SpazioRC
Sicurezza·

NIS2 PMI: scadenze 2026 e cosa fare entro giugno

L'ACN ha pubblicato il calendario NIS2 per il 2026: censimento sulla piattaforma entro il 30 giugno, misure di sicurezza base entro il 31 ottobre. Cosa devi fare oggi se gestisci un sito, un e-commerce o un servizio online in Italia.

Il 13 aprile 2026 l'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato la Determinazione n. 127434/2026: il calendario operativo della NIS2 per le aziende italiane è ora ufficiale. La prima scadenza importante è il 30 giugno 2026 - meno di otto settimane da oggi mentre stiamo scrivendo questo articolo. La seconda, 31 ottobre 2026, è quella in cui la maggior parte delle PMI dovrà avere implementato le misure di sicurezza base.

Il punto è semplice: la NIS2 non è "una cosa per le grandi banche". Il perimetro si è allargato, e oggi tocca più di 16.000 aziende italiane, molte delle quali non avevano mai dovuto pensare in modo strutturato alla cybersicurezza. Se gestisci un sito, un e-commerce, una piattaforma online o un servizio digitale, c'è una probabilità concreta che ti riguardi.

In questo articolo ti spieghiamo, in modo pratico e senza giri di parole legali, cosa fare nelle prossime settimane e come si traducono gli obblighi NIS2 in scelte concrete a livello di hosting e infrastruttura.

Cos'è successo (in breve)

La NIS2 è la direttiva europea sulla sicurezza delle reti e dei sistemi informativi che sostituisce la NIS del 2016. In Italia è stata recepita con il D.Lgs. 138/2024, e da allora l'ACN sta progressivamente rilasciando le determinazioni operative.

Quella di aprile 2026 è la più importante per le PMI: definisce il calendario degli adempimenti e il modo in cui ti devi censire sulla piattaforma ACN. Da quel momento, le aziende dentro il perimetro hanno date precise da rispettare - non più indicazioni generiche.

Le scadenze 2026 in un colpo d'occhio

DataCosa devi fare
1 gennaio 2026Già attivo: obbligo di notifica al CSIRT Italia degli incidenti significativi entro 24h (preliminare) e 72h (notifica completa).
1 maggio - 30 giugno 2026Censimento obbligatorio su piattaforma ACN: dichiarazione delle attività e dei servizi nelle 10 macroaree e 4 categorie di rilevanza.
31 ottobre 2026Implementazione delle misure di sicurezza base definite dall'ACN.
31 dicembre 2026Designazione del referente CSIRT per i nuovi soggetti NIS2.

Le sanzioni per il mancato adeguamento arrivano fino a 10 milioni di euro o il 2% del fatturato annuo globale - la cifra più alta tra le due. Non sono multe simboliche: l'ACN ha già attivato un programma di vigilanza.

Sei dentro il perimetro NIS2?

La NIS2 si applica se rispondi sì a tutte e tre queste domande:

  1. Operi in uno dei 18 settori NIS2? Tra i più diffusi: digitale (servizi cloud, hosting, motori di ricerca, marketplace, social network), fornitori di servizi gestiti, energia, trasporti, sanità, infrastrutture digitali, pubblica amministrazione, ricerca, alimentare, manifatturiero critico, gestione rifiuti, servizi postali.
  2. Hai almeno 50 dipendenti (essential / important entity di taglia media) oppure ≥10 milioni di euro di fatturato? Le micro-imprese restano fuori dal perimetro generale, ma con eccezioni rilevanti.
  3. Sei un fornitore di un servizio digitale al pubblico o a un'altra azienda dentro il perimetro? In questo caso le soglie dimensionali possono cadere - i fornitori di servizi essenziali sono inclusi indipendentemente dalla dimensione.

Se hai dubbi, la regola operativa è: registrati comunque sulla piattaforma ACN entro il 30 giugno. Sarà l'ACN a confermarti la categoria di rilevanza o a comunicarti l'esclusione. Aspettare e sbagliare costa molto di più che fare un censimento "in eccesso".

Cosa significa, in pratica, per chi gestisce un sito o un e-commerce

Qui sta il salto che la maggior parte degli articoli sulla NIS2 non fa. La direttiva parla di "misure di sicurezza tecniche, operative e organizzative adeguate e proporzionate". Tradotto in termini di infrastruttura web, queste sono le aree concrete su cui ti chiederanno di mostrare evidenza:

1. Backup e disaster recovery

Devi avere backup automatici, periodici, testati e conservati separatamente dal sistema produttivo. "Ho un backup manuale ogni tanto" non è una misura NIS2. Il piano di disaster recovery deve avere un RTO (recovery time objective) e un RPO (recovery point objective) dichiarati.

2. Patch management

Sistema operativo, web server, runtime (PHP, Node, Python), database e CMS devono ricevere patch di sicurezza in tempi ragionevoli. Un sito su PHP 8.1 (in EoL dal 31 dicembre 2025) o su una versione di WordPress non aggiornata è già fuori standard.

3. Controllo degli accessi

Autenticazione forte (idealmente MFA) per gli accessi amministrativi: pannello hosting, cPanel, area cliente, backend del CMS, accessi SSH/SFTP. Password lunghe, gestore password, niente account condivisi.

