NIS2: scadenza giugno 2026, cosa cambia
Giugno 2026 segna un punto di non ritorno per la conformità normativa europea. La Direttiva NIS2 entra nella fase operativa più critica con l’obbligo di caratterizzazione e categorizzazione delle attività e dei servizi. Non si tratta di una semplice scadenza amministrativa, ma di un momento che separa le organizzazioni preparate da quelle che dovranno affrontare ritardi significativi e rischi di sanzioni.
L’obbligo di categorizzazione entro giugno 2026
La Direttiva NIS2, già vigente in tutta l’Unione Europea, impone agli Stati membri un calendario serrato di adempimenti. Le amministrazioni pubbliche e i gestori di servizi essenziali devono completare entro 30 giugno 2026 l’identificazione e la categorizzazione delle attività e dei servizi rientranti negli ambiti critici definiti dalla normativa.
Cosa significa operativamente? Ogni organizzazione soggetta a NIS2 deve mappare il proprio perimetro di servizi, identificando quale parte ricade sotto le disposizioni europee. La categorizzazione non è un esercizio formale: determina il livello di protezione richiesto, gli investimenti in sicurezza necessari e la struttura della governance della cybersecurity interna.
Il processo richiede:
- Analisi del catalogo completo dei servizi offerti;
- Valutazione della criticità di ciascun servizio secondo i parametri europei;
- Documentazione delle dipendenze con altri soggetti della catena;
- Mappatura dei fornitori e delle terze parti;
- Definizione dei perimetri di sicurezza specifici per categoria;
- Comunicazione formale alle autorità competenti nazionali.
Il quadro normativo e i soggetti coinvolti
La NIS2 non colpisce tutte le organizzazioni allo stesso modo. La Direttiva definisce categorie di operatori con obblighi differenziati. Gli operatori di servizi essenziali (energy, trasporti, sanità, acqua, finanza, digitale, amministrazione pubblica) affrontano requisiti di sicurezza più stringenti rispetto ai fornitori di servizi digitali e ai fornitori critici di servizi ICT.
Entro giugno 2026, ogni ente deve aver prodotto:
- Una dichiarazione formale di categorizzazione;
- Una relazione tecnica che illustri la metodologia di valutazione;
- Documentazione sul processo decisionale interno;
- Descrizione delle misure di sicurezza già implementate o in via di implementazione;
- Piano di conformità ai nuovi obblighi.
In Italia, il compito di supervisione ricade su ACN (Agenzia per la Cybersicurezza Nazionale), che coordina le amministrazioni settoriali. Non è un semplice scambio di informazioni: i dati inoltrati saranno sottoposti a verifica e controllo incrociato.
Le conseguenze di una categorizzazione tardiva o errata non sono trascurabili. Gli Stati membri potranno comminare sanzioni fino a 10 milioni di euro o il 2% del fatturato annuale mondiale (per chi non categorizza correttamente) e sanzioni ancora più elevate per violazioni degli obblighi di sicurezza che derivano dalla categorizzazione stessa.
Chi rimanda oggi il lavoro di mappatura affronterà a luglio 2026 una situazione critica. Gli audit di conformità già programmati per la seconda metà dell’anno avranno accesso ai dati registrati ufficialmente, e le discrepanze tra dichiarazioni e realtà operativa saranno difficili da giustificare. Il margine di tolleranza è ormai esaurito: il 30 giugno non è una deadline indicativa, ma un vero punto di controllo nel sistema di compliance europeo.
Chi lavora nel settore sa che la NIS2 rappresenta un cambio di paradigma rispetto alla precedente direttiva NIS. Non è più sufficiente avere un responsabile della sicurezza nominato formalmente; il requisito di categorizzazione esplicita obbliga a documentare e giustificare ogni decisione. La burocrazia, in questo caso, è una protezione: chi documenta bene avrà vita più facile in caso di controllo futuro.
Ripreso da: Tom’s Hardware Italia
