31 ottobre 2026: la NIS2 entra nella fase delle verifiche

Scadenze NIS2, guida alla gap analysis. Scarica ora la nostra guida: 31 ottobre 2026, la nis2 entra nella fase delle verifiche.

31 ottobre 2026: la NIS2 entra nella fase delle verifiche

Il 31 ottobre 2026 segna un passaggio importante per i soggetti entrati nel perimetro NIS nel 2025.

Per questa prima platea, il percorso avviato nei mesi scorsi entra nella fase in cui misure, processi e responsabilità devono poter essere mostrati con ordine.

Per questo abbiamo preparato una checklist operativa NIS2 pensata per responsabili della sicurezza, CIO e IT Manager.

La checklist aiuta a capire cosa controllare ora, quali gap chiudere e quali evidenze preparare prima della fase di verifica.

    Scarica il nostro contenuto

    Fin dall’inizio è stato chiaro che la NIS2 avrebbe avuto una traiettoria diversa rispetto a molte normative vissute dalle aziende come pura corsa documentale.

    Il recepimento ha aperto una fase di accompagnamento, con registrazioni, comunicazioni, determinazioni ACN, scadenze progressive e un lavoro preparatorio pensato per dare alle organizzazioni il tempo di costruire un sistema più solido.

    Il messaggio operativo da subito è stato quello di costruire un sistema di governo della sicurezza che non resti fermo al primo adempimento, ma continui ad aggiornarsi mentre cambiano ambienti, fornitori, configurazioni, asset e rischi.

    Questo passaggio è importante perché sposta l’attenzione dalla produzione dei documenti alla verificabilità del percorso. Una misura dichiarata deve essere collegata a responsabilità, controlli, processi ed evidenze. Un gap individuato deve diventare un’attività assegnata. Una decisione presa deve lasciare una traccia leggibile anche dopo settimane o mesi.

    Cosa cambia per i soggetti NIS nel 2026

    Il D.Lgs. 138/2024 ha recepito la Direttiva NIS2 in Italia e ha definito il quadro degli obblighi per soggetti essenziali e importanti.

    Il percorso operativo è stato poi consolidato dalle determinazioni ACN pubblicate a dicembre 2025. La Determinazione 379887/2025 disciplina il funzionamento della Piattaforma NIS, mentre la Determinazione 379907/2025 definisce misure di sicurezza di base e incidenti significativi di base.

    Gli obblighi seguono due linee temporali diverse.

    La prima riguarda la notifica degli incidenti significativi al CSIRT Italia, che decorre a nove mesi dalla comunicazione di inserimento nel perimetro NIS. Per la prima platea, questo regime è già operativo dal gennaio 2026.

    La seconda riguarda l’adozione delle misure di sicurezza di base, che decorre a diciotto mesi dalla comunicazione. Per i soggetti entrati nel perimetro nel 2025, il termine ultimo è il 31 ottobre 2026. Oltre questa data, ACN può avviare attività di verifica.

    Questa distinzione è utile anche per evitare letture troppo generiche. Il 31 ottobre 2026 non riguarda nello stesso modo ogni organizzazione. I soggetti inseriti successivamente nel perimetro dispongono di tempi collegati alla comunicazione ricevuta. Il punto decisivo è la verificabilità

    Molte organizzazioni hanno già lavorato su policy, procedure, registri, assessment e prime attività di adeguamento. Il tema, ora, è capire se questi elementi formano un sistema leggibile ed è qui che entra il concetto di auditability.

    Per un responsabile della sicurezza, auditability significa poter dimostrare cosa è stato deciso, perché, da chi, quando e con quali prove. È il passaggio che rende la cybersecurity più leggibile per board, management, legal, privacy, procurement e funzioni di controllo.

    La gap analysis deve diventare una roadmap

    La gap analysis è utile quando fotografa lo stato reale dell’organizzazione e lo trasforma in un piano di lavoro.

    Un gap scritto in un documento serve fino a un certo punto. Diventa utile quando ha un owner, una priorità, una scadenza e una prova attesa.

    Senza questi elementi, anche una gap analysis formalmente corretta rischia di restare debole nella gestione quotidiana.

    Ogni gap aperto ha una responsabilità assegnata e una prova chiara che ne dimostrerà la chiusura?

    Se la risposta è incerta, il primo lavoro da fare è collegare ciò che esiste già.

    Cosa contiene la checklist NIS2

    La checklist è pensata per supportare un primo lavoro interno di autovalutazione.

    All’interno trovi le aree da controllare, i gap più ricorrenti, le evidenze da preparare e una matrice per collegare requisiti, controlli, owner, stato e prossime azioni.

    C’è anche una sezione di self-assessment per capire dove concentrare il lavoro nelle prossime settimane su governance, gap analysis, misure tecniche, Incident Response, supply chain ed evidenze.

    L’obiettivo è aiutare i team a leggere la readiness NIS2 in modo più ordinato, senza ridurre tutto a una lista di documenti da recuperare all’ultimo momento.

    Altre risorse utili

    Qui trovi anche alcune risorse utili da scaricare.

    SOC e NIS2: guida alla readiness operativa
    Cosa deve saper fare un SOC per rilevare, rispondere e produrre evidenze nei tempi richiesti dalla NIS2.

    Matrice RACI NIS2
    Uno schema per chiarire ruoli e responsabilità nella gestione degli incidenti.

    Autovalutazione Incident Response Plan Simulation
    Un template per valutare MTTD, MTTR, comunicazione, triage e azioni correttive durante una simulazione.

    Inoltre, puoi scoprire il nostro servizio per la gap analisys il Cyber Check Up NIS2, pensato per leggere postura, gap, priorità operative ed evidenze con un approccio più ordinato.

    Se invece vuoi approfondire l’Autonomous SOC Digimetrica, puoi richiedere una PoC.

    Hai bisogno di una consulenza? Contattaci!