
NIS2: la scadenza del 31 ottobre 2026 e la responsabilità degli organi di amministrazione
Le determinazioni dell'Agenzia per la Cybersicurezza Nazionale n. 127437 e n. 127434, pubblicate il 13 aprile 2026, segnano l'ingresso della disciplina NIS2 nella sua fase pienamente operativa, definendo termini e modalità attuative.
Le determine in oggetto hanno creato binari scadenziari paralleli, in particolare:
- per i soggetti iscritti inseriti nell’elenco dei soggetti NIS nel corso dell’anno solare 2025 si applicano i termini già individuati con la determinazione n.379907 del 19 dicembre 2025 per cui, dalla ricezione da parte del soggetto NIS della comunicazione di inserimento nell’elenco dei soggetti NIS, il termine per l’adozione delle misure di sicurezza di base è fissato in diciotto mesi, mentre l’adempimento dell’obbligo di notifica degli incidenti significativi di base e quindi anche l’opportunità di dotarsi di una procedura adatta al loro rilevamento, è fissato in nove mesi;
- per i soggetti iscritti inseriti nell’elenco dei soggetti NIS nel corso dell’anno solare 2026, secondo le nuove determinazioni, il termine per l’adozione delle misure di sicurezza di base scade il 31 luglio 2027 mentre l’obbligo di notifica degli incidenti significativi di base decorre dal 1° gennaio 2027.
L’adempimento di tali obblighi non si esaurisce con la semplice adozione delle relative procedure o misure ma devono essere anche documentate in modo dimostrabile. La direttiva NIS2 2022/2555 e quindi il decreto legislativo di recepimento 138/2024 richiedono ex art 23 del d.lgs. che gli organi di amministrazione e direttivi approvano le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica e sovrintendono all'implementazione degli obblighi NIS2, in ossequio al principio di “responsabilizzazione” (c.d. accountability), ampiamente sfruttato dal legislatore europeo anche in ambito privacy, il quale rende tali organi gli unici responsabili delle violazioni della normativa in questione. La figura del “punto di contatto” individuata dal decreto riferisce direttamente al vertice gerarchico del soggetto NIS cioè agli organi di amministrazione e direttivi ai fini di quanto previsto dal decreto NIS. La ratio e l’obbiettivo del legislatore è evidentemente quella di creare un sistema di comunicazione sempre attivo e periodico tra punto di contatto e organi direttivi, in maniera tale che questi sovrintendano sostanzialmente sulle attività.
A presidio di questo impianto si colloca un sistema sanzionatorio che, ex art 38 del d.lgs. 138/2024, può raggiungere importi particolarmente rilevanti (ad es. per i soggetti essenziali le sanzioni amministrative pecuniarie possono arrivare fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale). Alla luce delle scadenze e del significativo apparato sanzionatorio previsto dal decreto, i soggetti NIS dovrebbero utilizzare il periodo di adeguamento non come un mero termine entro cui adempiere, bensì come un'opportunità per strutturare processi, ruoli e controlli idonei a garantire nel tempo la resilienza informatica dell'organizzazione e la conformità al nuovo quadro normativo.