przechodzi bezpośrednio z rejestracji do kategoryzacji — a następnie prosto do egzekucji — w ciągu jednego roku kalendarzowego.
Dla konsultantów IT i MSP z włoskimi klientami to nie jest ćwiczenie. Zegar zgodności tyka.
Co faktycznie robi ramy kategoryzacji ACN
Determinacja ACN 155238/2026 wprowadza dwa elementy strukturalne: 10 makro-obszarów i 4 kategorie istotności.
10 makro-obszarów to predefiniowane grupowania działań i usług. Każdy podmiot zarejestrowany w NIS2 musi zidentyfikować, które makro-obszary opisują to, co faktycznie robi. Obejmują one pełny zakres sektorów NIS2: energetykę, transport, infrastrukturę bankową i rynków finansowych, zdrowie, wodę pitną, ścieki, infrastrukturę cyfrową, zarządzanie usługami ICT, administrację publiczną i przestrzeń kosmiczną.
4 kategorie istotności wyrażają poziom wpływu w przypadku incydentu: minimalny, niski, średni lub wysoki. ACN przyznaje istotność na podstawie tego, co podmiot złoży — rozmiar, sektor, krytyczność i wzajemne zależności opisane przez organizację w zgłoszeniu.
Dlaczego ma to znaczenie dla waszej pracy doradczej? Ponieważ kategoria istotności określa głębokość i specyficzność obowiązków bezpieczeństwa, które organizacja musi spełnić przed 1 października. Podmiot kategorii "minimalnej" ma lżejsze wymagania techniczne niż podmiot kategorii "wysokiej". Różnica w inwestycji w zgodność może być znacząca.
Okno portalu: od 1 maja do 30 czerwca 2026 r.
Składanie odbywa się wyłącznie za pośrednictwem platformy ACN (portale ACN). Okno zgłoszeń otworzyło się 1 maja 2026 r. i zamknie się 30 czerwca 2026 r. ACN musi udzielić informacji zwrotnej w ciągu 90 dni od złożenia — z możliwością przedłużenia o dodatkowe 60 dni w przypadku złożonych przypadków.
Oto czego wymaga złożenie: każdy podmiot musi zidentyfikować swój/swoje makro-obszar(y), opisać swoje działania i usługi oraz dokonać samooceny istotności swojego wpływu. ACN następnie weryfikuje to na zasadzie próbkowania i porównuje z podobnymi podmiotami w tym samym sektorze. Rozbieżności spowodują działania następcze.
Trzy praktyczne punkty dla konsultantów:
1. Dokładność jest ważniejsza niż konserwatyzm. Podmioty, które zaniżają swój zakres, aby wpaść w niższą kategorię istotności, są narażone. ACN wyraźnie weryfikuje zgłoszenia względem porównywalnych podmiotów sektorowych. Jeśli dystrybutor energii zgłosi się jako "minimalny", podczas gdy każdy porównywalny podmiot zgłasza się jako "średni", to sygnał do inspekcji.
2. Zgłoszenie jest fundamentem wszystkiego, co nastąpi później. Środki bezpieczeństwa, bieżące obowiązki i ewentualny audit nadzorczy — wszystko to wynika z tego, co zostanie złożone w tym oknie. Starannie dokumentujcie uzasadnienie.
3. Przekroczenie terminu 30 czerwca ma konsekwencje. Ramy egzekucji ACN pozwalają na środki administracyjne i działania nadzorcze wobec podmiotów, które nie złożą zgłoszenia. To nie jest miękki termin.
Co nastąpi dalej: 1 października 2026 r.
Po zakończeniu kategoryzacji i weryfikacji zgłoszeń przez ACN, wchodzi w życie termin 1 października 2026 r. Do tej daty włoskie podmioty NIS2 muszą przestrzegać:
- Artykułu 23 — zarządzanie cyberbezpieczeństwem, w tym odpowiedzialność na poziomie zarządu i zatwierdzone polityki cyberbezpieczeństwa
- Artykułu 24 — środki zarządzania ryzykiem bezpieczeństwa informacji (włoski odpowiednik obowiązków z Artykułu 21 NIS2)
- Artykułu 29 — obowiązki bezpieczeństwa dla bazy danych rejestracji nazw domenowych (istotne dla operatorów DNS i rejestratorów)
ACN będzie również stopniowo wprowadzać dodatkowe "długoterminowe" obowiązki cyberbezpieczeństwa w miesiącach po październiku, skalibrowane według kategorii istotności. Podmioty kategorii "wysokiej" powinny spodziewać się bardziej wymagającej drugiej fali wymagań w I kwartale 2027 r.
Dla odniesienia, włoski reżim sankcji odzwierciedla dyrektywę NIS2: do 10 milionów euro lub 2% całkowitego globalnego rocznego obrotu dla podmiotów kluczowych i do 7 milionów euro lub 1,4% obrotu dla podmiotów ważnych. ACN jest uprawniona do przeprowadzania inspekcji, monitoringu i kontroli na miejscu.
Co kategoryzacja oznacza dla MSP świadczących usługi włoskim klientom
Jeśli jesteście MSP zarządzającym infrastrukturą IT dla włoskiej organizacji objętej zakresem NIS2, są dwa aspekty, na które należy zwrócić uwagę.
