SCADENZE NIS2 “FACCIAMO UN PO’ DI CHIAREZZA” !!!

Gennaio 2026

Scatta l'obbligo di notifica degli incidenti secondo i termini previsti dalla direttiva NIS2.

Cosa significa:

Le aziende dovranno disporre di procedure per segnalare gli incidenti rilevanti entro scadenze stringenti.

Dunque apparentemente la scadenza impone SOLO di preparare una procedura di notifica degli incidenti dove è previsto l'obbligo di notificare gli incidenti secondo la direttiva NIS2, con tre fasi di segnalazione:

• una notifica iniziale entro 24 ore dalla scoperta dell'incidente
• una notifica di aggiornamento entro 72 ore
• una relazione finale entro un mese.

Cosa serve nello specifico per la notifica incidenti

Per essere compliant entro gennaio 2026, la tua organizzazione deve assicurarsi di avere:

• Una procedura di Incident Response documentata e approvata dal management.
• Un registro degli incidenti aggiornato (utile anche in caso di audit ACN).
• Canali ufficiali per la notifica all’ACN (da definire sul portale dedicato).
• Capacità di generare almeno tre step di reportistica:

1. Allerta precoce (entro 24h) → notifica iniziale.
2. Aggiornamento intermedio (entro 72h) → dettagli su impatto e cause.
3. Rapporto finale (entro 1 mese) → azioni correttive e misure adottate

Ma:

La notifica degli incidenti prevista dalla NIS2 non è un atto isolato: richiede infatti che l’organizzazione abbia già in piedi un set di misure di sicurezza tecniche e organizzative che permettano di rilevare, gestire e segnalare in tempo utile gli incidenti, come potrei identificare un’incidente e produrre un report se non ho adottato misure tecniche che mi consentano di identificare un’incidente, raccogliere e analizzare gli eventi accaduti?

La notifica entro 24/72 ore dal 1 gennaio 2026 è praticamente impossibile senza strumenti di monitoraggio e rilevamento.

Quindi, se oggi non hai un sistema di monitoraggio, devi muoverti su due fronti paralleli:

1. Definire il processo (anche minimo) di incident response

• Scrivi una procedura documentata: come riconoscere un incidente, chi deve essere avvisato, chi compila la notifica all’ACN.
• Crea un registro degli incidenti anche in forma semplice (Excel, ticketing system, ecc.).
• Nomina un referente interno per la cybersecurity (anche se non hai ancora un SOC).

Questo ti permette di essere “compliant solo sulla carta” ma in realtà in caso di incidente non sarai in grado di produrre nulla, perché non hai adottato le misure tecniche che ti consentono di rilevare e analizzare l’accaduto, è dunque necessario.

2. Implementare un sistema di monitoraggio

Se non hai competenze interne o budget per un SOC proprietario, puoi appoggiarti a un MSSP (Managed Security Service Provider) che ti offre:

• monitoraggio h24,
• rilevamento minacce,
• supporto per la gestione incidenti,
• reporting utile anche per l’ACN.

È la strada più veloce per arrivare preparati a gennaio 2026 senza dover costruire tutto da zero.

In sintesi

Entro Gennaio 2026

• Prepara documenti e processi → così sei formalmente compliant.
• Attiva un servizio di monitoraggio, altrimenti non potrai rispettare la finestra delle 24/72 ore.

Ma:

Introduciamo a questo punto un secondo “MA”

Come posso fare monitoraggio continuo efficace senza avere prima una mappa chiara dell’infrastruttura IT/OT.

La NIS2, infatti, parte proprio da questo: conoscere il perimetro su cui devi applicare le misure.

Di conseguenza un Security Assesment è il punto di partenza imprescindibile prima di accendere un SIEM o un SOC perché devi sapere cosa proteggere e controllare.

In conclusione:

Riteniamo che la scadenza di Gennaio 2026 sia tecnicamente piu’ importante rispetto a quella di ottobre 2026, dunque gia’ a Gennaio le aziende prima di definire la procedura di Incident Response dovranno.

• Eseguire un security assesment
• Attivare un monitoraggio continuo

Piano operativo completo verso la scadenza NIS2

Settembre – Dicembre 2025 → Fase preparatoria

• Documentazione

o Redigi la procedura di gestione incidenti (playbook + registro incidenti).

o Nomina un referente NIS2/cybersecurity (anche interno).

o Prepara i modelli di notifica all’ACN (24h, 72h, rapporto finale).

• Governance

o Definisci la catena di escalation interna: chi riceve l’allarme, chi notifica all’ACN.

o Coinvolgi il top management (responsabilità diretta prevista da NIS2).

• Quick win tecnologici

o Esegui un Security Assessment della tua infrastruttura

o Attiva un monitoraggio

Obiettivo: avere già un sistema di rilevamento attivo entro dicembre 2025.

Gennaio – Marzo 2026 → Fase di messa in esercizio

• Incident Response

o Fai almeno una simulazione di incidente (table-top o tecnica) per testare tempi e procedure.

• Notifica ACN

o Verifica l’accesso al portale ACN e i canali di notifica.

o Testa l’invio di una notifica di esempio (se previsto).

• Servizi esterni

o Definisci SLA con i fornitori critici per supporto in caso di incidente.

Obiettivo: essere in grado di notificare entro 24/72h qualsiasi evento critico.

Aprile – Settembre 2026 → Fase di consolidamento

• Tecnologia

o Implementa backup sicuri e testati + piani di continuità operativa.

• Formazione

o Sessioni annuali di awareness per dipendenti (phishing, social engineering).

o Training dedicato al team IT su incident handling.

• Testing

o Vulnerability assessment periodico.

o Penetration test periodico mirato ai sistemi più critici.

Obiettivo: aumentare la maturità e prepararsi a eventuali audit ACN.

Ottobre 2026 → Audit e piena compliance

• Preparati a possibili audit ACN.

• Aggiorna la documentazione (playbook, registro incidenti, report).

• Rivedi contratti con fornitori per la sicurezza della supply chain.

Obiettivo: compliance completa e sostenibile nel tempo.