NIS 2, la scadenza del 30 giugno e lo stato reale della compliance nelle aziende italiane

Il percorso di compliance alla NIS 2 entra in una fase decisiva. Dopo la scadenza del 31 maggio, che imponeva ai soggetti in perimetro di comunicare ad ACN l’elenco dei fornitori rilevanti, entro la fine di giugno le organizzazioni essenziali e importanti dovranno affrontare un adempimento molto più sostanziale: mappare le proprie attività all’interno delle 10 macroaree definite dal modello ACN (Determinazione 155238/2026) e attribuire a ciascuna una categoria di rilevanza.

Si tratta di un momento fondamentale del percorso di compliance perché, per la prima volta, le aziende non devono limitarsi a trasmettere dati anagrafici o informazioni formali, ma devono dimostrare di avere piena consapevolezza delle proprie attività critiche, dei servizi che rientrano nel perimetro NIS 2 e dell’impatto che un’eventuale compromissione avrebbe sulla resilienza dell’organizzazione.

NIS 2 compliance: la situazione nelle imprese italiane

Abbiamo approfittato dell’avvicinarsi della scadenza per interpellare Christian Callegari e Luca Battini di Innovio, società di consulenza specializzata nella trasformazione digitale e nell’ottimizzazione dei processi aziendali. L’obiettivo è capire quali siano le implicazioni di questo passaggio così importante e, più in generale, a che punto siano le aziende italiane sul fronte della compliance NIS 2 a 18 mesi dalle prime scadenze normative.

Il quadro che emerge non è dei più rassicuranti. Secondo Christian Callegari, CISO and Head of IT & Cybersecurity di Innovio, l’approccio frammentato e reattivo alla compliance NIS 2 è lo scenario prevalente. “Abbiamo clienti che si sono iscritti alla piattaforma ACN, adempimento obbligatorio entro il 28 febbraio 2025, e che solo adesso ci contattano per capire cosa devono fare concretamente per essere compliant. Non si tratta di casi isolati, ma dello scenario prevalente. Qualche aziende non ha ancora designato il Referente CSIRT, figura obbligatoria responsabile della gestione degli incidenti verso ACN. Pochissimi hanno formalizzato i processi di incident management, che avrebbero dovuto essere operativi dal 15 gennaio 2026”.

Un quadro analogo è presentato da Luca Battini, Head of Product di Innovio, che ribadisce come l’approccio reattivo sia la norma, non l’eccezione. “Non c’è una roadmap strutturata, non c’è un piano con milestone e responsabilità chiare. Si procede per urgenze: arriva una scadenza, ci si attiva. Nel mezzo, nulla. Il problema è che NIS2 non funziona così. È una normativa che richiede un percorso continuo, con processi formalizzati, misure tecniche implementate e monitorate, e una governance operativa, non solo dichiarata su carta”.

La scadenza del 30 giugno: un adempimento sostanziale, non formale

In questo scenario, la scadenza del 30 giugno assume un peso ancora maggiore perché rischia di trovare molte organizzazioni non ancora preparate.

La Determinazione ACN 155238/2026 impone infatti a ogni organizzazione di mappare attività e servizi all’interno di 10 macroaree definite da ACN. Parliamo di ambiti che spaziano dalla produzione di beni e servizi alla gestione finanziaria, passando per logistica, monitoraggio dei sistemi, ricerca e sviluppo e processi amministrativi.

Per ciascuna attività, l’azienda deve attribuire una categoria di rilevanza che esprima l’impatto che un’eventuale compromissione avrebbe sulla capacità di erogare i servizi rientranti nel perimetro NIS 2. Le categorie previste sono quattro (minimo, basso, medio e alto) ma decidere in quale far rientrare le proprie attività e servizi richiede competenze dedicate.

Le organizzazioni devono infatti identificare tutte le attività supportate da sistemi IT e reti, ricondurle alle macroaree definite da ACN e svolgere una Business Impact Analysis semplificata per valutare se la categoria di rilevanza predefinita sia davvero coerente con il proprio contesto oppure debba essere modificata.