Po pierwsze, wasz klient może potrzebować waszej pomocy przy samym zgłoszeniu. Opis makro-obszaru wymaga dokładnej dokumentacji usług IT, na których opiera się organizacja, w tym funkcji zlecanych na zewnątrz. Jeśli krytyczne systemy są zarządzane przez wasz MSP, ta zależność operacyjna jest istotna dla oceny kategorii istotności. Bądźcie gotowi dostarczyć ustrukturyzowaną dokumentację usług.
Po drugie, wasza własna organizacja może być objęta zakresem. Zarządzanie usługami ICT dla podmiotów kluczowych lub ważnych jest wyraźnie wymienione w Załączniku II dyrektywy NIS2. Jeśli zarządzacie IT dla włoskich organizacji w regulowanych sektorach, sprawdźcie, czy jesteście zarejestrowani jako podmiot NIS2 we Włoszech. Jeśli nie jesteście zarejestrowani, a powinniście być, okno do samorejestracji przez portal ACN pozostaje otwarte.
Aby uzyskać szerszy obraz tego, jak NIS2 bezpośrednio wpływa na MSP, przeczytajcie nasz artykuł o NIS2 dla MSP.
Jak podejść do zgłoszenia kategoryzacji: Praktyczna lista kontrolna
Użyjcie tego jako punktu wyjścia do rozmów z klientami:
Krok 1 — Potwierdzenie statusu rejestracji NIS2. Podmiot musi być zarejestrowany w ACN przed złożeniem kategoryzacji. Jeśli rejestracja jest niekompletna, to jest pierwszy problem do rozwiązania.
Krok 2 — Mapowanie działań na makro-obszary. Przejdźcie przez 10 makro-obszarów i zidentyfikujcie te, które mają zastosowanie. Większość organizacji będzie mapować do jednego lub dwóch. Dokumentujcie, które makro-obszary były rozważane i wykluczone, i dlaczego.
Krok 3 — Samoocena istotności. Istotność jest determinowana przez takie czynniki jak wielkość, krytyczność dla sektora, wpływ transgraniczny i zależność innych podmiotów od usług organizacji. Bądźcie szczerzy i dokumentujcie uzasadnienie.
Krok 4 — Gromadzenie dokumentacji pomocniczej. Weryfikacja na zasadzie próbkowania przez ACN oznacza, że zgłoszenia mogą być poddawane audytom. Miewajcie dostępne schematy organizacyjne, katalogi usług i oceny wpływu incydentów.
Krok 5 — Złóż przed 15 czerwca. Zaplanujcie dwutygodniowy bufor przed terminem 30 czerwca. Problemy techniczne w ostatniej chwili z portalami rządowymi nie są rzadkością.
Krok 6 — Natychmiast rozpocznijcie analizę luk dla Artykułów 23/24. Nie czekajcie na informację zwrotną od ACN. Termin 1 października się nie przesuwa. Rozpocznijcie teraz analizę luk względem obowiązków w zakresie środków bezpieczeństwa, używając oczekiwanej kategorii istotności jako punktu bazowego.
Jeśli wasi klienci jeszcze nie rozpoczęli tego procesu, ustrukturyzowana analiza luk NIS2 jest najszybszym sposobem na określenie, gdzie się znajdują. Wykonajcie szybkie skanowanie na nis2certify.org/quick-scan, aby uzyskać bazowy obraz ich aktualnej postawy przed zgłoszeniem 30 czerwca.
Szerszy obraz: Włochy nie są same
Termin oceny zgodności NIS2 Belgii minął 18 kwietnia 2026 r. — pierwszy twardy termin egzekucji w UE. Niemieckie BSI jest w aktywnym trybie nadzoru od końca 2025 r. Portugalia i Polska dokonały transpozycji NIS2 w 2025 r. i budują swoje ramy egzekucji.
Włochy szybko się poruszają, ale wzorzec jest spójny w całej UE: rejestracja, kategoryzacja, środki bezpieczeństwa, audit. Kolejność jest taka sama wszędzie. To, co się różni, to specyficzny proces i harmonogram organu krajowego.
Jeśli zarządzacie zgodnością dla organizacji działających w wielu państwach członkowskich UE, różnice kraj po kraju w harmonogramach i wymaganiach organów to centralne wyzwanie operacyjne. Jedna postawa zgodności spełniająca wszystkie jurysdykcje wymaga mapowania konkretnych wymagań każdego kraju względem wspólnych ram kontrolnych — zazwyczaj ISO 27001 lub odpowiednika.
Aby porównać, jak NIS2 jest zgodne z ISO 27001, przeczytajcie nasz artykuł o NIS2 vs ISO 27001.
Termin 30 czerwca 2026 r. we Włoszech jest najbardziej bezpośrednio realizowalnym elementem dla konsultantów z włoskimi klientami. Potem uwaga przeniesie się na październik. Organizacje, które dokładnie kategoryzują, starannie dokumentują i rozpoczynają analizę luk teraz, dotrą do 1 października w pozycji do obrony. Te, które potraktują zgłoszenie kategoryzacji jako ćwiczenie odhaczania, zostaną przygotowane niewystarczająco, gdy aktywność nadzorcza ACN wzrośnie w IV kwartale.