NIS2 classificazione servizi cyber obbligatoria dal 2026

Pubblicato il 28 aprile 2026 | Redazione Desk — Bollettino Ufficiale

Dal 2026 le entità soggette alla direttiva NIS2 — recepita in Italia con il d.lgs. 138/2024 — dovranno classificare formalmente tutte le proprie attività e servizi rilevanti per la cybersicurezza secondo il modello ACN. Chi assiste imprese medio-grandi o enti pubblici deve già oggi verificare se il cliente rientra nell’ambito soggettivo e avviare la mappatura degli obblighi. L’inadempimento espone a sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo.

Se assisti imprese nei settori energia, trasporti, banche, sanità, infrastrutture digitali o pubblica amministrazione, hai un adempimento nuovo da mettere in agenda per il 2026: la classificazione formale di tutte le attività e i servizi rilevanti per la cybersicurezza. Non si tratta di una formalità interna, ma di un presupposto per l’intero sistema di obblighi NIS2, con sanzioni che rendono l’inadempimento un rischio concreto di responsabilità.

L’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito un nuovo modello di classificazione che imprese e PA dovranno adottare a partire dal 2026, nell’ambito dell’attuazione della direttiva NIS2. La notizia è riportata da Diritto.it.

Il contesto normativo

La direttiva UE 2022/2555 (NIS2) è stata recepita in Italia con il d.lgs. 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. L’art. 3 del decreto distingue tra soggetti essenziali e soggetti importanti in base al settore di attività e alla dimensione dell’ente. L’art. 38 fissa le sanzioni amministrative: fino a 10 milioni di euro o il 2% del fatturato mondiale annuo per i soggetti essenziali, fino a 7 milioni o l’1,4% per i soggetti importanti. Il registro nazionale dei soggetti NIS, gestito da ACN, è il punto di partenza per determinare a chi si applicano gli obblighi di classificazione.

Cosa cambia per lo studio

1. Verifica immediata dell’ambito soggettivo: il cliente rientra tra i soggetti essenziali o importanti ai sensi dell’art. 3 d.lgs. 138/2024? Settori critici, dimensione aziendale e tipologia di servizi erogati sono i tre criteri da incrociare.
2. Mappatura dei servizi: dal 2026 ogni soggetto NIS2 dovrà classificare formalmente le proprie attività secondo il modello ACN. Lo studio può assistere il cliente nella redazione di questa documentazione, che avrà rilevanza probatoria in caso di ispezione.
3. Aggiornamento dei contratti: se il cliente esternalizza funzioni IT o cybersicurezza a fornitori terzi, i contratti esistenti vanno revisionati per includere clausole di conformità NIS2, in linea con quanto previsto dall’art. 21 d.lgs. 138/2024 sulla gestione del rischio della catena di approvvigionamento.
4. Presidio delle scadenze ACN: l’iscrizione al registro nazionale era già obbligatoria entro il 28 febbraio 2025 per i soggetti individuati da ACN. Chi non ha ancora adempiuto accumula esposizione sanzionatoria.
5. Responsabilità degli organi di amministrazione: l’art. 23 d.lgs. 138/2024 prevede che gli organi di amministrazione e direttivi approvino le misure di gestione del rischio e ne rispondano direttamente. Un parere scritto sulle implicazioni per gli amministratori è già un prodotto consulenziale spendibile oggi.

Attenzione a

Il primo rischio è sottovalutare l’ambito soggettivo. Il d.lgs. 138/2024 estende la platea rispetto alla vecchia direttiva NIS: medie imprese in settori critici che prima erano escluse ora rientrano. Molti clienti non sanno ancora di essere soggetti NIS2 e lo scopriranno solo quando ACN avvierà le verifiche.

Il secondo rischio riguarda la delega in bianco ai consulenti IT. La classificazione dei servizi cyber non è solo una questione tecnica: produce effetti giuridici diretti in termini di obblighi, responsabilità e sanzioni. Lasciare che il reparto IT gestisca il processo senza supervisione legale espone il cliente a classificazioni errate difficili da correggere ex post.

Domande frequenti

Fonte di riferimento: Diritto.it