Blog / Italiano / Hai registrato la tua azienda sul portal
NIS2 cybersecurity decreto legislativo 138 2024 ACN Compliance IT

Hai registrato la tua azienda sul portale ACN: e adesso? Guida pratica all'implementazione NIS2

9 min read
La registrazione sul portale ACN è solo il primo passo: ora iniziano gli obblighi operativi veri. Questa guida pratica spiega cosa fare concretamente dopo la registrazione, dalle scadenze 2026 alle misure tecniche dell'Art. 21, fino alla governance e all'incident reporting verso CSIRT Italia.
Hai registrato la tua azienda sul portale ACN: e adesso? Guida pratica all'implementazione NIS2

La registrazione sul portale ACN è solo l'inizio: ora inizia il vero lavoro

Hai completato la registrazione sul portale ACN NIS2 entro la scadenza prevista. Bene — hai fatto la prima cosa giusta. Ma se pensi che quello fosse il traguardo, sei in buona compagnia con centinaia di aziende italiane che oggi si trovano nella stessa situazione: registrate, consapevoli degli obblighi, ma ferme sul punto di partenza operativo.

La verità è che la registrazione sul portale dell'Agenzia per la Cybersicurezza Nazionale non esaurisce nessun obbligo previsto dal decreto legislativo 138/2024 — il recepimento italiano della Direttiva NIS2. È semplicemente il momento in cui ACN ti riconosce formalmente come soggetto essenziale o importante, e da quel momento in poi scatta un calendario preciso di adempimenti tecnici, organizzativi e di governance che culmina nelle scadenze operative NIS2 ottobre 2026.

Questo articolo è pensato per chi sa già cos'è NIS2, ha già fatto la registrazione, e ora ha bisogno di capire concretamente cosa fare, in quale ordine, e come non perdere tempo prezioso nei prossimi mesi.

Cosa cambia dopo la registrazione: gli obblighi che scattano

Sei conforme NIS2? Scoprilo con un'analisi gratuita
Trasformare gli obblighi dell'Art. 21 in un piano tecnico concreto richiede competenze specifiche. I nostri esperti di cybersecurity e compliance ti aiutano a mappare le misure mancanti e a definire le priorità prima delle scadenze 2026.
Richiedi la tua analisi gratuita

Con la registrazione completata, la tua organizzazione entra ufficialmente nel perimetro di applicazione del NIS2 decreto legislativo 138/2024. Da questo momento, ACN può avviare ispezioni, richiedere documentazione e — in caso di incidente significativo — verificare se hai adottato le misure previste dagli articoli 21 e 23.

Gli obblighi che scattano dopo la registrazione si articolano su tre livelli distinti:

  • Misure tecniche e organizzative (Art. 21): devi implementare un set minimo di controlli di sicurezza definiti per legge, dall'autenticazione multifattore alla gestione dei fornitori.
  • Obblighi di governance e management (Art. 23): il tuo consiglio di amministrazione o il management di vertice deve approvare le misure, formarsi in materia di cybersicurezza e rispondere personalmente in caso di violazioni.
  • Incident reporting verso CSIRT Italia: devi strutturare un processo interno per rilevare, classificare e notificare gli incidenti significativi entro le finestre temporali previste (pre-notifica entro 24 ore, notifica completa entro 72 ore, report finale entro 30 giorni).

Una differenza importante: i soggetti essenziali sono soggetti a vigilanza proattiva e continua da parte di ACN, con possibilità di ispezioni senza preavviso e sanzioni fino al 2% del fatturato globale. I soggetti importanti sono invece sottoposti a vigilanza reattiva — ma le sanzioni rimangono significative (fino all'1,4% del fatturato) e scattano comunque in caso di incidente o mancata compliance verificata.

Le scadenze operative 2026 che non puoi ignorare

Il calendario degli adempimenti NIS2 per le aziende italiane è scandito da tre date critiche nel 2026 che, se ignorate, espongono l'organizzazione a sanzioni immediate e — in caso di incidente — a responsabilità dirette del management.

Gennaio 2026: entrata in vigore piena degli obblighi di notifica degli incidenti. Da questa data, qualsiasi incidente significativo che non viene notificato a CSIRT Italia entro i termini previsti costituisce già una violazione sanzionabile. Se non hai ancora strutturato il processo interno di incident detection e reporting, sei già in ritardo.

Aprile–Giugno 2026: ACN prevede l'avvio della fase di verifica della compliance per i soggetti essenziali nei settori ad alta criticità (energia, trasporti, infrastrutture digitali, settore bancario). Le aziende in questi settori che non hanno completato l'implementazione tecnica rischiano le prime ispezioni.