4. Log e monitoraggio

Conservazione dei log applicativi e di accesso per un periodo definito (in genere 6-12 mesi), con la possibilità di consultarli in caso di incidente. I log di un attacco senza log conservati sono un attacco senza prove.

5. TLS e crittografia in transito

Certificato SSL valido, configurazione TLS aggiornata (TLS 1.2 minimo, idealmente 1.3), HSTS attivo. Non più solo "buona pratica SEO": ora è una misura di compliance.

6. Risposta agli incidenti

Una procedura scritta per gestire un incidente di sicurezza: chi è il referente, chi notifica al CSIRT, in che tempi, con quali template. Le 24h del CSIRT Italia non si gestiscono improvvisando.

7. Gestione della supply chain

Devi sapere quali fornitori trattano i tuoi dati e come (hosting provider, CDN, gestore email, gateway di pagamento, plugin del CMS). La NIS2 ti chiede una mappatura della supply chain digitale, non solo della tua infrastruttura interna.

Cosa fare entro il 30 giugno 2026: la priority list

Se oggi sei a zero, queste sono le 5 azioni minime da chiudere nelle prossime 8 settimane, in ordine:

  1. Verifica se rientri nel perimetro - controlla settore, soglie e ruolo nella supply chain. In caso di dubbio, censisciti.
  2. Registrati sulla piattaforma ACN entro il 30 giugno 2026: dichiarazione delle attività, dei servizi e della categoria di rilevanza.
  3. Nomina un referente NIS2 interno - la persona che parla con l'ACN, mantiene la documentazione, gestisce le notifiche al CSIRT.
  4. Fai un'autovalutazione tecnica sulle 7 aree elencate sopra. Per ognuna, "abbiamo una misura adeguata: sì / no / parziale" e una nota di gap.
  5. Pianifica i lavori per le misure base entro il 31 ottobre - backup, patch, MFA, TLS, log, incident response, supply chain. Non tutto si chiude in due settimane: serve un piano realistico ora.

I primi tre punti hanno una scadenza dura al 30 giugno. Il quarto e il quinto sono il presupposto per arrivare al 31 ottobre senza scoperte.

Cosa copre già il tuo hosting (e cosa devi gestire tu)

Una buona notizia: una parte significativa delle misure NIS2 a livello tecnico sono responsabilità del provider di hosting, non tua. Su un hosting condiviso, cloud o gestito di SpazioRC ricevi già di default:

  • Backup automatici a livello di server
  • Patch management del sistema operativo e dello stack (Apache/LiteSpeed, PHP, MySQL/MariaDB)
  • Certificato SSL gratuito e configurazione TLS aggiornata
  • Sistemi anti-DDoS, antispam e isolamento dei processi
  • Monitoraggio del server 24/7 con conservazione dei log infrastrutturali
  • Datacenter in territorio UE - un requisito che la NIS2 valuta in sede di adeguatezza della supply chain

Restano a carico tuo le scelte applicative: la versione di PHP attiva, l'aggiornamento del CMS e dei plugin, l'attivazione dell'MFA sui pannelli, la conservazione dei log applicativi del tuo CMS, e la procedura di risposta agli incidenti del tuo lato.

Se stai pianificando l'adeguamento NIS2, ha senso partire mappando cosa è già coperto dal provider e cosa no - è il modo più rapido per ridurre il perimetro su cui dovrai investire tempo e budget. Chi è cliente SpazioRC può scrivere all'Area Riservata per richiedere la dichiarazione tecnica delle misure attive sul proprio piano: serve come documentazione di supporto al censimento ACN.

In sintesi

La NIS2 nel 2026 smette di essere "qualcosa che arriverà" e diventa una serie di scadenze precise: 30 giugno per il censimento ACN, 31 ottobre per le misure di sicurezza base. Per molte PMI italiane non significa rivoluzionare l'IT - significa mettere in ordine quello che si dovrebbe già fare: backup testati, patch tempestive, accessi protetti, log conservati, una procedura per gli incidenti.

Il consiglio operativo più semplice è: non aspettare. Le 8 settimane fino a giugno sono il tempo giusto per registrarsi sulla piattaforma ACN, fare l'autovalutazione e impostare il piano. Le aziende che arriveranno a ottobre senza un piano scritto sono quelle che pagheranno il prezzo più alto - non in sanzioni, ma in interventi di emergenza fatti male e di fretta.

Per la fonte normativa diretta consulta il portale NIS dell'ACN; per una panoramica del calendario completo, l'analisi di Agenda Digitale è una delle più chiare attualmente disponibili in italiano.

HTTP/2 quali sono i Vantaggi?

Internet come lo conosciamo oggi non sarebbe mai esistito senza il protocollo HTTP. In pratica rende possibile farci leggere le ultime notizie, effettuare ordini online, guardare video su YouTube e farci navigare all’interno dei nostri siti web preferiti con tutti i tipi di device – desktop, portatili, smartphone, tablet.

Zero-day cPanel: la lezione dei due mesi di silenzio

Il 28 aprile cPanel ha pubblicato la patch per CVE-2026-41940, ma lo zero-day circolava da febbraio. Due mesi di vantaggio agli attaccanti, e una lezione precisa su come si sceglie un hosting.