Il framework baseline ACN fissa il termine per l’adozione delle misure di sicurezza di base a 18 mesi dalla comunicazione ufficiale di inserimento. Per la maggior parte dei soggetti, la scadenza cade intorno a ottobre 2026. Con circa 8 mesi rimanenti alla data di pubblicazione, le organizzazioni devono passare immediatamente dalla pianificazione all’esecuzione. Non c’è spazio per un avvio graduale: ogni mese conta.
Punti chiave
- La scadenza per la conformità baseline NIS2 cade intorno a ottobre 2026 per la maggior parte dei soggetti.
- Con soli 8 mesi rimanenti, un approccio compresso e per fasi è essenziale.
- Governance ed evidenze documentali devono essere stabilite immediatamente, non rinviate.
- Le organizzazioni che non hanno ancora iniziato sono già in ritardo.
Roadmap di implementazione a 8 mesi (febbraio–ottobre 2026)
Fase 1 — Febbraio–Marzo 2026: perimetro e setup governance
Confermare la classificazione del soggetto, mappare gli allegati applicabili, assegnare gli owner dei controlli e stabilire la cadenza di reporting governance. Questa fase deve essere completata entro i primi 60 giorni per evitare ritardi a cascata su tutte le fasi successive.
Fase 2 — Aprile–Maggio 2026: progettazione baseline e prioritizzazione
Definire il set di policy, la roadmap di trattamento del rischio e le priorità dei controlli per sistemi e servizi ad alto impatto. Concentrarsi prima sui controlli con le maggiori dipendenze implementative, poiché condizioneranno le fasi successive.
Fase 3 — Giugno–Agosto 2026: implementazione e costruzione evidenze
Eseguire i controlli su governance, identificazione, protezione, rilevamento, risposta e ripristino. Costruire pacchetti di evidenze auditabili in parallelo. Questa è la fase più lunga e ad alta intensità di risorse—allocare la capacità di conseguenza.
Fase 4 — Settembre–Ottobre 2026: verifica e chiusura
Eseguire controlli interni, chiudere i gap residui, validare le approvazioni documentali e preparare le evidenze di readiness verso l’autorità. In questa fase non deve essere avviata alcuna nuova implementazione—è dedicata esclusivamente a verifica e remediation.
Controlli operativi per affidabilità della timeline
| Controllo | Obiettivo | Evidenze |
|---|---|---|
| Governance programma | Tenere sotto controllo tempi e ownership | Verbali steering, dashboard avanzamento |
| Tracking milestone | Rilevare ritardi in anticipo | Registro milestone, risk log |
| Evidence-by-design | Evitare gap documentali a fine periodo | Matrice controllo-evidenza |
| Disciplina chiusura gap | Risolvere blocker prima della scadenza | Tracker remediation, prove chiusura |
Checklist di azione immediata (primi 30 giorni)
- Confermare la data di ricezione della comunicazione ufficiale di inserimento e calcolare la scadenza esatta.
- Costruire il piano di consegna per fasi fino a ottobre 2026 con checkpoint di governance mensili.
- Assegnare gli owner dei controlli e ottenere l’approvazione del budget per le risorse di implementazione.
- Prioritizzare i controlli con le maggiori dipendenze implementative.
- Avviare la raccolta di evidenze documentali dal primo giorno—non attendere che i controlli siano completamente implementati.
- Definire un percorso di escalation per le milestone a rischio.
FAQ
Ottobre 2026 è la scadenza esatta per tutti i soggetti?
Il termine di 18 mesi decorre dalla ricezione individuale della comunicazione ufficiale di inserimento. Per la maggior parte dei soggetti notificati a inizio 2025, la scadenza cade intorno a ottobre 2026. Verificare la propria data di notifica per calcolare la scadenza esatta.
Si può rimandare l’implementazione all’estate?
Con soli 8 mesi totali, rinviare l’implementazione agli ultimi 3–4 mesi crea un rischio di mancata consegna estremo. L’implementazione baseline deve iniziare immediatamente con generazione continua di evidenze.
Cosa fare se non abbiamo ancora iniziato?
Partire immediatamente con la Fase 1: definizione del perimetro, setup governance e assegnazione degli owner dei controlli. Queste attività possono essere completate in settimane, non mesi. Il rischio principale non è la complessità di un singolo controllo, ma i ritardi a cascata causati da un avvio tardivo.
Qual è il primo deliverable di governance?
Una roadmap implementativa documentata con owner, milestone, dipendenze e output di evidenza per famiglia di controllo—allineata alla scadenza di ottobre 2026.