Ottobre 2026: questa è la scadenza finale per la piena compliance NIS2 in Italia. Entro questa data, tutti i soggetti — essenziali e importanti — devono poter dimostrare ad ACN di aver implementato le misure tecniche dell'Art. 21, di aver completato la formazione del management prevista dall'Art. 23 e di avere un processo documentato di gestione degli incidenti. Da ottobre 2026, il regime sanzionatorio è pienamente operativo.

Considerando che un'implementazione NIS2 completa — dalla gap analysis alla documentazione finale — richiede mediamente tra i 4 e gli 8 mesi a seconda della complessità organizzativa, chi non inizia oggi rischia concretamente di arrivare fuori tempo massimo.

Gap analysis: il primo passo dopo la registrazione

Prima di implementare qualsiasi misura tecnica, hai bisogno di sapere dove sei rispetto a dove devi essere. Questo è il senso della NIS2 gap analysis: un assessment strutturato che mappa lo stato attuale della tua sicurezza rispetto ai requisiti del D.Lgs. 138/2024, identifica le lacune prioritarie e produce un piano d'azione con tempi e costi stimati.

Una gap analysis NIS2 efficace deve coprire almeno questi ambiti:

  • Inventario degli asset critici e delle dipendenze dai fornitori
  • Stato attuale delle misure tecniche previste dall'Art. 21
  • Livello di awareness e formazione del management (Art. 23)
  • Esistenza e maturità di un processo di incident response
  • Documentazione di policy, procedure e piani di business continuity
  • Sicurezza della supply chain e contratti con i fornitori critici

Il risultato della gap analysis non è un documento teorico: è una roadmap operativa che ti dice esattamente cosa fare, in quale ordine e con quali risorse. Senza questo punto di partenza, molte aziende implementano controlli ridondanti dove non servono e trascurano aree critiche dove il rischio è reale.

Il team di supporto all'implementazione NIS2 di Webristle esegue gap analysis certificate con output strutturato e prioritizzato, disponibile sia in sede — con presenza operativa a Roma e Bologna — sia completamente da remoto per aziende distribuite sul territorio.

Le misure tecniche obbligatorie dell'Art. 21: cosa devi implementare concretamente

L'Art. 21 NIS2 è il cuore tecnico della direttiva. Definisce un set di misure minime che ogni soggetto — essenziale o importante — deve adottare in proporzione al proprio profilo di rischio. Non si tratta di scegliere tra le misure: devono essere tutte presenti e documentate.

Ecco le principali misure tecniche NIS2 che devi implementare:

  • Gestione del rischio cyber: una metodologia documentata per identificare, valutare e trattare i rischi relativi alla sicurezza dei sistemi informativi e di rete.
  • Autenticazione multifattore (MFA): obbligatoria per tutti gli accessi ai sistemi critici, inclusi gli accessi remoti e privilegiati.
  • Crittografia e protezione dei dati in transito e a riposo: con particolare attenzione ai dati dei clienti e alle comunicazioni operative.
  • Sicurezza della supply chain: valutazione dei fornitori critici, clausole contrattuali specifiche, monitoraggio continuo.
  • Business continuity e disaster recovery: piani documentati, testati e aggiornati, con RTO e RPO definiti per i servizi critici.
  • Gestione delle vulnerabilità: processo strutturato di vulnerability management con patching regolare e prioritizzato.
  • Sicurezza delle risorse umane: procedure di onboarding/offboarding sicure, formazione periodica, gestione degli accessi privilegiati.
  • Monitoraggio e logging: sistemi SIEM o equivalenti per il monitoraggio continuo degli eventi di sicurezza e la conservazione dei log.

Per i soggetti essenziali, ACN si aspetta un livello di maturità più elevato su ciascuna di queste aree, con documentazione dettagliata e capacità di dimostrare l'efficacia dei controlli. Per i soggetti importanti, il livello richiesto è proporzionato alla dimensione e alla criticità del servizio, ma le misure devono comunque essere tutte presenti.

Gli obblighi di governance e management (Art. 23): cosa deve fare il tuo board

Uno degli aspetti più sottovalutati del NIS2 articolo 23 è la responsabilità diretta del management. La direttiva — e il D.Lgs. 138/2024 — non lascia spazio a interpretazioni: il consiglio di amministrazione, l'amministratore delegato e i dirigenti di vertice sono personalmente responsabili della NIS2 governance aziendale.

Cosa significa in pratica per il tuo board:

  • Approvazione formale delle misure di sicurezza: il management deve approvare con atto formale le politiche di sicurezza, il piano di gestione del rischio e il piano di incident response.
  • Formazione obbligatoria: i dirigenti devono seguire programmi di formazione in materia di cybersicurezza con frequenza periodica. La formazione deve essere documentata.
  • Supervisione attiva: non basta delegare tutto all'IT o al CISO. Il management deve dimostrare di aver supervisionato l'implementazione e di essere informato sullo stato della compliance.
  • Responsabilità sanzionatoria: in caso di violazione grave, ACN può inibire temporaneamente i dirigenti responsabili dall'esercizio delle loro funzioni manageriali — una misura senza precedenti nel panorama normativo italiano sulla cybersicurezza.