Solo al termine di questo percorso arriva la parte burocratica ovvero il caricamento dell’elenco categorizzato tramite il servizio NIS/Categorizzazione del portale ACN.

Le criticità dipendono da cultura e competenze

È evidente che, nello scenario descritto dai manager di Innovio, molte aziende rischiano di arrivare alla scadenza del 30 giugno senza essere pronte ad affrontare un adempimento di questa portata.

Ma cosa impedisce loro di affrontare il percorso in modo efficace? “La difficoltà principale – ci spiega Callegari – non è tecnologica, ma culturale e di competenza. Le aziende (anche strutturate, non solo PMI) hanno una conoscenza molto limitata della cybersecurity. Non riescono a valutare autonomamente cosa impone la norma, non sanno condurre una valutazione del rischio, non distinguono ciò che è prioritario da ciò che è secondario”.

A tutto questo si aggiungono criticità di tipo operativo, sintetizzate da Battini in tre punti: “Il primo è la mancanza di ownership: spesso non c’è una risposta univoca su chi sia responsabile della compliance NIS2. Il secondo è la supply chain. NIS2 obbliga a identificare i fornitori rilevanti e a comunicare dati come denominazione, codice fiscale, codici CPV e il criterio di rilevanza soddisfatto: fornitura ICT diretta o non fungibilità operativa. Poche aziende sanno come farlo in modo strutturato. Il terzo, il più sottovalutato, è proprio la categorizzazione del 30 giugno. Non è un modulo da compilare: è un’analisi che richiede settimane di lavoro, il coinvolgimento dei responsabili di processo e una valutazione documentata per ogni attività”.

Come affrontare il percorso di compliance in modo efficace e sostenibile

A questo punto, la conclusione è ovvia: se il problema riguarda competenze e capacità di governance, affrontare la compliance NIS 2 insieme a un partner specializzato è l’unica soluzione sostenibile.

Innovio, attraverso la propria divisione dedicata alla cybersecurity, si propone di accompagnare le organizzazioni lungo un percorso che non serve soltanto a rispettare le scadenze normative, ma soprattutto a rafforzare la resilienza aziendale. L’obiettivo reale è costruire un’organizzazione più solida, resiliente e credibile anche dal punto di vista reputazionale.

Il percorso descritto dai manager Innovio parte logicamente da assessment e gap analysis, indispensabili per fotografare la situazione reale dell’azienda. Ma ci sono anche degli strumenti dedicati: “Parallelamente all’assessment consulenziale – spiega Battini – mettiamo a disposizione Adereo, la nostra piattaforma dedicata alla compliance NIS2. Adereo guida l’azienda in modo strutturato attraverso gli adempimenti: monitora l’avanzamento, evidenzia le scadenze, supporta la documentazione richiesta da ACN e aiuta a non perdere nulla nel calendario degli adempimenti, che, come abbiamo visto, è piuttosto articolato”.

Una volta definito il quadro dei rischi e delle priorità, si passa alla costruzione del piano operativo e all’implementazione delle misure tecniche richieste dalla normativa. “Innovio mette in campo i propri servizi di cybersecurity, sia in ambito IT sia OT – sottolinea Callegari – coprendo tutti gli aspetti che NIS2 richiede concretamente: vulnerability assessment, penetration testing, monitoraggio continuo, SOC as a Service, gestione degli accessi, backup e disaster recovery, segmentazione di rete”.

Ma il punto centrale è che la compliance non può essere affrontata come un progetto una tantum. Serve un presidio continuo, capace di adattarsi all’evoluzione delle minacce e degli obblighi normativi. Ed è qui che entra in gioco il supporto continuativo, che – secondo le parole di Battini – “garantisce il monitoraggio della postura di sicurezza nel tempo, l’aggiornamento delle misure al variare del contesto di rischio e il supporto operativo in caso di incidente. Ricordiamolo: dal 15 gennaio 2026 l’obbligo di notifica al CSIRT Italia è operativo. Chi subisce un incidente significativo ha 24 ore per la pre-notifica e 72 ore per la notifica completa. Non si improvvisa”.

Articolo realizzato in collaborazione con Innovio.