Il primo passo concreto, e obbligatorio, per la conformità alla Direttiva NIS2 è già stato fissato: entro il 31 luglio 2025, ogni soggetto essenziale o importante dovrà aver completato la registrazione nel portale dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Un adempimento che qualcuno ancora percepisce come una semplice formalità amministrativa, ma che rappresenta in realtà la porta d’accesso ufficiale alla vigilanza pubblica sul rischio cyber. Chi non compila, non esiste. Ma soprattutto, chi ignora, è già fuori norma.

L’Agenzia chiede dati specifici: indirizzamento IP e domini internet, Stati membri in cui si opera, composizione del CdA, nominativi dei responsabili ex art. 38 comma 5, un sostituto di contatto, un recapito di segreteria per garantire la reperibilità continua ed un eventuale organigramma.

Nessuna richiesta eccessiva, ma tutti dati critici per costruire il perimetro di sorveglianza nazionale.

In pratica, è il primo vero “biglietto da visita” con cui un’impresa dichiara il proprio assetto cyber all’autorità. Non farlo equivale a restare invisibili fino a quando non succede qualcosa, e a quel punto, è troppo tardi.

Il punto è semplice: non si entra in NIS2 “perché lo dice la legge”, ma perché è cambiato il modo in cui il rischio informatico impatta sul business. E i Board sono chiamati, oggi più che mai, a guidare questa trasformazione con la consapevolezza che il rischio cyber non è più un tema delegabile, ma una leva strategica che incide sulla resilienza, sulla reputazione e, in ultima analisi, sul valore dell’organizzazione.

Questo articolo non è un riepilogo normativo. È un avviso chiaro ai vertici aziendali: le scadenze stanno arrivando, ma ciò che davvero conta è ciò che succede dopo.

Analizziamole nel dettaglio per non farsi trovare impreparati.

Dicembre 2025: dalla compliance formale alla responsabilità sostanziale

Completato il countdown verso il 31 luglio, si inizia un’altra tappa importante: la data del 31 dicembre 2025 rappresenta un importante spartiacque nell’attuazione della Direttiva NIS2, segnando il momento in cui la conformità normativa inizia a produrre effetti concreti e misurabili sul piano operativo.

A partire da tale scadenza, tutti i soggetti classificati come “essenziali” o “importanti” saranno tenuti a notificare obbligatoriamente gli incidenti significativi che impattino, anche potenzialmente, la disponibilità, l’integrità o la riservatezza dei servizi erogati.

Non si tratta di un mero adempimento procedurale, ma dell’introduzione di un vero e proprio obbligo di trasparenza attiva nei confronti dell’Agenzia per la Cybersicurezza Nazionale (ACN), finalizzato a rafforzare la resilienza collettiva e a garantire la tempestiva gestione coordinata delle crisi cyber a livello nazionale ed europeo.

Tuttavia, per essere in grado di rispettare tale obbligo, la capacità di notifica non può prescindere da una solida capacità di rilevazione, analisi e risposta agli eventi.

Questo significa che non basta riconoscere un incidente quando ormai se ne subiscono gli effetti: è necessario dotarsi di un sistema strutturato, preventivo e reattivo, in grado di individuare tempestivamente segnali di compromissione, di attivarne l’analisi tecnica e organizzativa, e di avviare le contromisure necessarie, tanto sul piano operativo quanto comunicativo.

In quest’ottica, diventa fondamentale implementare un Piano di Risposta agli Incidenti (Incident Response Plan – IRP) che sia realmente operativo, non generico, non teorico, e soprattutto non relegato a un documento statico inserito in un cassetto o in una cartella condivisa mai aggiornata.

Un piano efficace deve delineare in modo chiaro chi fa cosa, quando, come e con quali strumenti. Deve definire i ruoli e le responsabilità dei soggetti coinvolti nella gestione dell’incidente, stabilire le modalità di escalation interna, i canali di comunicazione con l’esterno, e integrare strumenti tecnologici in grado di supportare la rilevazione, la classificazione e la tracciabilità degli eventi.

Ma non basta. L’IRP deve essere mantenuto aggiornato nel tempo, testato attraverso esercitazioni periodiche, e allineato con la realtà tecnica e organizzativa dell’impresa. Un piano datato o mal strutturato può generare disfunzioni durante un’emergenza, rallentando l’intervento, compromettendo la trasparenza verso l’autorità competente e aggravando l’impatto dell’incidente stesso.

La mancata o ritardata notifica, o la trasmissione di informazioni incomplete o non verificate, comporta sanzioni significative in termini economici e reputazionali, con possibili conseguenze anche in termini di responsabilità civile e penale per i vertici aziendali, laddove emergessero elementi di colpa grave o omissione nella governance della sicurezza.

In questo scenario, dicembre 2025 non rappresenta un semplice checkpoint normativo, ma il momento in cui ogni azienda dovrà dimostrare di aver trasformato la compliance da atto formale a capacità operativa, passando da un approccio statico e documentale a un sistema di resilienza integrata in grado di proteggere gli interessi dell’impresa, dei suoi clienti e dell’ecosistema in cui opera.

