Dal 1 gennaio 2026 le notifiche NIS2 sono operative: cosa è emerso
Il 1 gennaio 2026 ha segnato il passaggio dall’adempimento formale alla capacità operativa concreta per migliaia di aziende italiane soggette alla Direttiva NIS2. L’obbligo di notifica degli incidenti significativi al CSIRT Italia non è più una deadline futura: è operativo. Le finestre temporali sono strette, con 24 ore per la pre-notifica, 72 ore per la notifica completa e 30 giorni per il report finale, e non ammettono improvvisazione.
In questo primo mese non disponiamo ancora di dati aggregati pubblici, dato che l’ACN pubblica relazioni trimestrali all’ENISA. Tuttavia possiamo tracciare un quadro operativo chiaro osservando le guide tecniche, le FAQ ACN e i pattern ricorrenti che i CISO hanno dovuto affrontare. La domanda non è più se le aziende fossero pronte, ma cosa hanno scoperto nel momento in cui hanno dovuto davvero notificare.
Il gap tra compliance formale e capacità operativa
Molte aziende hanno completato la registrazione sul Portale ACN entro le scadenze previste, nominato il Referente CSIRT e dichiarato i servizi essenziali o importanti. Sulla carta, tutto corretto. Il problema emerge quando scatta il primo incidente significativo.
La Determinazione ACN 379907 del 18 dicembre 2025, applicabile dal 15 gennaio 2026, definisce gli incidenti significativi di base attraverso una tassonomia precisa che comprende violazione di riservatezza dati, integrità dei servizi, disponibilità dei servizi e disponibilità dei dati. Ma trasformare questa tassonomia in un processo operativo che funziona alle 3 del mattino richiede più di una firma su un modulo.
Il gap emerge su tre livelli fondamentali. Il primo riguarda il processo di triage, spesso inesistente o improvvisato: chi decide se un alert diventa incidente e quando diventa significativo? Il secondo coinvolge i sistemi di detection, inadeguati per le tempistiche richieste: notificare entro 24 ore significa accorgersi dell’incidente in tempo utile, e questo richiede logging centralizzato, correlation engine e alerting automatico. Il terzo riguarda la mancanza di ruoli e responsabilità definiti prima dell’incidente: chi raccoglie le evidenze tecniche, chi valuta l’impatto finanziario, chi è autorizzato a premere il tasto di invio al CSIRT.
La finestra delle 24 ore e il problema della supply chain
La pre-notifica entro 24 ore dalla consapevolezza dell’incidente è il primo test operativo reale. Non richiede un’analisi completa, ma servono le informazioni disponibili in quel momento. Il vero problema è stabilire quando scatta formalmente la consapevolezza.
Un caso concreto illustra bene la questione: un alert del SIEM alle 14:30 di un venerdi segnala credenziali valide usate da un IP esterno mai visto prima. Servono ore per confermare la compromissione, completare l’analisi di impatto e prendere la decisione di notificare. Se tutto si risolve entro mezzanotte, il margine è risicato ma sufficiente. Ma se l’alert arriva alle 22:00? Il processo regge anche fuori orario, nei weekend, durante le ferie aziendali?
Un tema ancora più critico riguarda la supply chain. Le FAQ ACN hanno chiarito che se un incidente si verifica sui sistemi di un fornitore che eroga servizi per conto di un soggetto NIS, l’obbligo di notifica ricade sul soggetto NIS finale, non sul fornitore. Questo ha rivelato un gap contrattuale diffuso: quanti SLA con fornitori IT e cloud includono clausole che garantiscono flussi informativi tempestivi in caso di incidente? Quando un MSSP rileva un tentativo di ransomware martedi ma notifica al cliente solo giovedi, il cliente ha perso 48 ore sulla finestra di notifica.
Sovrapposizione GDPR e NIS2: doppia notifica, stesso incidente
Un breach che comporta accesso non autorizzato a dati personali può richiedere notifica sia GDPR al Garante Privacy entro 72 ore sia NIS2 al CSIRT Italia con pre-notifica 24 ore e notifica 72 ore. Le tempistiche sono simili ma non identiche, i destinatari sono diversi, i contenuti richiesti non coincidono perfettamente e le conseguenze sanzionatorie sono separate.
Le organizzazioni che avevano preparato template e procedure separati per GDPR e NIS2 si sono trovate a dover coordinare due flussi paralleli, spesso con team diversi, il DPO per GDPR e il Referente CSIRT per NIS2, che dovevano collaborare in emergenza senza aver mai testato il processo integrato. Il risultato è duplicazione dello sforzo, rischio di informazioni contrastanti tra le due notifiche e confusione su quale autorità informare per prima.
La relazione finale a 30 giorni dalla chiusura dell’incidente alza ulteriormente l’asticella: serve documentare causa radice con forensics seria, misure di mitigazione adottate e impatto transfrontaliero se applicabile. Non basta dire di aver contenuto la minaccia; servono processo, decisioni, evidenze e lesson learned documentati in modo da reggere un’eventuale ispezione ACN.
Punti chiave per le PMI
- Testare prima dell’incidente: condurre table-top exercise su scenari realistici come ransomware, data breach e DDoS per verificare che il processo di notifica funzioni end-to-end
- Verificare i contratti fornitori: assicurarsi che gli SLA con provider IT, cloud e MSSP includano obblighi di comunicazione immediata in caso di incidente
- Coordinare GDPR e NIS2: integrare i due flussi di notifica prima che un incidente reale li metta alla prova simultaneamente
- Garantire copertura h24: il processo deve funzionare fuori orario, nei weekend e durante le ferie, non solo in orario lavorativo
- Preparare la forensics: disporre di capacità investigative interne o di un contratto con provider esterno con SLA garantiti per la relazione finale a 30 giorni
Conclusione
Il primo mese operativo di NIS2 in Italia ha reso evidente la distanza tra compliance formale e capacità operativa reale. La registrazione al portale ACN e la nomina del referente CSIRT sono necessarie ma non sufficienti. Servono detection capabilities adeguate, processi di triage testati, team addestrati, contratti vendor allineati e coordinamento GDPR-NIS2 collaudato. Ottobre 2026 porterà la deadline per l’implementazione completa delle misure di sicurezza di base, ma l’obbligo di notifiche è già qui e funziona solo se l’organizzazione è davvero pronta, non solo compliant sulla carta.