Questo significa che la NIS2 non è più solo un problema dell'IT department. È una questione di governance aziendale che deve essere portata al board con la stessa serietà con cui si trattano le questioni di compliance finanziaria o legale.

Incident reporting: come strutturare il processo di notifica a CSIRT Italia

Il processo di notifica incidenti CSIRT Italia è uno degli obblighi più immediati e operativi della NIS2. Da gennaio 2026, ogni incidente che soddisfa i criteri di "significatività" definiti da ACN deve essere notificato secondo un processo in tre fasi.

Per strutturare correttamente il processo interno hai bisogno di:

  1. Definire i criteri di classificazione degli incidenti: non ogni evento di sicurezza è un incidente notificabile. Devi avere criteri chiari per distinguere un incidente significativo da un evento ordinario.
  2. Identificare i responsabili interni: chi decide se un incidente è notificabile? Chi redige la notifica? Chi la invia a CSIRT Italia? Questi ruoli devono essere assegnati e documentati prima che un incidente accada.
  3. Pre-notifica entro 24 ore: appena viene rilevato un incidente significativo, devi inviare una pre-notifica a CSIRT Italia con le informazioni disponibili al momento. Non è richiesta la completezza — è richiesta la tempestività.
  4. Notifica completa entro 72 ore: con l'analisi dell'impatto, le misure di contenimento adottate e una stima iniziale delle cause.
  5. Report finale entro 30 giorni: con l'analisi root cause, le misure correttive implementate e le azioni preventive per evitare recidive.

Il punto critico è che questo processo deve esistere e funzionare prima dell'incidente, non durante. Aziende che non hanno un playbook di incident response documentato e testato non riescono materialmente a rispettare i tempi previsti quando si trovano a gestire un attacco reale.

Sei bloccato a metà percorso? Come sbloccarsi con il supporto giusto

Se sei arrivato fin qui e stai pensando "sì, ma da dove comincio concretamente?" — è normale. La complessità della NIS2 è reale, e la distanza tra aver letto la normativa e saperla implementare operativamente in una specifica organizzazione è significativa.

Le situazioni più comuni in cui le aziende si bloccano dopo la registrazione ACN sono:

  • Non sanno come condurre una gap analysis interna senza un framework di riferimento certificato
  • Il team IT non ha le competenze per implementare alcuni controlli tecnici specifici (SIEM, vulnerability management, MFA su sistemi legacy)
  • Il management non sa come strutturare la governance richiesta dall'Art. 23 senza esporsi a responsabilità
  • Non hanno un legal counsel con esperienza specifica sulla NIS2 per la parte contrattuale (supply chain, DPA, etc.)
  • Hanno iniziato l'implementazione internamente ma si sono resi conto che mancano risorse o competenze per completarla entro le scadenze

In questi casi, la scelta più efficiente — sia in termini di tempo che di costi — è affidarsi a un partner specializzato che copra sia la dimensione tecnica che quella legale. Webristle offre consulenza tecnica e legale NIS2 con un team operativo in Italia, con sedi a Roma e Bologna e disponibilità per assessment in sede o da remoto su tutto il territorio nazionale. Il team combina competenze di cybersecurity engineering, legal compliance e project management NIS2, coprendo l'intero percorso dalla gap

Sei conforme NIS2? Scoprilo con un'analisi gratuita
Trasformare gli obblighi dell'Art. 21 in un piano tecnico concreto richiede competenze specifiche. I nostri esperti di cybersecurity e compliance ti aiutano a mappare le misure mancanti e a definire le priorità prima delle scadenze 2026.
Richiedi la tua analisi gratuita

Related Articles

NIS2 e fornitori: sei obbligato a dichiarare la tua supply chain all'ACN entro ottobre 2026
NIS2 e fornitori: sei obbligato a dichiarare la tua supply chain all'ACN entro ottobre 2026
Con la Determinazione ACN 127437/2026 del 13 aprile 2026, le aziende soggette NIS2 devono mappare e …
9 min read
NIS2 e responsabilità del management: cosa rischiano personalmente amministratori e dirigenti italiani
NIS2 e responsabilità del management: cosa rischiano personalmente amministratori e dirigenti italiani
L'Art. 23 del D.Lgs. 138/2024 prevede sanzioni personali fino a 10 milioni di euro e la sospensione …
9 min read
NIS2 in Italia: sei nella lista ACN? Come scoprirlo e cosa fare prima di ottobre 2026
NIS2 in Italia: sei nella lista ACN? Come scoprirlo e cosa fare prima di ottobre 2026
Ottobre 2026 si avvicina e molte aziende italiane non sanno ancora se sono obbligate dalla NIS2. Sco…
9 min read