Le 16 determinazioni di ACN: l’architettura operativa della compliance

Se l’obbligo di notifica degli incidenti rappresenta il banco di prova della capacità di reazione, la vera infrastruttura della conformità alla Direttiva NIS2 è costituita da un corpus articolato di misure tecniche e organizzative: le cosiddette 16 determinazioni emanate da ACN.

Queste non sono semplici checklist o linee guida da recepire passivamente, ma costituiscono un modello operativo strutturato con cui le organizzazioni devono confrontarsi per costruire, o riprogettare, il proprio sistema di gestione della sicurezza informatica.

Ogni determinazione tocca una componente critica del ciclo di vita della sicurezza. Non si tratta quindi di un approccio monolitico o centralizzato, bensì di una visione sistemica e trasversale, che richiede l’adozione di policy, procedure, ruoli e strumenti distribuiti in maniera coerente tra IT, Risk Management, HR, Legal, Operations, e naturalmente il vertice aziendale.

Tra tutte, spicca per impatto strategico la determinazione GV.PO-01, che impone l’obbligo di adottare formalmente una politica di gestione del rischio cyber coerente con il contesto operativo, con la strategia generale dell’organizzazione e con le priorità definite dalla leadership.

Questo punto non va sottovalutato: non si tratta di una mera formalità burocratica, ma di un passaggio che chiede all’impresa di esplicitare in modo chiaro e pubblico la propria postura rispetto al rischio informatico, allineandola a quella di qualunque altro rischio rilevante (es. rischio operativo, legale, reputazionale).

La politica di cyber security deve quindi essere comunicata in modo efficace, adottata come riferimento per tutte le funzioni coinvolte, e soprattutto sostenuta attivamente dal Board, che ne diventa garante e primo interlocutore.

Questo significa che i vertici aziendali non possono più limitarsi a un’approvazione “di cortesia”, ma devono comprenderne il contenuto, verificarne l’efficacia e assicurarne la coerenza con le altre strategie di gestione del rischio aziendale.

Il quadro delle determinazioni si estende poi a tutte le aree chiave: si va dalla gestione degli asset informatici alla protezione della catena di fornitura, dalla sicurezza fisica ai sistemi di identity management, dalla formazione del personale al monitoraggio continuo degli eventi, dalla gestione delle vulnerabilità alla pianificazione della continuità operativa.

Ogni ambito richiede non solo la predisposizione di documenti, ma soprattutto la messa in opera di processi stabili, tracciabili e sottoponibili ad audit interno ed esterno.

Il termine fissato per l’adozione completa delle determinazioni è il 30 settembre 2026, ma l’entità del lavoro da compiere è tale da richiedere, già oggi, un approccio programmatico e una pianificazione progressiva.

In particolare, per le organizzazioni meno strutturate, o per quelle cresciute in modo disomogeneo, può risultare necessario ridisegnare l’intera governance della sicurezza e avviare percorsi di investimento tecnologico e culturale di medio periodo.

Pensare di concentrare tutto il lavoro negli ultimi sei mesi sarebbe un errore strategico. Le determinazioni non sono un’“aggiunta” alla compliance, bensì la sua ossatura.

Rappresentano ciò che resterà dopo ogni scadenza e ogni adempimento formale, diventando la misura concreta della capacità di un’organizzazione di prevenire, gestire e reagire in un contesto di rischio digitale permanente.

Un punto di svolta: aprile 2026 e la nascita della compliance permanente

Nel percorso di implementazione della Direttiva NIS2, il mese di aprile 2026 rappresenta un passaggio cruciale sotto il profilo strategico, anche se finora poco valorizzato nel dibattito pubblico. Entro quella data, infatti, l’Agenzia per la Cybersicurezza Nazionale (ACN) è chiamata a rilasciare due strumenti fondamentali, destinati a ridefinire il perimetro stesso del concetto di compliance.

Il primo è il modello ufficiale di categorizzazione delle attività e dei servizi, che consentirà alle organizzazioni di mappare e classificare in modo uniforme i propri processi e asset rispetto agli obblighi introdotti dalla normativa.

Questo strumento rappresenterà una vera e propria “grammatica comune”, finalizzata a superare le ambiguità interpretative che oggi, in assenza di criteri univoci, rischiano di generare approcci disomogenei e inadeguati tra settori, territori e dimensioni aziendali.

Il secondo è l’elenco degli obblighi permanenti, ovvero il set minimo, ma vincolante, di documenti, attività, verifiche e presidi che ciascun soggetto dovrà mantenere attivi nel tempo, anche una volta completata la fase di implementazione delle determinazioni.

Con questo passaggio, la compliance cessa di essere un esercizio “a progetto” per diventare un sistema gestionale ciclico, che richiede presidio continuo, riesame periodico e capacità di adattamento all’evoluzione del rischio.

Per i Consigli di Amministrazione e i Comitati di Controllo e Rischi, questo implica un cambio di prospettiva sostanziale. La compliance NIS2 non si esaurisce con il rispetto delle scadenze o con l’adozione formale delle policy richieste, ma si configura sempre più come un processo permanente di gestione del rischio cyber, paragonabile, per struttura e impatto, a quanto avviene con i sistemi di gestione certificati (come l’ISO/IEC 27001) o con il Modello di Organizzazione e Gestione previsto dal D.lgs. 231/2001.

