Evolve - System Integrator
Torna al blog
Cybersecurity

NIS2: determine ACN aprile 2026 e scadenza 30 giugno

Il 13 aprile 2026 l'ACN ha pubblicato due determinazioni che cambiano in concreto la vita di chi rientra nel perimetro NIS2. Cosa devono fare le imprese italiane, entro quando e perché conviene non rimandare.

Team Evolve22 aprile 20269 min di lettura
Scudo digitale circondato da icone di calendario, scadenze e edificio istituzionale, simbolo delle determine ACN sulla NIS2

In breve

  • Il 13 aprile 2026 ACN ha pubblicato due determinazioni che riguardano migliaia di aziende italiane registrate come soggetti NIS2.
  • La scadenza chiave è il 30 giugno 2026: entro quella data dovete dichiarare in piattaforma ACN gli adempimenti base.
  • Se la vostra azienda è "soggetto importante" o "essenziale", non potete più rimandare: serve un referente, una mail PEC dedicata e un primo inquadramento delle misure di sicurezza.
  • Le sanzioni per chi non si adegua arrivano fino al 2% del fatturato globale (essenziali) o all'1,4% (importanti).
  • Si parte da poco: nominare un responsabile, mappare i sistemi critici, attivare backup e MFA. Non serve riscrivere tutto subito.

Cosa è successo ad aprile 2026

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha emanato due determinazioni molto operative:

  • n. 127434/2026 — definisce cosa devono fare nei primi mesi i soggetti NIS2 di nuova registrazione.
  • n. 127437/2026 — disciplina come si accede e si usa la piattaforma ACN per le comunicazioni obbligatorie.

In pratica, ACN ha smesso di parlare di "principi" e ha messo nero su bianco la to-do list. Per le PMI italiane che si sono registrate tra fine 2025 e inizio 2026, è arrivato il momento di passare dalla teoria ai fatti.

Fonte ufficiale: ACN — Determinazioni NIS2.

Sei un soggetto NIS2? Come capirlo

La NIS2 non riguarda solo le grandi aziende. Ricade nel perimetro chi:

  • ha più di 50 dipendenti o più di 10 milioni di fatturato annuo,
  • e opera in settori come energia, trasporti, sanità, infrastrutture digitali, manifattura critica, gestione rifiuti, alimentare, fornitori IT/cloud/MSP, pubblica amministrazione locale.

Se non sapete con certezza se siete dentro, partite dalla piattaforma ACN: la registrazione era obbligatoria entro il 28 febbraio 2026 per la maggior parte dei soggetti.

Cosa fare entro il 30 giugno 2026

Le determine ACN chiedono passi concreti, non documenti astratti. Ecco la lista operativa:

  1. Nominare un referente NIS2 interno. Una persona con autorità decisionale, non solo tecnica. Spesso è il direttore IT o un membro del CdA.
  2. Attivare una PEC dedicata alle comunicazioni con ACN (incidenti, audit, richieste).
  3. Inserire in piattaforma ACN i dati aggiornati: contatti, perimetro dei servizi, fornitori critici.
  4. Mappare i sistemi essenziali: cosa ferma l'azienda se va giù? Server gestionali, ERP, sistemi di produzione, posta elettronica.
  5. Verificare le misure base: backup verificati, MFA su accessi privilegiati, antivirus EDR, log centralizzati.

Non serve essere "perfetti" al 30 giugno. Serve dimostrare che state lavorando seriamente sul tema.

La gestione degli incidenti è il punto su cui ci si gioca tutto

ACN chiede di notificare gli incidenti significativi entro tempi stretti:

  • 24 ore per il primo allarme (early warning),
  • 72 ore per la notifica completa,
  • un mese per il report finale.

Se non avete oggi un processo per accorgervi di un incidente, classificarlo e segnalarlo, è da qui che bisogna partire. Spesso basta un piccolo runbook condiviso tra IT, direzione e fornitore esterno di sicurezza.

Sanzioni: perché non conviene aspettare

La normativa prevede sanzioni amministrative pesanti:

  • Fino al 2% del fatturato globale annuo per i soggetti essenziali,
  • Fino all'1,4% del fatturato globale per i soggetti importanti,
  • Responsabilità personale degli amministratori in caso di gravi inadempienze.

Per una PMI con 20 milioni di fatturato, parliamo di sanzioni che possono arrivare a 280-400 mila euro. Più dei costi per adeguarsi.

Da dove partire concretamente

Non servono progetti faraonici. Tre azioni che funzionano per la maggior parte delle PMI:

  • Assessment NIS2 di una giornata: un consulente vi guida nella registrazione corretta, identifica i gap principali e produce una roadmap a 6-12 mesi.
  • Backup + MFA prima di tutto: queste due misure da sole abbattono il rischio reale degli incidenti più frequenti (ransomware, phishing).
  • Contratto con un partner per la gestione incidenti: chi vi aiuta nelle 24 ore quando succede qualcosa? Meglio deciderlo prima.

Approfondimenti

In sintesi

Il 30 giugno 2026 non è la deadline per "essere a posto con la NIS2". È la deadline per dimostrare che ci state lavorando. Mettete subito un referente, attivate la PEC, fate un assessment. Da lì in poi è un percorso, non uno sprint.

Condividi questo articolo
LinkedInX

Articoli correlati

Radar di cybersecurity con punti rossi luminosi che rappresentano le minacce informatiche europee monitorate da ENISA
Cybersecurity

ENISA Risk Landscape 2026: priorità per le PMI

Ad aprile 2026 ENISA ha aggiornato il Cybersecurity Risk Landscape europeo. Tra ransomware, supply chain e attacchi alla PA, ecco cosa devono sapere — e fare — le imprese italiane.

22 aprile 20268 min
Scudo di cybersecurity al centro di una rete di nodi e lucchetti, simbolo di protezione AI zero-trust
Cybersecurity

ENISA AI Security 2026: cosa cambia per le PMI

L'agenzia europea per la cybersecurity ha pubblicato la sua International Strategy 2026 mettendo AI security e zero-trust per le identità macchina al centro. Tradotto in pratica per le imprese italiane.

22 aprile 20265 min
Diagramma astratto a esagoni interconnessi che richiama le funzioni del NIST CSF
Cybersecurity

NIST CSF 2.0: guida pratica per le PMI italiane

La versione 2.0 del NIST CSF aggiunge la funzione Govern e diventa più adatta alle PMI. Come usarla per costruire un programma di sicurezza realistico, anche senza grandi budget.

20 aprile 20267 min
Consulenza gratuita

Trasformiamo questi spunti in risultati concreti per la tua azienda

Una call di 30 minuti, senza impegno e senza tecnicismi. Analizziamo la tua situazione, ti diciamo chiaramente cosa conviene fare (e cosa no) e ti lasciamo un piano d'azione utile, anche se decidi di non lavorare con noi.

Prenota la call gratuitaScopri i nostri servizi

Risposta entro 24h lavorative · PMI e PA in tutta Italia · Sede a Brescia