Il 2025 è stato l’anno della presa di consapevolezza, delle prime registrazioni e delle linee guida iniziali. Il 2026 sarà, invece, l’anno in cui la NIS2 diventa operativa, con scadenze definite e passaggi obbligati.

Durante il convegno Clusit e ACN del 3 dicembre 2025, Milena Rizzi (prefetto capo servizio autorità e sanzioni, ACN) ha illustrato la roadmap che attende le oltre 20 mila organizzazioni italiane.

Gennaio 2026: la finestra di registrazione e il doppio flusso

La prima scadenza è gennaio 2026, quando si riaprirà la piattaforma NIS. A differenza del 2025, ci sarà un doppio flusso:

• chi si è registrato nel 2025 dovrà rinnovare la registrazione;
• chi nel frattempo è diventato soggetto NIS2, dovrà registrarsi per la prima volta.

Rizzi richiama direttamente l’esperienza del 2025: «Dall’esperienza del passato relativa alla registrazione mi sento di dire che sarebbe molto opportuno che i soggetti già NIS, che quindi hanno già ricevuto la PEC che li ha inseriti nell’elenco, procedessero al rinnovo senza attendere la scadenza del termine».

L’obiettivo è evitare un nuovo accumulo di registrazioni negli ultimi giorni, che nel 2025 ha causato sovraccarichi della piattaforma e difficoltà operative.

La pubblicazione progressiva delle linee guida per settore

Tra febbraio e settembre 2026 ACN pubblicherà gradualmente le linee guida settoriali, dedicate alle diverse tipologie di misure.

Come anticipa Rizzi: «Ci sarà lo sviluppo di tutte le linee guida relative a fornire un’indicazione clusterizzata per tipologie di misure di sicurezza, in maniera tale da consentire ai soggetti di avere una visione più concreta di ciò che ci si aspetta venga fatto».

Non una guida unica, quindi, ma una collana di documenti che parlano il linguaggio di ciascun settore. Le organizzazioni dovranno quindi monitorare con attenzione il calendario delle pubblicazioni ACN.

Ottobre 2026: la scadenza per l’implementazione delle misure di base

Il 31 ottobre 2026 è la scadenza più rilevante: entro quella data tutte le misure di base devono essere implementate e operative.

Dopo ottobre, ACN potrà avviare attività ispettive. Non si tratterà di una fase punitiva, ma certamente di un passaggio dalla “fase di accompagnamento” alla fase di verifica.

Rizzi ribadisce il messaggio già rivolto alle organizzazioni in tema di registrazione: «Mi auguro che i soggetti che si sono registrati l’anno scorso e che quest’anno devono rinnovare, quindi a partire da gennaio, non aspettassero la scadenza del termine».

Il principio si applica anche all’implementazione. Infatti il 31 ottobre non è un punto di partenza, ma la chiusura di un percorso.

La strategia di ACN per il 2026

Secondo Rizzi, l’obiettivo di ACN è capitalizzare il lavoro svolto nel 2025: «Consolidare il vantaggio competitivo che abbiamo messo a terra, capitalizzare queste informazioni e questa rete di relazioni che siamo riusciti a creare, in maniera tale da poter costruire su fondamenta il più solide possibile l’implementazione delle misure di sicurezza».

La strategia si basa su:

• tavoli settoriali;
• relazioni con associazioni di categoria;
• cooperazione con attori istituzionali e privati.

L’implementazione del 2026 sarà più efficace quanto più queste reti rimarranno attive.

Le misure a lungo termine oltre ottobre 2026

Il 31 ottobre 2026 non rappresenta la fine del percorso. È solo la conclusione della prima fase, quella delle misure di base. Da lì in avanti inizierà la definizione delle misure a lungo termine, più approfondite e con maggiore perimetro.

Rizzi anticipa: «Ci sarà lo sviluppo di tutte le linee guida relative a fornire un’indicazione clusterizzata per tipologie di misure di sicurezza […] e, per andare oltre, c’è il tema della categorizzazione, perché fino adesso stiamo discutendo delle misure di base, ma non si ferma qui il percorso di innalzamento del livello di sicurezza».

ACN è consapevole che queste misure richiederanno tempo: «Ci sarà un adeguato lasso di tempo necessario per consentire ai soggetti di essere realmente in grado di mettere a terra queste misure».

La rilevanza della pianificazione anticipata

Il messaggio implicito della roadmap 2026 è chiaro: non procrastinare.

Con 20 mila organizzazioni coinvolte, un accumulo generalizzato a settembre 2026 sarebbe ingestibile: mancherebbero consulenti, tempo, e capacità di risposta da parte di ACN.

Per questo il messaggio è ripetuto più volte: iniziare presto significa ridurre rischi, costi e stress organizzativo. Il 2026 sarà impegnativo, ma molto meno complesso per chi avrà pianificato gli adempimenti NIS2 per tempo.