Dal 15 gennaio 2026 entra in applicazione l’aggiornamento delle “specifiche di base” definite dall’Agenzia per la Cybersicurezza Nazionale nell’ambito NIS2. È un passaggio che segna il passaggio definitivo dalla teoria alla pratica: requisiti più chiari, scadenze misurabili, aspettative verificabili. E soprattutto un messaggio netto: la sicurezza non è più una materia “solo tecnica”, ma una componente di governance e di continuità operativa.
Per molte organizzazioni, il rischio principale non è la complessità normativa: è la falsa sensazione di essere già protette perché “ci sono i tool” o perché “non è mai successo niente”. NIS2, invece, ragiona per impatti: servizi critici, filiera, disponibilità, integrità e riservatezza. Quando un incidente colpisce sistemi o fornitori rilevanti, non cambia solo il funzionamento dell’IT: cambia la capacità dell’azienda di consegnare, produrre, rispondere ai clienti, rispettare contratti.
La domanda utile, oggi, non è “siamo conformi?” ma: quanto è resiliente l’organizzazione quando qualcosa va storto? E quanto velocemente riesce a dimostrarlo, in modo credibile, a clienti e stakeholder?
Cosa cambia con le “specifiche di base” ACN: struttura chiara e doppio binario
L’aggiornamento introduce un impianto operativo basato su quattro allegati e su un doppio binario: soggetti importanti e soggetti essenziali. In sintesi:
- Allegati sulle misure di sicurezza di base (differenziate per tipologia di soggetto)
- Allegati sugli incidenti significativi di base e sugli obblighi di notifica (anche qui differenziati)
La distinzione non è accademica: comporta un livello di aspettative diverso e, quindi, un diverso livello di “prova” richiesta.
Il punto più sottovalutato: definire i “sistemi rilevanti”
Le specifiche richiamano un concetto cruciale: non tutto è uguale. I “sistemi informativi e di rete rilevanti” sono quelli la cui compromissione può produrre un impatto significativo su riservatezza, integrità e disponibilità dei servizi e delle attività che rendono l’organizzazione soggetto NIS.
Qui si giocano due errori tipici:
- Perimetro gonfiato: si include tutto “per sicurezza”, rendendo ingestibile controllo e audit.
- Perimetro ridotto: si include troppo poco, creando fragilità e difficoltà nel dimostrare scelte coerenti.
Il perimetro corretto è quello che protegge la continuità del servizio e la fiducia commerciale, senza appesantire l’operatività.
Le scadenze: la vera leva per muoversi ora (e non dopo)
Le tempistiche decorrono dalla comunicazione di inserimento nell’elenco dei soggetti NIS. E sono due finestre diverse, con un messaggio implicito molto chiaro: prima si diventa operativi sugli incidenti, poi si completa l’adozione delle misure.
9 mesi: essere pronti a gestire e notificare gli incidenti significativi
Questa è la scadenza “più pericolosa” perché non riguarda un documento: riguarda una capacità. Significa essere in grado di:
- riconoscere un incidente e classificarlo correttamente (severità e impatti)
- attivare una catena di escalation (chi decide cosa, e quando)
- avere procedure e runbook praticabili
- garantire reperibilità e risposta (anche in orari critici)
- produrre evidenze di gestione e decisione
Se questo non è pronto, l’organizzazione rischia di trovarsi nel punto peggiore: incidente reale + pressione di notifica + informazioni incomplete. È il contesto in cui si commettono gli errori più costosi: ritardi, comunicazioni incoerenti, ripartenze affrettate, perdita di controllo narrativo verso clienti e filiera.
18 mesi: adottare le misure di sicurezza di base
La finestra più ampia serve a realizzare un’adozione strutturale. Il modo più efficace non è “fare tutto”: è costruire un piano in cui le misure generano effetti misurabili su resilienza e produttività.
In genere, le azioni più impattanti sono quelle che riducono incidenti ricorrenti e tempi di ripartenza:
- controllo degli accessi e identità
- gestione patch e vulnerabilità
- logging e monitoraggio con responsabilità chiare
- backup e ripristino realmente testati
- gestione delle configurazioni e dei cambiamenti
- gestione della supply chain (fornitori critici e requisiti minimi)
Focus: nomi di dominio, registry e registrar
Per soggetti specifici (gestori registri e servizi di registrazione dei nomi di dominio) viene rafforzata la necessità di garantire sicurezza e resilienza dei sistemi DNS e di adottare politiche e procedure pubbliche approvate dai vertici. È un tema che incide direttamente su disponibilità, continuità e fiducia: quando il dominio “cade”, non cade un sito. Cade un punto di contatto strategico, spesso legato a servizi e identità digitali.
Regime transitorio: attenzione a un errore comune
Per alcuni soggetti già inquadrati in regimi precedenti (es. operatori di servizi essenziali identificati prima dell’entrata in vigore del decreto NIS), è prevista continuità con misure già adottate, per quanto compatibili. Questo però non va interpretato come “siamo a posto”: va letto come opportunità per valorizzare ciò che esiste, aggiornando e rendendo coerente il sistema con le nuove specifiche.
Come trasformare NIS2 in un vantaggio: la strategia che evita burocrazia
Le organizzazioni che escono più forti da questa fase sono quelle che fanno una scelta semplice: costruire un sistema sostenibile, non una collezione di adempimenti.
Qui un collegamento pratico accelera tutto: ISO/IEC 27001 e ISO/IEC 27002.
- ISO 27001 offre il modello di sistema di gestione (risk management, governance, audit interni, miglioramento continuo)
- ISO 27002 offre linee guida e un catalogo di controlli aggiornato (93 controlli raggruppati in quattro temi: organizzativi, persone, fisici, tecnologici) e introduce attributi che aiutano a gestire priorità, applicabilità e obiettivi dei controlli in modo più flessibile
Questo approccio riduce sprechi e “carta fine a sé stessa” perché impone un collegamento costante tra:
- perimetro e servizi critici
- rischi reali e misure
- controlli e evidenze
- miglioramento e risultati
In altre parole: non si lavora “per l’audit”, si lavora per essere più stabili, più veloci, più affidabili. E il mercato lo percepisce subito, perché si traduce in un vantaggio concreto: meno interruzioni, meno imprevisti, più continuità nei servizi.
Una domanda che vale più di un checklist
Se domani un incidente colpisse un sistema o un fornitore rilevante, l’organizzazione riuscirebbe a:
- capire rapidamente cosa sta succedendo,
- contenere l’impatto,
- ripristinare i servizi critici,
- comunicare in modo controllato e coerente,
- dimostrare decisioni, responsabilità ed evidenze?
NIS2, con le specifiche di base, spinge esattamente in questa direzione. E chi si muove con metodo evita la rincorsa e trasforma l’obbligo in una leva competitiva.
Per chi desidera impostare un percorso NIS2 concreto e sostenibile — con un perimetro chiaro, priorità corrette e un modello di governance difendibile in audit — è possibile richiedere un Assessment NIS2 & ISO 27001/27002: una valutazione strutturata che restituisce una roadmap esecutiva (9 mesi: incident management / 18 mesi: misure), evidenze minime attese e interventi ad alto impatto per resilienza e continuità del servizio.