La pubblicazione di questi due strumenti da parte di ACN avrà quindi una doppia funzione: da un lato fornirà le basi per costruire e documentare in modo solido e tracciabile la conformità, dall’altro definirà le attività da mantenere in essere vita natural durante, ponendo le condizioni per una vigilanza attiva e, se necessario, per l’esercizio di poteri ispettivi e sanzionatori.

In questo contesto, le imprese più mature inizieranno fin da subito a strutturare un modello interno di categorizzazione, abbinato a un sistema di documentazione che consenta di mappare, aggiornare e conservare nel tempo le evidenze della propria postura di sicurezza.

Sarà proprio questa capacità, non tanto di “fare” quanto di dimostrare in modo continuo e coerente di essere in regola, a diventare il vero valore competitivo nei confronti di clienti, partner, investitori e organismi di controllo.

Aprile 2026, in sintesi, segnerà il superamento del paradigma “compliance come scadenza” a favore di un modello “compliance come funzione aziendale permanente”, perfettamente integrata nella governance del rischio, nella pianificazione strategica e nei sistemi di audit e controllo interno.

Governance, rischio e continuità: la posta in gioco per i Board

Considerare la Direttiva NIS2 come un semplice adempimento tecnico sarebbe un errore di prospettiva. La normativa nasce infatti da un presupposto più ampio e strutturale: rafforzare la resilienza sistemica dell’Unione Europea di fronte a un contesto internazionale in cui le minacce informatiche non solo aumentano in frequenza e complessità, ma si intrecciano sempre più con dinamiche geopolitiche, economiche e industriali.

In questo scenario, la cyber security non può più essere confinata a un tema specialistico, riservato a una funzione tecnica o a un progetto da affidare a un fornitore esterno. Al contrario, si afferma oggi come una delle leve strategiche principali per la salvaguardia della continuità operativa, della reputazione aziendale e della fiducia degli stakeholder.

E per questo, diventa una responsabilità primaria dei vertici.

I Consigli di Amministrazione, i Comitati per il Controllo e i Rischi, così come i Chief Executive Officer e i General Manager, sono chiamati ad assumere un ruolo attivo, consapevole e non delegabile nella supervisione delle politiche di sicurezza informatica.

Non si tratta di intervenire nel dettaglio tecnico, ma di fornire indirizzo strategico, presidiare i processi di valutazione e investimento, assicurare che le scelte in ambito cyber siano coerenti con gli obiettivi di business e con l’insieme delle politiche di gestione del rischio d’impresa.

Questo passaggio richiede un cambiamento culturale profondo, che vada oltre la reazione all’urgenza e che sposti il focus dal rispetto formale degli obblighi alla costruzione di una vera cyber resilience aziendale, fatta di governance, processi, strumenti e soprattutto consapevolezza.

La Direttiva NIS2 non introduce un nuovo adempimento, ma un nuovo paradigma. Un paradigma in cui la conformità non è un traguardo, ma un punto di partenza. In cui la sicurezza informatica non è più un costo, ma un asset intangibile che tutela il valore complessivo dell’organizzazione. In cui il Board non può più “appaltare il problema”, ma deve assumere la responsabilità della visione e del controllo.

Affrontare oggi questa trasformazione con lucidità e tempestività significa prevenire vulnerabilità future, ridurre il rischio di impatti sistemici, e posizionare l’impresa in modo più solido, affidabile e competitivo. Significa, in sintesi, connettere la sicurezza al valore. E, soprattutto, al futuro.

La compliance non è il traguardo, è l’inizio

Siamo davanti a un cambio di paradigma. La Direttiva NIS2 non è una grana da scaricare sull’IT, né una montagna di scartoffie da produrre per evitare sanzioni. È un obbligo normativo, sì, ma soprattutto è una dichiarazione strategica: le imprese devono dimostrare di sapere proteggere ciò che genera valore. E oggi il valore non è più solo nei macchinari, nei brevetti o nei bilanci. È nei dati, nei sistemi, nei servizi digitali che li fanno funzionare.

Per i Consigli di Amministrazione, questo significa una sola cosa: la gestione del rischio cyber è diventata governance a pieno titolo. Non serve diventare esperti di firewall o SIEM, ma serve porre le domande giuste, pretendere risposte chiare, investire dove conta, e presidiare i processi critici come si fa con il rischio finanziario o normativo.

Il tempo delle proroghe sta finendo. Le scadenze sono già fissate, ma ciò che conta davvero non è “quando” essere compliant, bensì “quanto” l’organizzazione è pronta a reagire, proteggere e dimostrare di essere affidabile, sotto attacco o sotto controllo.

Chi aspetta l’ultimo momento, farà documenti.

Chi parte ora, costruirà resilienza.

Chi guida il cambiamento, domani sarà ancora sul mercato. Gli altri, forse no. La scelta è, come sempre, una questione di leadership. E di visione.